1、为什么要上SOAR

已经有一堆安全设备，已经建设了态势感知/SOC，为什么还要上SOAR呢？

回答这个问题之前反过来想想为什么企业做一堆安全建设？

网络威胁衍生出防火墙、WAF、全流量检测等安全产品；

终端威胁衍生出杀毒、HIDS、沙箱等安全产品；

容器威胁衍生出容器安全产品；

数据安全威胁衍生出数据安全相关产品。

随着企业的发展，每新增一种类型的资产时，对应的也新增了一些安全威胁，安全部门也增加了一种安全产品的建设。

以上的建设均是因为企业安全能力的不足而投入的建设。受国家政策的利好，企业安全能力建设突飞猛进。当安全能力建设到达一定程度的时候，安全运营能力也提上日程。安全运营能力建设包含了SOC、SRC等系统的建设，还有很关键的安全设备的运营（必要时刻才出击）。

企业此时将面临的问题包含：

• 告警爆炸问题
• 手工处理低效问题
• 缺乏人员问题

1.1、告警爆炸问题

• 安全攻防对抗日益激烈
• 安全设备多了，产生的告警也就自然多了
• 安全厂商能力有限，本身误告很多
• 部分安全设备内置规则无法依据企业自身情况而定制（亦或定制困难），导致误告过多
• 昨天的坑还没补完，今天又有新来的

1.2、手工处理低效问题

• 需要去各个地方查看各种日志（或者说是情报）才能对事件进行安全分析
• 很多可疑事件需要跨部门进行沟通确认，耗时过长

1.3、缺乏人员问题

• 企业的资产类型多，威胁也会存在多样性，对人员素质要求非常高
• 处理经验缺乏沉淀，接盘困难
• 安全部门的编制有限，无法招聘足够的人员

回到最开始的问题，为什么要上SOAR？SOAR就是来解决以上问题的，这也是企业安全程度提升时中必然经历的过程。

2、什么是SOAR

上面只提到了SOAR解决什么样的问题，并没有给出SOAR的定义。

安全行业的名词层出不穷，笔者并不太想给SOAR一个准确的定义。一堆精铁通过不断的锤炼变成一把刀，你问这把刀是啥？切菜的时候是菜刀，砍树的时候是斧子。。。

虽然无法给出SOAR的明确定义，但是可以说说SOAR要具备的基本能力

• 联动设备能力
• 自动化调度能力
• 剧本编排能力
• 剧本执行结果审计能力

SOAR还可以衍生或集成很多其它能力，例如作战室、工单、XDR、BAS等。这些衍生的功能不在此文讨论范围，本文仅对其最内核的功能进行讨论。

2.1、联动设备能力

该能力实际可以分为事件采集能力、安全处置能力、安全策略下发能力、安全检测下发能力、安全数据富化能力。

注意联动的设备可能是安全设备，也可能是数据库、Email等。

事件采集能力，指SOAR可以定时/实时增量采集到设备上指定的日志或者告警等信息，通过聚合、去重后上报至SOAR中成为独立的事件。

在该过程中，可以对事件的数据进行范式化处理。例如反弹Shell的数据，应当包含源IP、目的IP、目的端口、进程信息等。对于任意HIDS的反弹Shell数据都应遵循该标准，这样设备发生变更，剧本不用跟随进行变更。但该能力比较考验开发者业务能力，建议SOAR厂商定义。自建项目不用考虑该问题。

安全处置能力，指SOAR可以联动设备对其中的流程进行处置。

当联动的设备是工单系统或SOC时，SOAR需要对齐流程进行处置操作。该过程实际是通过自动化替代人工处置，提高效率。

安全策略下发能力，指SOAR可以联动设备下发安全策略。

例如WAF黑名单策略，HIDS检测白名单策略等。该过程实际是通过自动化替代人工处置，提高效率。

安全检测下发能力，指SOAR联动设备下发安全检测任务。

例如调用沙箱进行病毒检测，又或调用HIDS进行漏洞检测等。该过程实际是通过自动化替代人工处置，提高效率。

安全数据富化能力，指SOAR联动设备查询信息。某种场景下是内部威胁情报的扩展，但也不泛包含资产信息的查询。

例如：查询HIDS某主机信息，又或主机是否包含xx漏洞信息，又或该主机最近暴力破解信息。

2.2、自动化调度能力

该能力是SOAR的基础，也有很多时候被误认为与自动化脚本一直。（实际没毛病，高级版自动化脚本）

SOAR中的命令执行如何有条不紊，依赖于其自动化调度能力。

自动化调度能力包含手动调用设备命令的执行、剧本的手动执行、事件触发剧本执行、定时触发剧本执行。

该调度应当还考虑跨网域的可用性。有些场景中SOAR与安全设备不可直接连接，需要利用代理进行调度。

2.3、剧本编排能力

当事件的处理流程固化下来以后，形成的数字化流程即是SOAR剧本。

自动化脚本是需求方描述，程序员写入脚本中。而SOAR通过可视化界面，拖拉拽各种安全能力形成完整的流程。

在可视化界面中，允许用户定义各安全能力的输入引用。

为提高剧本的灵活性，剧本编排时应当还支持自定义脚本。

2.4、剧本执行结果审计能力

自动化脚本执行全靠日志输出来进行审计，某些时候更像一个黑盒子。

SOAR上应对剧本进行相应的剧本执行结果进行审计，其中包含剧本各个节点的输入输出信息。

3、SOAR建设中的问题

3.1、同类安全设备多厂家问题

该问题导致同一类型的告警相关数据不一致。同时，同一个处置方案，不复用。

解决方案：做好相关标准化的工作

3.2、厂商配合度不高导致设备对接困难

SOAR非常依赖底层厂商的能力。当设备无法对接或者稳定性存在隐患时，SOAR实施过程就非常痛苦。

解决方案：做好爬虫技术对接的备选方案

3.3、厂商的安全能力无法满足需求

信誓旦旦的上了SOAR，结果厂商安全能力不足。例如HIDS功能缺失主机查询命令执行功能，这个时候就需要SOAR直接联动主机或者通过跳板机/堡垒机进行查询命令执行。

解决方案：暂无完美方案

3.4、联动设备能力建设无法快速响应

想用一下SOAR，结果当前联动设备的能力有限，提需求后还需要开发。开发完毕后，之前的需求也不在强烈，甚至因开发周期过长而放弃使用。

解决方法：尽量避免过度定制设备能力，开放不只是提高使用灵活度和复用度，对于开发侧也是降低业务理解周期。

3.5、SOAR会不会干掉当前的安全运营

很多安服同学想，上了SOAR是不是就会干掉当前安全运营同学。SOAR只是提高了工作效率，仍需安全运营的同学对剧本进行持续化的优化。