雾帜智能SOAR百问千答-10期

HoneyGuide#SOAR-FAQ-16 问:没有SIEM或告警不准确还能用SOAR吗?

答:

SIEM(安全信息事件管理系统)、SOC和态势感知等产品,通常是SOAR的上游系统(www.888885.net)。上游系统发现安全事件后,可以交由SOAR快速地开展事件处置。

因此就应急处置来看,事件告警越精准,越容易开展针对性的自动化应急响应。但这并不代表上游告警不准确或者客户环境没有类似的系统时,SOAR就没有用武之地了。我们可以这样问自己:“在没有SOAR产品的时候,安全团队都是怎么应对这些告警的?有了SOAR之后,原来误报验证和处置速度是不是更快了?”

项目落地过程中,还可以通过以下措施来缓解或者优化:

  • 对接收到的安全事件进行过滤,无论是来自SIEM、SOC、态势感知或者单纯的日志系统。可根据匹配的事件类型、特征、严重度、优先级进行筛选,然后进行SOAR响应处置。
  • 对安全告警进行去重:上游系统发送过来的很多安全告警往往是有重复的。SOAR在接入层面通过归并去重技术,可以将事件工单的数量降低到可接受的水平。
  • 很多SIEM/SOC等系统本身的误报率就很高,安全人员往往需要花大量的时间去分析和验证。通过SOAR产品可以加速原本需要人工开展的分析验证过程,将数十分钟的分析过程压缩到几分钟。加速安全分析过程本身也是SOAR的价值。

SOAR以编排和自动化技术为核心,不仅可以用在单纯的事件响应环节,还可以应用在其它安全事件运营的场景中,如:响应、分析、诊断、协同、报告和定时任务等,

关于雾帜智能、HoneyGuide

雾帜智能

作为国内SOAR(安全编排、自动化与响应)领域持续创新的优秀企业。自成立以来,一直为网络安全事业发展做出贡献,得到运营商、能源、互联网、烟草、证券、银行等行业客户的熟知和好评,同时也得到业内同行高度关注与认可。推向市场的HoneyGuide智能风险决策平台专注于将人工智能+安全编排自动化与响应(AI+SOAR)完美融合,帮助客户实现缩短威胁处置时间、加速安全响应、减少IT风险 、降本增效等,从而更好的进行业务经营。

HoneyGuide

用“AI机器人” 和“安全作战室” ,解决人人、人机的协同问题;用“安全剧本”对应急响应中的人员、设备、动作和环节进行自组装,实现流程自动化,解决安全事件响应中严重依赖人工操作的问题。

HoneyGuide在“自然语言交互”、“安全动作推荐”和“安全剧本智能优化”等方面了引入了人工智能因素。通过在关键环节使用AI技术,产品大幅提高了企业安全应急响应速度,全面降低企业安全运营的成本。

主营产品:球阀,蝶阀