客户经常问我如何在安全运营中心(SOC)中最好地利用自动化,以及SOAR如何为他们提供帮助。因此,我们在今年4月发布了一份Now Tech:安全编排、自动化和响应(SOAR), 2022年第二季度报告。你可以在这里阅读完整的报告。

这项研究有助于明确我们对当今SOAR市场的看法,包括市场上的五种类型的SOAR产品:

  1. 安全分析平台
  2. 安全分析组合
  3. 威胁情报
  4. 纯玩
  5. 自动化的投资组合

业界继续将安全信息和事件管理(SIEM)、SOAR和安全用户行为分析(SUBA)功能整合到安全分析平台中谷歌今年早些时候收购了Siemplify.然而,独立的SOAR供应商通常仍然与威胁情报产品或其他自动化产品集中在一起。客户应该根据他们的用例和独特的需求考虑他们想采用哪种类型的SOAR,这是我们在完整的研究中深入探讨的。下面,我们列出了采用SOAR时需要考虑的一些最佳实践。

SOC中使用SOAR的最佳实践

安全专业人员要想成功地使用SOAR,最重要的一步是在采用它之前概述他们将如何使用它。市场上有许多关于SOAR的错误描述:它的主要目标是自动化响应,大多数安全团队使用数百个剧本,以及SOAR相当于案例管理。实际情况是,SOAR是在SOC中构建自定义自动化的工具,要很好地使用它需要规划和结构。采用SOAR技术时,请务必:

  • 对自动化可以解决的挑战设定现实的期望。 尽管有大量可用的预构建剧本,但在采用的头几年,安全团队通常总共实现最多5到10个剧本。复杂、不一致的工作流程的流程自动化具有挑战性,并且无法解决安全分析师执行的每一项手工任务,而不积累技术债务并构建一个站不住脚的系统。识别并自动化一致且可重复的过程。充实通常是最好的开始。
  • 在购买前定义可以自动化的检测和响应流程。 SOAR剧本只有在定义它们的底层流程时才有用。在采用SOAR之前,请记录可重复的、一致的、可以自动化的过程。安全团队发现成功自动化富集、网络钓鱼响应和勒索软件响应。
  • 协调其他部门的自动化人才。 很少有安全团队中有具有安全意识的自动化专家,通常只有一个安全分析师维护SOAR。拥有 的组织自动化卓越中心 或自动化团队应该利用这些相邻的功能来在SOC中构建更好的自动化,而不是单独进行。
  • 为持续维护分配资源。 SOAR不是一种设置好就可以忘记的技术。根据所满足的集成工具、剧本和用例的数量(例如,检测和响应、威胁情报、度量收集和/或案例管理),SOAR可能需要一个或多个全职的对等物来实现操作。
  • 超越检测和反应。 根据SOAR提供者的类型,该产品可以提供比自动检测和响应更深层的价值。在评估SOAR产品时,考虑其他功能(如漏洞管理协调、指标收集和仪表板以及案例管理功能)是否会使您的团队受益。

请继续关注我即将发布的报告《SOAR最佳实践》,该报告将在更细粒度的级别上探讨这个主题。

点击此处阅读报告全文有什么想法请告诉我LinkedIn

对SOAR感兴趣或有疑问的Forrester客户可以通过询问或咨询的方式与我们联系指导会议