利用 SOAR 加快事件响应并加强网络安全

news2024/11/25 18:33:38

随着攻击面的扩大和攻击变得越来越复杂,与网络攻击者的斗争重担落在了安全运营中心 (SOC) 身上。SOC 可以通过利用安全编排、自动化和响应 (SOAR) 平台来加强组织的安全态势。这一系列兼容的以安全为中心的软件可加快事件调查和响应速度。SOAR 平台提高了对所有安全数据的可见性,简化了 IT 流程,自动执行了与安全相关的手动任务,减少了冗余和重复性工作,并改善了安全工具之间的协作。

什么是SOAR

安全编排自动化和响应 (SOAR) 是一种全面的网络安全方法,它将安全编排、自动化和事件响应结合到一个平台中。它使组织能够以简化和自动化的方式检测、调查和响应安全事件。SOAR 的三个主要组成部分是:

  • 安全编排:它将安全工具(包括 SIEM 系统、威胁情报平台和漏洞扫描程序)无缝集成到统一的安全生态系统中。这种集成增强了系统之间的协调和通信,促进了数据共享,并改善了工作流程管理,提高了网络安全运营的效率。
  • 安全自动化:SOAR 的自动化组件减少了手动、重复和耗时的事件响应任务。通过收集和分析安全数据、执行修正步骤以及使用预定义的 playbook 或工作流生成事件报告,SOAR 可以大大提高安全操作的效率。
  • 安全响应:它为事件响应管理提供了一个定义明确的框架。它通过案例管理、协作工具和通信渠道等功能简化了事件处理的整个生命周期,从检测到解决。

SOAR有什么好处

  • 性价比高:自动执行重复性任务并简化工作流程,以优化资源并降低运营成本。
  • 灵活性:与现有安全策略、流程和工具无缝集成,以满足特定的组织要求。
  • 事件管理的可扩展性和效率:处理大量事件,而不会影响效率和质量,即使安全环境变得更加复杂。
  • 增强的事件响应:通过自动执行重复性和手动任务来缩短事件响应时间。
  • 改善协作和沟通:有效地共享和记录事件响应期间采取的行动。
  • 一致性和标准化:确保处理所有事件的一致性和统一性,无论涉及何种安全分析师。

在这里插入图片描述

SOAR 平台

安全编排

  • 统一安全数据分析
  • 通过 ITIL 工具集成简化事件管理

统一安全数据分析

从网络中的各种来源无缝收集安全数据,包括活动目录(AD)用户,组,组织单位;网络设备,如防火墙、服务器、端点、以及漏洞扫描程序、数据丢失防护软件、威胁应用程序等应用程序。Log360为数据提供有意义的安全上下文,以快速准确地识别安全事件。

通过 ITIL 工具集成简化事件管理

利用票证工具集成将检测到的事件分配给安全管理员,从而确保事件解决的责任,Log360允许配置外部帮助台解决方案,例如ServiceNow,ServiceDesk Plus,Jira Service Desk,Zendesk,Kayako和BMC Remedy Service Desk。

安全自动化

  • 自动修复威胁:通过针对常见用例的预构建工作流,Log360 使您能够跨安全和 IT 流程自动执行事件响应。
  • 工作流自定义:借助 Log360,您可以使用自定义工作流构建器根据安全要求构建事件工作流。利用简单的拖放界面链接连续操作,根据上一个操作的成功或失败构建流程,执行时间延迟等。

安全修复

Log360 的事件响应管理根据环境中检测到的安全事件类型自动执行一系列常见补救措施,从而减少 SOC 的工作负载。自动化事件工作流有助于遏制对网络的潜在长期安全损害,减少警报响应时间,并提高 SOC 效率,以便团队能够应对其他挑战。

事件响应工作流配置文件

触发警报时自动执行响应工作流,以便在网络安全事件造成任何损害或导致违规之前缓解网络安全事件。Log360 提供预构建的工作流配置文件,以启动快速准确的安全响应。您还可以将工作流关联到警报配置文件、关联警报和其他安全警报,以自动修复威胁。

立即暂停可疑活动

自动执行事件工作流,阻止关键安全威胁利用组织的资产。借助 Log360 的事件响应模块,您可以:

  • 禁用或删除 AD 环境中可能遭到入侵的 AD 用户或计算机。
  • 终止可能遭到入侵的 Windows 设备上的进程。
  • 注销并禁用可能遭到入侵的 Windows 用户帐户。
  • 在受影响的设备上显示弹出警报。
  • 停止可能遭到入侵的设备上的服务。
  • 对设备执行 ping 操作以检查网络中的连接。
  • 对网络中的设备运行跟踪路由函数以识别路径。
  • 执行思科 ASA 防火墙操作,例如添加入站和出站规则。
  • 关闭或重新启动可能遭到入侵的 Linux 设备。
  • 在 Linux 设备上执行指定的脚本文件。

SOAR 和 SIEM 有什么区别

安全信息和事件管理 (SIEM) 以及安全编排、自动化和响应 (SOAR) 都是安全运营中心 (SOC) 的不可或缺的工具,它们有助于事件管理和响应。虽然 SIEM 涉及分析来自多个来源的日志以检测威胁,但 SOAR 是关于编排多条信息并自动响应。理解这两种方法之间的差异至关重要,因为这两种方法对于帮助安全分析师都是必不可少的,但方式独特。

SIEM的组成部分

SIEM 解决方案分析日志数据以检测威胁并帮助您遵守合规性标准。其核心组件是:

  • 日志收集:从服务器、防火墙、工作站、数据库、应用程序、云服务等摄取日志。
  • 解析和分类:将从不同来源收集的原始日志聚合并处理为标准格式。
  • 关联和报告:查找模式,发现用例的异常,根据严重性分配风险评分,并向 SOC 团队发出警报。

一个好的 SIEM 解决方案可以通过以下方式帮助您充分利用日志数据:

  • 实时监控和识别风险,使您能够在攻击发生时检测到攻击。
  • 为 SOC 团队生成报告和整合仪表板,以全面了解安全环境。
  • 通过合规性监控,跟上公司和监管政策,如 PCI DSS、SOX、HIPAA 等。

简而言之,SIEM 系统从各种来源收集日志,分析它们以识别风险,根据既定规则分配风险评分,然后将任何高风险事件通知安全分析师。

当安全团队通过 SIEM 解决方案获得对其网络环境的充分可见性时,将为安全分析师可以执行的后续一系列步骤设置阶段,以应对威胁。

SOAR的组成部分

SOAR 专注于获取有关威胁的更多上下文、自动执行日常任务以及帮助 SOC 更快地响应事件。其核心组件是:

  • 引入警报:从 SIEM、外部威胁情报和其他基于 API 的平台获取威胁源。
  • 编排和自动化:通过与各种相关工具和解决方案集成,自动调查威胁。
  • 威胁响应:按照剧本或工作流的指示实施快速自动修复。
  • 分辨率:使用高级威胁分析构建见解,并在必要时通过自动分配票证进行升级,以便分析师进行跟进和进一步调查。

除了威胁源之外,SOAR 还从外部威胁情报平台、端点安全软件和其他第三方来源收集数据,以确定情况的全貌。警报在映射到特定用例后进行调查,并执行预设的补救措施。用户还可以创建和自定义调查路径和补救措施。为了确保不会错过任何关键事件,可以通过与服务台或其他票务平台集成来分配自动工单。

SOAR 使安全团队能够有效地应对更多威胁,同时缩短响应时间。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1014995.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【100天精通Python】Day63:Python可视化_Matplotlib绘制子图,子图网格布局属性设置等示例+代码

目录 1 基本子图绘制示例 2 子图网格布局 3 调整子图的尺寸 4 多行多列的子图布局 5 子图之间的共享轴 6 绘制多个子图类型 7 实战: 绘制一个大图,里面包含6个不同类别的子图,不均匀布局。 绘制子图(subplots)…

redis的安装、基础命令学习、常用数据结构

文章目录 前言一、Redis安装1.Ubuntu下安装(1)切换到root用户下(2)使用apt安装redis5(3)为了使redis支持远程连接,修改以下地方(4)验证安装是否成功 2.Centos7下安装&…

基于Java+SpringBoot+Vue+uniapp点餐小程序(包含协同过滤算法和会员系统,强烈推荐!)

校园点餐小程序 一、前言二、我的优势2.1 自己的网站2.2 自己的小程序(小蔡coding)2.3 有保障的售后2.4 福利 三、开发环境与技术3.1 MySQL数据库3.2 Vue前端技术3.3 Spring Boot框架3.4 微信小程序 四、功能设计4.1 系统功能结构设计4.2 主要功能描述 五…

理清Spring事务的核心关键类

在spring事务源码的内部,会有几个比较核心关键的类,虽然这基本上都是源码内部才使用到的类,但是有时候我们要对其做一些改造的时候免不了要去使用到这些类,并且这些类在spring事务内部都是起到关键的作用,对了解spring…

[2023-09-13]使用EXPDP/IMPDP迁移数据库后统计信息引起的性能问题

问题描述: 客户在使用expdp/impdp迁移数据库完成后,在新环境收集统计信息,但是在迁移完成的当天中午,好多SQL语句执行变慢,执行计划发生了改变,下面通过案例来说明。 1、准备数据 scott用户下创建test表&…

进程控制再学习

0.“开两个终端窗口” 因为学校用的虚拟机,得用终端登录,不能像shell一样直接复制窗口。 我们只需要登录两次就可以了(方便监视) 1.ps 1.循环ps while :;do ps -f;ps -ef|grep zombie;done 每秒打印一次: while :…

基于SSM+Vue的校园教务系统的设计与实现

末尾获取源码 开发语言:Java Java开发工具:JDK1.8 后端框架:SSM 前端:采用Vue技术开发 数据库:MySQL5.7和Navicat管理工具结合 服务器:Tomcat8.5 开发软件:IDEA / Eclipse 是否Maven项目&#x…

报修工单系统如何提升维修维保工作效率?

在日常的报修维修工作中,我们经常会遇到一些挑战。其中数据分析是一项艰巨的任务,因为我们需要处理大量的数据并从中提取有价值的信息。维修工单的统计也是一个复杂的过程,需要对工单进行分类和整理,以便更好地了解工作的进度和效…

sudo+vim+g++/gcc+makefile+进度条

目录 一、信任表中加入指定的普通用户(使其能使用sudo) 二、vim的使用 (一)基本概念 1. 正常/普通/命令模式(Normal mode) 2. 插入模式(Insert mode) 3. 末行模式(last line mode) (二)vim正常模式…

国庆中秋特辑(一)浪漫祝福方式 用循环神经网络(RNN)或长短时记忆网络(LSTM)生成祝福诗词

目录 一、使用深度学习中的循环神经网络(RNN)或长短时记忆网络(LSTM)生成诗词二、优化:使用双向 LSTM 或 GRU 单元来更好地捕捉上下文信息三、优化:使用生成对抗网络(GAN)或其他技术…

根据keypoint生成heatmap

这里keypoint是有类别的,生成的heatmap是每个通道对应每个类别的heatmap 第一种会比较慢,第二种会比较快 第一种 def generate_heatmap(heatmap_size, sigma, class_num, keypoints, normalization): """generate gaussian heatmap:…

0.96寸OLED屏显示测试和代码详细分析SPI通信

第一次尝试点亮 程序代码地址,密码:1234。 买了一个两色的oled,然后下载了资料,手里有一个8266的arduino,所以为了方便就直接用了。使用arduino主要原因,单片机keil太大,来回找文件修改引脚比较麻烦。实际…

在ubuntu20下使用花生壳映射vscode SSH

1、在ubuntu20下安装花生壳 下载花生壳:花生壳客户端官方下载 - 贝锐花生壳官网 选择ubuntu 或者 wget "https://dl.oray.com/hsk/linux/phddns_5.2.0_amd64.deb" -O phddns_5.2.0_amd64.deb 安装 :sudo dpkg -i phddns_5.2.0_amd64.deb" -O phddns…

【sgGoogleTranslate】自定义组件:基于Vue.js用谷歌Google Translate翻译插件实现网站多国语言开发

sgGoogleTranslate源码 <template><div :id"$options.name"> </div> </template> <script> export default {name: "sgGoogleTranslate",props: ["languages", "currentLanguage"],data() {return {//…

图解曲线积分的对称性

1.图解曲线积分的对称性 1.1 第一类曲线积分的一般对称性 二重积分、三重积分、第一类曲线积分、第一类曲面积分的一般对称性其原理都类似 平面曲线和空间曲线的原理一样&#xff0c;以下内容以空间曲线为例 图中所示为积分区域 Γ \Gamma Γ&#xff0c;函数 f ( x , y , z…

利用 Python PyPDF2库轻松提取PDF文本(及其他高级操作)

当需要从PDF文件中提取文本时&#xff0c;Python中的PyPDF2库是一个非常有用的工具。无论您是需要分析PDF文档中的内容还是需要在文档中搜索特定的信息&#xff0c;PyPDF2都可以帮助您轻松实现这些任务。 在本文中&#xff0c;我们将探讨如何使用PyPDF2库提取PDF文件中的文本&…

vue学习之vue cli创建项目

安装 node.js https://nodejs.org/en 安装 vue cli npm install -g @vue/cli --registry=https://registry.npm.taobao.org创建项目 执行创建命令,回车vue create vue-cli-learning选择 “Manually select features”,回车 “空格” 关闭 Linter / Formatter 选项,回车

开源库源码分析:OkHttp源码分析(二)

开源库源码分析&#xff1a;OkHttp源码分析&#xff08;二&#xff09; 导言 上一篇文章中我们已经分析到了OkHttp对于网络请求采取了责任链模式&#xff0c;所谓责任链模式就是有多个对象都有机会处理请求&#xff0c;从而避免请求发送者和接收者之间的紧密耦合关系。这篇文章…

【数据结构】链表面试题

203.移除链表元素 206.反转链表 876.链表的中间结点 牛客.链表中倒数第k个结点 21.合并两个有序链表 牛客.链表分隔 牛客.链表的回文结构 160.相交链表 141.环形链表 142.环形链表2 1. 移除链表元素 题目描述 思路&#xff1a; 定义一个指针cur遍历整个链表&#xff0c;一个ta…

阿里云 linux 的nginx 配置uni-app的H5前端项目vue,后端接口阿里云。

背景 vue项目调用接口是阿里云的&#xff0c;H5网站也要部署到阿里云&#xff0c;2个不同的服务器&#xff0c;需要做nginx部署与api代理。 端口配置 首先当然是买个阿里云服务器&#xff0c;这里是配置是linux系统&#xff0c;配置访问的域名 &#xff0c;再接着&#xff1…