這篇文章給大家介紹如何打造SOAR,內(nèi)容非常詳細(xì)�����,感興趣的小伙伴們可以參考借鑒����,希望對(duì)大家能有所幫助���。
成都創(chuàng)新互聯(lián)主營(yíng)金山網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,
app軟件開發(fā),金山h5小程序制作搭建,金山網(wǎng)站營(yíng)銷推廣歡迎金山等地區(qū)企業(yè)咨詢
考慮購(gòu)買安全編排、自動(dòng)化與響應(yīng)(SOAR)解決方案的公司企業(yè)����,往往會(huì)擔(dān)心自己現(xiàn)有的事件響應(yīng)項(xiàng)目尚未成熟到可實(shí)現(xiàn)帶自動(dòng)化與編排功能的綜合性平臺(tái)的程度。如果幾乎沒(méi)有任何基礎(chǔ)�����,從零起步似乎甚為艱難�����,尤其是團(tuán)隊(duì)中無(wú)人有事件響應(yīng)或安全編排解決方案經(jīng)驗(yàn)的時(shí)候����。
雖然大家都不想僅僅是往低效過(guò)程中添加自動(dòng)化就完事兒,但如果老方法本身已不夠好���,進(jìn)一步鞏固這種舊有的安全事件處理方式顯然更不科學(xué)。
如果你想要改善公司安全運(yùn)營(yíng)���,但不知道從何處著手��,以下幾步或許可以幫你準(zhǔn)備好遷移到SOAR平臺(tái)���。
1. 盤點(diǎn)當(dāng)前運(yùn)營(yíng)狀況
認(rèn)為自己不具備事件響應(yīng)項(xiàng)目的公司各有各的道理�。無(wú)論有沒(méi)有SOAR或事件響應(yīng)平臺(tái)����,每家公司都有些管理安全事件的方法,即便可能涉及很多即興動(dòng)作和臨時(shí)過(guò)程�。
準(zhǔn)備實(shí)現(xiàn)SOAR平臺(tái)的時(shí)候,可以花點(diǎn)時(shí)間與公司利益相關(guān)者談?wù)?����,了解?dāng)前過(guò)程及這些過(guò)程的有效性(或無(wú)效性)�����。這其中應(yīng)當(dāng)包括梳理工具清單:
一旦弄清楚了手頭有哪些工具可用�����,你就可以將這些工具都映射進(jìn)事件響應(yīng)生命周期中,比如 NIST 800-61r2 標(biāo)準(zhǔn)中描述的那種��,并識(shí)別出公司當(dāng)前還缺些什么���。
接下來(lái)�����,查看一下公司遵從的事件響應(yīng)過(guò)程或手冊(cè)��?��?纯窗踩\(yùn)營(yíng)中心(SOC)內(nèi)部是怎么協(xié)作的?又是怎么與IT和數(shù)據(jù)隱私組織等其他團(tuán)隊(duì)協(xié)作的����?公司如何保持在事件響應(yīng)過(guò)程中的法律合規(guī)與監(jiān)管合規(guī)?公司團(tuán)隊(duì)是如何管理網(wǎng)絡(luò)釣魚或惡意軟件之類當(dāng)前常見安全事件的�����?
如果有可用的衡量標(biāo)準(zhǔn),請(qǐng)仔細(xì)審查���,找出運(yùn)作良好的部分和需要改進(jìn)的地方。比如說(shuō):
如果沒(méi)有正式指標(biāo)可用�,那就詢問(wèn)安全分析師和經(jīng)理,讓他們給出自己的評(píng)估��。
2. 找出最適用于自己公司的功能���,以及提供這些功能的平臺(tái)
市場(chǎng)上有各種各樣的SOAR平臺(tái)��,要收窄自己的選擇面���,不妨花點(diǎn)時(shí)間確認(rèn)一下對(duì)自己而言最為重要的功能。想要首先自動(dòng)化的過(guò)程是哪些���?什么問(wèn)題是你安全團(tuán)隊(duì)最為棘手的���?存不存在重復(fù)發(fā)生的安全事件、數(shù)據(jù)孤島或過(guò)程瓶頸?你的分析師可以幫你回答這些問(wèn)題��。
每個(gè)平臺(tái)都有各自側(cè)重的安全運(yùn)營(yíng)方面���。這些功能大致可分為以下幾類:
警報(bào)管理:幫助SOC分揀�����、評(píng)估并關(guān)閉出自SIEM和其他源系統(tǒng)的持續(xù)安全警報(bào)流�。
分類:通過(guò)從威脅情報(bào)和歷史事件記錄等外部和內(nèi)部源收集上下文信息���,幫助分析師做出決策�。
事件響應(yīng):包含戰(zhàn)術(shù)手冊(cè)��、任務(wù)管理����、鏈接分析等功能,支持有效且可重復(fù)的響應(yīng)工作流�����。
報(bào)告與分析:包括自動(dòng)化或安排報(bào)告��、產(chǎn)生詳細(xì)SOC指標(biāo),以及為使用該系統(tǒng)的不同用戶角色定制儀表板的能力���。
合規(guī)與跟蹤:比如審計(jì)跟蹤��、保管鏈和通用合規(guī)報(bào)告模板。
案例管理:包含對(duì)調(diào)查人員與其他團(tuán)隊(duì)間協(xié)作的支持�����、相關(guān)事件的案例存儲(chǔ)目錄�����、有引導(dǎo)的調(diào)查工作流和證據(jù)管理�����。
3. 試著草擬一份戰(zhàn)術(shù)手冊(cè)
想要對(duì)如何運(yùn)用SOAR平臺(tái)有個(gè)具體感知����,可以試著為你最重要的用例草擬一份戰(zhàn)術(shù)手冊(cè)。然后����,指出你覺(jué)得可用自動(dòng)化和編排來(lái)加以增強(qiáng)的步驟。
從供應(yīng)商或行業(yè)機(jī)構(gòu)處可以很容易獲取在線戰(zhàn)術(shù)手冊(cè)樣例,這些樣例應(yīng)能給你有關(guān)步驟上的參考��。評(píng)估公司現(xiàn)有過(guò)程并問(wèn)詢公司分析師可以得到更有價(jià)值的信息�����,包括常見用例或重要用例�����??梢詮哪惆踩h(huán)境中最典型的用例開始應(yīng)用,比如網(wǎng)絡(luò)釣魚�、可疑數(shù)據(jù)泄露,或者惡意軟件感染��。
如果你沒(méi)有任何正式的事件響應(yīng)項(xiàng)目�����,那實(shí)現(xiàn)SOAR解決方案�����、事件響應(yīng)平臺(tái)或任意其他重要安全工具都會(huì)很困難���。不過(guò)���,只要遵循了上面描述的步驟�,你就會(huì)對(duì)自身情況有個(gè)更好的認(rèn)知�����,知道自己要走的路線和需要達(dá)到的效果�����。
關(guān)于如何打造SOAR就分享到這里了���,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)��。如果覺(jué)得文章不錯(cuò)�,可以把它分享出去讓更多的人看到。
分享標(biāo)題:如何打造SOAR-創(chuàng)新互聯(lián)
URL地址:
http://weahome.cn/article/hdies.html
重慶分公司
重慶分公司
