安全态势感知专家说第3期：SOAR在安全态势感知中的应用与展望

SOAR的概念最初是Gartner在2015年提出的，指的是“Security Operations, Analytics and Reporting Stack”，即“安全运维分析与报告”。

随着安全技术与市场的演变，SOAR的定义也发生了变化。近些年，国内外安全厂商将重点都放在未知威胁检测上，但随着网络对抗的日益激烈，单纯提升检测能力已满足不了需求，客户需要的是集识别（Identify）、防御（Protect）、检测（Detect）、响应（Response）和恢复（Recovery）于一体的安全防护系统，即“IPDRR”。在这样的背景下，2017年Gartner将SOAR重新定义为“Security Orchestration, Automation and Response”，即“安全编排自动化与响应”。

Gartner认为SOAR由三种技术融合而成，包括安全事件响应平台（SIRP）、安全编排与自动化（SOA）和威胁信息平台（TIP）。SOAR影响IPDRR的多个环节，但主要聚焦在RR（响应和恢复）阶段。

总的来说，SOAR 是一系列技术的合集，它能够帮助企业和组织收集安全运维团队检测到的各种信息，并对这些信息进行事件分析和告警分诊。然后在剧本（Playbook）的指引下，利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。

随着全球安全产业的发展，SOAR在市场上逐步走向成熟，SOAR更多是作为一种能力被融入到其他安全产品之中，例如安全运营中心（SOC）、安全信息和事件管理（SIEM）、托管检测和响应（MDR）等。在迅速成长的MDR中，SOAR就是一个关键的要素。而SIEM厂商一直通过收购或自建的方式构建SOAR，以提升对事件的响应能力。独立的SOAR产品也有一定市场空间，相对于内置的SOAR，客户更看重其灵活性和中立性。

SOAR的客户价值体现在以下几个方面：

● 减轻告警疲劳

根据Gartner的定义，SOAR是将事件响应、编排与自动化、威胁信息组合在一起的一种解决方案。这些技术都曾经以独立产品的形式提供给客户，但是过多的单点解决方案带来了预算和人力上的压力，工具的复杂性和重复性使告警疲劳进一步加剧，而SOAR通过整合与自动化可以有效减轻告警疲劳。

● 提升响应速度

攻击在环境中的进展速度越来越快，所以发现疑似威胁之后仅仅发出告警和通知是远远不够的，客户期望安全服务能够快速地主动遏制和消减威胁对环境的破环，SOAR正是在主动响应和处置方面发挥了重要作用。

● 提升安全运营效率以及事件闭环率

通过编排，SOAR将调查取证、处置、通知等多个环节整合在一个工作流里，自动化调度运行，减少了运营人员在不同工具之间来回切换的消耗。面对日益增多的威胁，SOAR的自动化能力有助于提升整体安全运营效率。

● 积累安全运营经验

通过剧本编排，可以将威胁处置的过程转变为工作流并记录保存，借此实现安全运营经验的积累和固化。案例集是对历史处置的归纳及特征补充，可供安全专家参考分析。

● 提升整合能力

SOAR能够把环境中现存的安全产品整合在一起，实现人机、机机之间的有效协作。SOAR能够更充分地使用威胁信息系统，使其发挥更大的价值。

● 提升需求满足敏捷度

在硬编码模式下，客户新业务的需求往往要依赖版本升级才能够实现， 在内部部署（OP）场景下版本迭代周期长，客户满意度难以得到保障。而SOAR与生俱来的低代码编排能力赋予了系统开放性的特征，安全运营团队很容易就能实现工作流创建和改进，帮助客户实现需求变化敏捷落地。

此外，SOAR的作用在安全托管服务中体现的尤为明显，因为它可以显著提升威胁处置的速度和一致性，从而提升服务级别协议（SLA）规定的服务水平。

从功能的角度看，SOAR具有如下核心能力：

另外，从架构的角度来看，通过冗余和弹性扩容等方式可保障SOAR的高可靠可用性，充分关注编排执行的性能，提供完善的权限管理，支持在OP场景和云上流通部署等。

HiSec Insight是华为公司推出的安全态势感知产品，形态上接近SIEM类产品。HiSec Insight基于大数据平台，集威胁检测、威胁阻断、取证、溯源、响应、处置于一体，助力客户完成全流程威胁事件闭环。

HiSec Insight的闭环能力得益于在2019年产品就集成了自研的SOAR组件。凭借SOAR的引入，HiSec Insight的事件处置周期能够由天级缩短到分钟级，平均恢复时间（MTTR）大幅降低，同时事件闭环率和处置率也得到显著提升。

另外，HiSec Insight能够作为连续两年入选Gartner MQ象限唯一的中国产品，其中一个因素就是产品包含了响应与编排能力，因此SOAR的重要性不言而喻。

下图展示了HiSec Insight SOAR的基本架构。

● 数据采集

HiSec Insight可以采集镜像流量和多种格式安全日志，通过预处理加工后，数据被发送到数据总线供威胁检测模块进行分析。

● 威胁分析

威胁分析引擎通过关联分析、人工智能检测、威胁判定等技术手段发现威胁事件，并完成事件分类和优先级设置。此时如果有就绪的剧本与事件匹配，SOAR便会第一时间介入，按剧本流程启动对事件的处置。

● 事件管理

在HiSec Insight中事件管理属于独立的服务，主要提供事件查询和管理的能力。在事件管理中，用户可以选择特定的聚合事件，以手动的方式选取剧本进行编排处置。

● 编排管理

编排管理包含响应动作配置和剧本配置两个模块。

通过预置的大量剧本和Action，HiSec Insight将积累的安全经验传递给客户，并为客户提供“开箱即用”的能力。

● 自动化执行

HiSec Insight SOAR提供了自动触发和手动触发剧本执行的两种方式。自动执行剧本通过匹配事件类型的方式触发，手动执行由用户选择适当的剧本进行事件处置。

剧本运行的过程中，执行引擎会调用威胁信息系统进行取证判断，根据取证结果决定后续流程。通过前面的叙述我们可以了解到，编排的关键是对不同安全工具的调用，这部分也是通过编排执行引擎实现的。HiSec Insight SOAR根据动作管理的配置完成与各种安全工具、系统和服务的对接，包括用户的第三方设备。

● 案例管理

剧本执行的结果会形成task用以归档查看。同一类型事件的task自动汇聚形成案例集，用于辅助安全专家做参考分析。

支持云上部署已经成为SIEM类产品的发展趋势，SOAR作为核心组件也将迎来云化改造。为了支撑上云后业务规模的动态增长，SOAR在架构上需要支持平滑扩容等云原生特性。

上云后，SOAR需要具备完整的多租户能力，包括剧本和联动设备的租户级管理、剧本执行记录和案例的分租户查看等等。利用云上的威胁信息服务，SOAR调查取证准确率将得到进一步提升，同时威胁信息服务的价值也可以得到更加充分的发挥。

SOAR在未来会提供完善的三方集成框架，设备或服务将以App插件的形式动态地集成到SOAR上。由于App封装了与设备联动的复杂逻辑，用户的配置难度将会大幅降低，SOAR与三方集成的能力也会显著增强，有利于形成以HiSec Insight为主的生态环境。

参考文献 ：

Lawson C, Price A. Market guide for security orchestration, automation and response solutions[R]. Technical Report. Gartner, 2022.