知己知彼,百战不殆!SOAR威胁情报能力盘点
从2015年到2022年,Gartner对SOAR(安全编排自动化与响应)的定义几经变化:
2015年,安全运营(Security Operations),分析(Analytics)和报告(Reporting)
2019年,安全编排自动化与响应(Security Orchestration, Automation and Response)
2022年,SOAR平台是在单个平台中结合事件响应(SIRP)、编排和自动化(SOA)以及威胁情报管理(TIP)功能的解决方案
但万变不离其宗,归根结底还是围绕安全运营这个核心流程进行丰富和完善。
威胁情报是SOAR的重要功能,通过对多源威胁情报的收集、关联、分类、共享和集成,以及与其他系统的整合,实现对网络攻击的检测、响应和阻断。
专注网络安全可视化领域11年,安博通网络安全智能运营与协同响应平台深刻诠释了SOAR理念,将威胁情报管理作为核心组件之一,帮助用户实现高效剧本编排和自动化响应。
威胁情报聚合管理
平台提供安博通自主研发的预置威胁情报功能,支持开源情报更新、手动新增与批量导入、第三方威胁情报对接。
基于统一标准对威胁情报数据进行融合,使多源情报按照一致的格式入库和展示,提升操作便利性。
支持威胁情报的快速检索,基于自研的AQL可变数据库检索引擎,可多字段多条件自定义检索。
提供多源情报的质量评价方法,给出情报可信度评分。
威胁情报扩展分析
基于实时流量的威胁情报检测机制,实时发现威胁,第一时间抵御安全风险。
基于威胁情报的告警日志收敛功能,可快速对海量告警日志进行二次研判。
基于告警事件的威胁情报关联分析,针对告警中的IP、域名、文件Hash等字段匹配威胁情报,为安全运营人员提供更多维度的情报信息,提升决策精准性。
基于攻击IP的威胁情报溯源画像,快速对攻击IP进行追踪溯源。
基于威胁情报的自动化封禁功能,对已知但尚未造成威胁的攻击IP,提前设置阻断访问策略。
威胁情报可视化
基于BI仪表盘可定制本地威胁情报态势,将威胁情报与安全响应有机结合,从情报来源、情报融合、情报处理等多个维度进行呈现,宏观展示本地安全的运营态势。
网络安全智能运营与协同响应平台是SOAR理念的深度实践,不仅能帮助安全运营团队梳理现有安全运营流程、完成安全剧本编排、实现安全事件自动化响应,而且还能增强安全团队的威胁情报管理能力,让威胁情报成为安全运营的地基。