色控传媒

在網路安全方面，SOAR 代表安全调度、自动化和回应。它包含任何可讓公司收集和分析網路安全相關資料的軟體或工具。

什麼是 SOAR，它如何運作？

SOAR 系統能讓企業組織運用各種工具與功能，利用所有網路安全相關資料來改善事件回应。

SOAR 系統的主要組件為：

调度

安全调度功能整合和分析各種技術與安全工具的資料，以加速並改善事件回应。调度也涉及協調不同的網路安全技術，以協助組織處理複雜的網路安全事件。舉例來說，SOAR 工具可以整合網路安全 IT 操作資料，利用網路監控工具的資料作為防火墙規則的基準。

自动化

任何 SOAR 工具的關鍵功能之一是自动化，它消除了手動偵測和回应安全事件的非常耗時的需求。舉例來說，SOAR 系統可自動分類特定類型的事件，並允許安全團隊定義標準化的自动化程序，例如決策工作流程、健康檢查、執行與遏制，以及稽核。

回应

SOAR 平台從其他安全工具收集資料，如安全性資訊和事件管理（SIEM）系統和威脅情報摘要。他們優先處理安全事件，並將安全事件的重要資訊傳送給安全人員。

个案管理

个案管理是任何 SOAR 平台的基本要素。个案管理功能讓安全分析人員能夠存取個別個案記錄，以便動態分析與互動任何與特定事件相關的資料，並利用該分析來改善與迭代其安全回应流程。

仪表板

SOAR 工具的仪表板提供與數字 1、2、3、4 和以上有關的所有事項的概述，即所有與安全相關的資料和活動，包括明顯事件及其嚴重性、教戰手冊、與其他安全工具的連結、工作負載，甚至是自动化活動的投資報酬率摘要。一般來說，您可以依時段、資料來源或使用者來篩選 SOAR 仪表板。可依您的規格開啟、关闭或重新排列小工具。簡而言之，它是您監控 SOAR 系統所有運作狀況，以及運作成效的中心樞紐。

SOAR 解决方案如何識別威脅？

SOAR 系統瀏覽並收集各種來源的資料，然後結合人類與機器學習來分析這些資料，以偵測潛在威脅，並排定事件回应計畫與行動的優先順序。通常，公司會將 SOAR 系統自动化，使其能夠最有效地支援網路安全。

SOAR 資料來源

SOAR 系統從許多不同來源提取和分析資料，包括：

• 弱点扫描程式，是设计用来评估电脑、网路或应用程式安全性弱点的电脑程式。
• 端点保护软体，可保护组织的端点，如伺服器和个人电脑，免受恶意软体感染、网路攻击和其他威胁。
• 防火墙 是基於预定的安全规则来监控和控制传入和传出网路流量的网路安全系统。
• 入侵侦测和入侵防护系统，这是网路安全工具，可持续监控网路是否有恶意活动，并採取行动加以防范。
• 资安资讯与事件管理（厂滨贰惭）平台，将日誌资料、资安警示和事件汇整到集中式平台，以进行安全性监控和警示的即时分析。
• 外部威胁情报摘要，包括從第三方供應商收集的任何可操作的威脅資料，以增強網路威脅回应和意識。

SOAR 的主要優點

SOAR 系統透過兩項主要優勢，實現更有效且高效率的事件回应：

• 更快速的事件回应：SOAR 幫助公司減少平均侦测时间（惭罢罢顿）和平均还原时间（惭罢罢搁），將安全警示獲得认证所需的時間從數月或數週補救為數分鐘。SOAR 也能透過稱為教戰手冊的程序，實現事件回应自动化。自动化的行動包括封鎖防火墙或 IDS 系統的 IP 位址、暫停使用者帳戶，以及將受感染的端點與網路隔離。
• 更好的网路安全情报：由於 SOAR 系統能夠彙整和分析來自許多不同來源的資料，因此能強化所有類型網路安全威脅的背景，並減少錯誤警報，幫助安全團隊更快速而非更努力地工作。

SOAR 與 SIEM

SOAR 和 SIEM 都處理安全威脅的資料，並實現更好的安全事件回应。

然而，SIEM 會彙整並關聯來自多個安全系統的資料，以產生警示，而 SOAR 則作為這些警示的補救和回应引擎。

為了使用汽車類比，SIEM 是汽車引擎的燃料，引擎本身是 SOAR，因為它使用燃料來提供結果和動作，並使一切自動運行。

SOAR 工具應注意什麼

無論您使用何種 SOAR 工具，都應該能夠：

• 擷取并分析来自各种安全系统的资料与警示。
• 打造自动化工作流程，幫助公司識別、排定優先順序、調查並回应網路安全威脅和警示。
• 与其他工具轻鬆整合，以改善营运。
• 執行事後分析，以改善回应流程與事件回应效率。
• 自动化大多數安全作業，以消除冗餘，並讓安全團隊專注於需要更多人為參與的任務。

當然，SOAR 系統可能含有更多鈴鐺和哨子，但請考量上述任何 SOAR 工具的必備項目。

真實世界 SOAR 範例：網路釣魚回应

網路釣魚電子郵件不僅對個人，也對企業安全團隊造成重大威脅，因為其中一些電子郵件經過精心設計，足以執行高知名度的資料外洩。有了 SOAR 系統，公司不僅能抵禦網路釣魚攻擊，還能預防未來發生。

SOAR 工具透過擷取和分析各種偽影來檢查可疑的惡意電子郵件，包括標題資訊、電子郵件地址、URL 和附件。然後，它會對威脅進行分類，以確定威脅是否構成威脅，如果構成威脅，威脅的嚴重性。

如果 SOAR 工具判定電子郵件是惡意的，它將：

• 封锁它和其他信箱中的任何其他实例。
• 防止与电子邮件相关的可执行档执行。
• 封鎖來源 IP 位址或 URL。
• 如有需要，隔离受影响的使用者工作站。

當然，SOAR 系統並不保證每封網路釣魚電子郵件都會被攔截。如果確實遇到問題，案例管理功能可讓安全團隊調查所發生的情況，以及原因，並運用這些知識來改善 SOAR 系統的威脅偵測。

厂翱础搁：底线

SOAR 系統可將調查和回应時間從數小時縮短至數分鐘。此外，他們只使用最高品質的威脅資料來簡化資安作業，進而大幅降低組織風險。最終，他們允許對人類分析師和人類情報進行更具策略性的配置，使公司能夠最大化內部资源，同時將外部威脅降至最低。