SOAR落地实践

    在企业发展初期，为了生存，一切以业务发展为主，此时的安全运营，专业设备少，所有的工作得依赖运营人员手工处理执行，这种情况在当前阶段没问题的（不影响业务都不是问题）。随着时间推移，安全公司的展形势越来越好，业务越来越多，人员数量（终端数）越来庞大，网安政策也越来越完善，随之而来的是风险越来大。或许是迫于监管压力，亦或是管理层的安全意识逐渐变强，这就需要引入大量的安全领域设备来构建安全体系。那么问题就来了，安全设备多告警就多，但是运营人员不可能随着告警增大而变多，致使运营人员沉没在告警的汪洋，处理着这大量重复的看告警，分析告警，建工单，追事件的无限循环中无法自拔。

在安全运营中，我们始终秉承一条原则，那就是重复机械的事交给机器去做，人之所以是高级动物，就应该做更有价值的事情，为此，我们和青藤一拍即合，合作开发了SOAR。

在大疫开始那年，2020，SOAR建设之初，我们的基础设施并不完善，IT基础数据管理一片混乱，有些部门甚至还在用Excel管理资产数据，而且是各执一份，各不相同。这时候要做的很多，但是能做的很少，自动化建设，道阻且长。

所幸我们的基建很给力，一年后，我们的运维基础数据治理得到很大的改观，这时候我们的CMDB二期已经建设完成，云管建设工作也到了二期，此时基本上百分之八九十的数据已经实现有平台可查，此时我们积累了40+个事件处理剧本，90+个快速命令，30+个设备的接入。

而今，我们的安全团队已经进入全面运营阶段，运维基础设施基本完善，目前接入设备40+，剧本80+，快速命令130+。

设备接入清单：

SOAR的架构设计覆盖了所有隔离网络区域，无论目标设备部署在哪个网络区域，都可通过代理执行器建立连接，听候引擎差遣（连接方向遵循由高向低开原则），并在剧本编排下实现设备联动，形成工作流。

    将事件和剧本通过配置绑定（新增即触发），然后提取事件报文中关键字段的数据作为参数传入剧本，根据编排的顺序执行，编排过程类似流程图，下游节点可以引用任意上游节点的输出作为当前节点的输入，如果有定义剧本输出还可以作为子剧本当作节点任务供其他剧本调用。

剧本分类：

• 通知：富化告警信息，自动创建工单，通知运营或者相关负责人

• 情报：自动获取互联网情报并解析清洗，创建工单，指派情报人员处理

• 巡检：获取安全设备服务器硬件资源占用情况，版本及证书有效性监控

• 工具：跨网络区域下发扫描任务，自动获取扫描报告，常见工单记录扫描，结束通知；资产快速查询命令

• 响应：风险IP封禁（批量）处理