从2013年起，张雷已经在网安行业摸爬滚打八九年了，他也从最初的小张晋级为张哥、老张。

在这八九年的时间里，他见证了网安行业得到了越来越多的重视，不断蓬勃发展。他也很庆幸自己选对了行业，积累了丰富的经验，成为颇受尊敬的老张。但这么多年来，一直让他头疼的一个问题是，安全部门作为公司里的费用部门，人少事多，在哪儿都逃脱不了告警处理不完的魔咒。尤其是现在的这家互联网公司，公司有5000+台服务器，但做安全的就只有老张他们四个人，一忙起来就是个黑天暗地。

这天，老张又像往常收到了一条异常登录告警。作为一名高级安全分析人员，这类告警当然难不倒他。通常，老张首先会判断一下这个账号是否为常用登录账号，登录的时间是否正常，来源IP是内网还是外网，或者查询一下威胁情报是否恶意，同时还要去检查一下这台机器是否有暴力破解的告警及弱密码漏洞等等。综合分析下来，判断一个告警至少需要5-10分钟。下面是老张总结整理的一个告警的标准处置流程：

图1 异常登录自动处置流程

一个告警用时5-10分钟，处理速度看起来还是蛮快的。但如果将告警的基数扩大100倍？1000倍呢？是的，这就是老张每天面临的困境——无穷无尽的告警烦恼......

随着网络安全上升到国家战略高度，老张所在的互联网公司也为了加强安全建设，码齐了很多安全设备。但这不但没能缓解这一问题，反而因为各个设备之间像是一座座孤岛，各自为战，导致告警数量激增，让整个不太乐观的情况更是雪上加霜。

如果每天不停地重复这些固定步骤，仅靠他们团队的四个人，根本没有办法处理完告警。但如果忽略告警，就很容易漏掉真正的威胁，造成的损失难以想象。老张想，什么时候能够开发一个神仙功能，一键点击，将这上千条的告警全部自动分析完，那该有多好呀！

青藤鹊桥·安全自动化编排与响应平台（SOAR）利用剧本流程将设备、告警事件和人员串联在一起，自动化或半自动化的对日常事件进行数据的富化与处置，用自动化运维理念为用户提供了智能、持续、稳定的安全事件响应能力和安全体系运维能力。以上文提到的异常告警分析流程为例，青藤鹊桥在对该流程进行自动化编排后，首先会判断来源IP是否为恶意，如果恶意则直接自动封停；同时查询是否存在弱密码暴力破解告警，并通知给相关运营人员对异常原因分析并做加权处理，如时间异常值为1、异常账号值为5、异常来源IP值为1、异常登录区域值为1，加权计算后如果大于等于6说明账号是账号异常导致的。然后查询资产清点信息，确认是否为活跃账号并分别对活跃和非活跃账号设置不同的封停时间并通知相关信息给运营人员。青藤鹊桥对上述流程的剧本编排如下所示：

图2 异常登录告警处置剧本编排

经过青藤鹊桥剧本编排后，老张处理一个告警的时间大大缩短了，从原来的5-10分钟缩短为现在的几秒钟。现在，老张再也不用将大部分时间用于处理重复性的枯燥工作了，而是将大部分时间用在处理更重要的工作上，成就感满满，整个人也变得神清气爽了。

图3 用自动化编排处理告警仅需3秒（示例）

那么SOAR是什么呢？SOAR除了有助于缩短告警处理时间，帮助安全人员提高运营效率，还能带来哪些价值呢？下面我们来详细解释一下。

SOAR是什么？

SOAR的英文全称是Security Orchestration, Automation and Response，中文说法就是安全编排、自动化及响应。这个术语大概是2017年由Gartner提出的，现如今在信息安全领域也不算是新概念了，但是它在市场中的应用却还并没有真实的发展起来。它可以理解为一系列技术的合集，借助编排与自动化技术，将人、设备、流程进行三位一体的融合，成为安全运营自动化协同系统，辅助安全运营人员的日常工作，提升安整体安全运营效率。

图4 SOAR是人、设备与流程三位一体的融合

SOAR的核心能力是什么？

SOAR平台有三大核心能力：设备对接、剧本编排和自动化响应。

 01 设备对接

SOAR可以通过自定义开发或者集成应用程序、硬件设备的API接口来统一管理使用所接入设备的能力，在合适的地方通过安全编排自动化地采取行动响应事件。对接的设备包括但不限于漏洞扫描器、终端保护产品、户行为分析系统、防火墙、入侵检测和入侵防御系统、安全信息事件管理平台，以及外部威胁情报源等。接入设备的能力可以通过剧本编排的方式调用，也可以通过协同聊天室的功能单独使用，让设备功能调用更加多元化，使用更加方便快捷。

 02 剧本编排

SOAR可以通过图形化的界面使用拖拽的方式实现安全剧本流程的可视化编排，可以根据不同事件所需要的具体操作动作自定义地编排处理流程并调用相应的资源设备进行处置和响应，如动作执行、逻辑判断、人工审核、子剧本调用等，辅助安全人员建立合理的工作流程快速响应处置事件。

 03 自动化响应引擎

SOAR可以根据事先接入的设备和编排的剧本，按照一定的逻辑快速调用设备相应功能来执行事件响应所需的操作并返回执行结果。自动化响应与处置引擎主要包括四大核心能力：

• 可编排的自动化能力：它可以按照既定的剧本执行安全运营中的工作流程，将以往大量繁琐、重复的人工操作自动化，大幅提高安全事件处置效率；
• 可扩展的安全能力：通过插件机制，对接各类网络及安全设备和系统平台，将它们联结起来，并根据剧本指令对告警信息进行响应操作；
• 优异的处理性能：内置强大的异步并行引擎，对成千上万的工作流程进行有效调度；
• 跨网络区域的操作能力：支持代理模式，只需要简单的网络策略修改，即可将相互隔离的网络区域内的各个设备与系统联结起来，实现跨网络协同和跨域通信。

为什么需要SOAR？

首先，随着基础设施和网络规模复杂性的增长，手动管理安全性和合规性变得越来越困难。手动操作可能会导致问题检测和修复速度变慢、资源配置错误以及策略应用不一致，从而导致系统容易产生合规性问题以及遭受攻击。这可能会导致代价高昂的计划外停机和整体功能下降。自动化可以帮助简化日常运营，并从一开始就将安全性集成到 IT 基础架构、流程、混合云结构和应用程序（或应用程序）中。全面部署安全自动化可以将入侵的平均成本降低95%。

其次，随着网络安全的不断普及和发展，越来越多的攻击已经转向自动化和智能化，单纯的靠人工处置和响应海量的攻击告警已经捉襟见肘。

再者，使用人工的成本也越来越高，SOAR可以让安全团队更有效率，腾出时间去做其他更有价值的事务。

最后，市场上由于根本没有足够的安全专业人员来满足每个组织的需求，自动化可以帮助安全团队做得更多、做得更快，从而帮助弥合这一人才缺口。

采用了SOAR之后，可以帮助企业实现以下价值：

• 让安全专家从繁重的重复劳动中释放出来，将时间放在更有价值的安全分析、威胁狩猎、流程建立等工作上。
• 将公司的安全运营流程数字化管理起来，每一次安全事件的对应处置过程都在统一标准、统一步骤下执行，有迹可循，避免人员能力的差距导致的处置实际效果不可控。
• 将安全专家的经验固化成处置预案剧本（Playbook），让不同的人都可以遵循同样的方法来完成特定安全事件的处置流程，避免因为个人的离职导致某个领域的安全能力缺失。

因为运营流程都通过剧本数字化管理且每一次的执行过程都记录在案，因此流程的 KPI 如 MTTD、MTTR、TTQ、TTI 等全部可评估、可度量、可追踪。通过自动化技术，尽可能多的自动完成一个安全事件的数据富化、聚合过程，从而缩短检测分析时间即 MTTD。通过合理的编排，充分调用自动化响应应用，将调查结论进行自动化执行，从而缩短响应时间即MTTR。

图5 SOAR可以显著缩短MTTD&MTTR的时间

SOAR与SIEM、SOC有什么关系？

在安全领域，SIEM、SOC发展得如火如荼，SOAR的功能与其存在交叉与重叠之处，那么这三者之间具体有何关系呢？

SOAR与SIEM的区别

在对比SOAR与SIEM时，理解关键差异并不容易，因为它们有许多相同的组件。SIEM（安全信息事件管理）是通过一种方法从各种安全、网络、服务器、应用程序和数据库中收集相关日志和事件数据的工具。常见的事件来源包括防火墙、入侵防御系统、防病毒和反恶意软件、数据防泄露工具和安全网关等。

SIEM 工具已经存在多年，发展相对比较成熟，但SOAR在安全领域还相对来说发展的初级阶段。

SIEM与SOAR都聚合了各种安全数据源，但信息来源的位置和数量不同。虽然 SIEM可以从传统基础设施组件源获取各种日志和事件数据，但SOAR也可以获取这些数据甚至更多，而且可以针对性的提供相应的处置操作等。例如，SOAR可以从外部威胁情报源、终端安全软件和其他第三方设备来获取信息，从而更好更全面了解网络内外的安全状况。SOAR根据告警自定义创建要遵循的调查路径，将分析提升一个级别。

此外，在比较SOAR与SIEM时，SIEM将仅提供告警，之后再由管理员决定调查的路径。然而，SOAR的自动化调查工作流程可以显著减少处理告警所需的时间。另外它还可以提供关于完成调查路径所需的安全管理技组合的培训。最终，如果可以正确的实施SOAR无疑可以提高网络安全团队的工作效率。

SOAR与SOC的关系

当前，许多公司正在着力建设自动化SOC，SOAR作为自动化基本安全工作流的代表性技术，可以说是SOC实现目标的关键技术之一。SOAR 在 SOC环境中可以实现以下功能：

• 通过安全编排功能可以连接和协调 SOC 中的多元工具集，以实现更高效的威胁获取、强化、监控和事件识别。
• 通过自动化功能可根据预定义参数自动触发工作流、任务和分类，从而帮助SOC采取更主动的安全措施。
• 通过响应与处置功能加速了 SOC 对低风险事件的通用性、针对性的处置，并通过启用单一视图访问、查询和共享威胁情报来支持分析人员的观点。

在上述的三大主要功能中，自动化加速手动任务的方式有很多种。SOAR的主要价值在于支持分析人员人工扩展处置自动化重复乏味的任务，以便 SOC 员工可以专注于更高级别的威胁。下面，我们介绍3个在企业SOC中增强安全分析人员能力的SOAR使用案例。

威胁情报协同：每天，SOAR平台都会获取数十万个IOC指标。IOC 是从内部和外部威胁情报源、恶意软件分析工具、终端检测和响应平台、SIEM系统、网络检测和响应工具、电子邮件收件箱、RSS 源、监管机构和其他数据库中收集的。SOAR 平台可以协调、聚合和显示来自这些工具的告警，并检测出现在它们之间的可疑IOC。

安全漏洞管理：过去，SOC分析人员依赖于手动管理清点安全漏洞，但是通过部署实施SOAR后可以自动执行多个 SOC 任务来处理告警、监控和简单的响应。具体来说，SOAR 将多个安全工具中的威胁数据相关联以计算风险并相应地对威胁进行优先级排序。

安全事件响应：自动化事件补救和响应流程旨在及时处理上游威胁以防止产生高昂的下游成本。SOC 中的 SOAR 处理几种常见安全威胁的补救和响应，例如网络钓鱼、恶意软件、拒绝服务、Web 篡改和勒索软件等等。

总结

最后，SOAR是一个值得投资的解决方案，可以随着企业的发展提高安全的成熟度。SOAR可以将检测、富化、执行等流程和相关工具很好地集成起来，无关于它的产品界面设计得有多漂亮，功能设计得有多花哨，平台有多庞大，当下最核心的能力是要能解决那些枯燥而重复的工作，协助安全运营人员把流程处置真正落地。

在安全运营过程中，安全人员的作用依然巨大，再多再好用的工具没有人来运营也发挥不出安全工具的真正价值，而且各种设备的孤岛效应也阻碍了设备效益的最大化。

聚沙成塔，集腋成裘，让我们每周一个流程自动化，解放安全运营者！