資安協作自動化應變(Security orchestration, automation and response)簡稱SOAR,是一組網絡安全的技術,可以讓組織針對一些資訊安全事件進行自動化的處理。此技術會搜集資安監控中心監控的輸入,像安全性資訊與事件管理(SIEM)系統、網絡威脅情報平臺(TIP)等系統,以及其他安全技術的警告,協助定義標準事故響應活動,並且進行優先排序以及推動相關活動[1][2][3]。
組織會使用SOAR平台提昇實體及網絡安全作業的效率[4]。SOAR讓管理者可以在無需人工介入的情形下處理安全警訊。當網絡工具偵測到安全事件,SOAR會依安全事件的本質,發送警報給管理者,或是進行其他的應變措施[2]。
組成
資安協作自動化應變可以分為協作、自動化以及事件響應三部份。
協作(Orchestration)元件連接資訊系統中不同的安全工具以及系統。會讓客戶建立的應用程式和系統內建的安全工具整合,可以一起運作。此元件也會連接不同的端點、防火牆、用戶安全分析工具[5]。
自動化(Automation)元件會處理協作元件搜集的大量資訊,透過機器學習過程來分析。SOAR會處理大量記錄分析的人工工作,並且處理ticket請求、弱點檢查以及稽核流程[5]。
事件響應(Incident response)元件讓資安監控中心在識別到潛在威脅時,可以進行回應。此元件也可以自動化處理事件後的活動(像是威脅情資分享)[5]。
營運手冊和執行腳本
配合營運手冊和執行腳本,SOAR讓管理者可以定義潛在的事件和響應[2]。
營運手冊(playbook)是敘述如何驗證安全事件及應該如何響應的文件。營運手冊的目的是說明執行腳本需要作的事。若SOAR 失效, 可以用營運手冊作人工處理的備案[2]。
執行腳本(runbook)是用自動化工具實現營運手冊中列的工作,讓系統可以進行事先定義的措施,以緩和威脅的影響[2]。
參考資料
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
