什么是SOAR？

SOAR产生的背景

随着网络安全攻防对抗的日趋激烈，网络安全单纯依靠防范和阻止的策略已经失效，必须更加注重检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。

正是在这样的背景下，检测和响应类产品受到了极大的关注。放眼国内，更多的注意力集中到了新型检测产品，尤其是未知威胁检测领域。借助这些产品和技术，用户获得了更低的 MTTD（Mean Time to Detect，平均检测时间），能够更快更准确地检测出攻击和入侵。但是，这些产品和技术大都没有帮助用户降低 MTTR（Mean Time to Recovery，平均响应时间）。事实上，对于用户而言，更快地检测出问题仅仅是第一步，如何快速地对问题进行响应更加重要。而在提升安全响应效率的时候，不能仅仅从单点（如单纯从端点或者网络）去考虑，还需要从全网整体安全运维的角度去考虑，要将分散的检测与响应机制整合起来。而这，正是 SOAR 要解决的问题。

SOAR的核心能力

从功能的角度看，SOAR具有如下核心能力：

• 告警分类和优先级定义：该功能方便运营团队聚焦在会对组织产生重大影响或破坏力的威胁告警上，减轻告警疲劳。
• 案例集管理和协作：案例集是对过往响应处置的经验积累，可供安全分析师参考，提升分析效率。结合特征抽取及机器学习等技术可实现剧本（Playbook）自动推荐等高级能力。
• 编排和自动化：编排和自动化将不同的安全工具协调整合在一个流程里并自动化运行，显著提升了运营效率，降低了威胁对环境产生的影响。SOAR需要提供直观的UI工具，用以轻松编排和设计剧本，还需要具有与广泛已知及未知的安全产品集成的能力，比如防火墙、终端、沙箱、邮件短信网关等等。
• 威胁信息调查：威胁信息调查服务通过威胁信息库为威胁判定提供取证信息，从而提升事件处置的准确率。这个过程可以被编排在工作流中，并根据取证结果决定后续的最佳处置方式。

另外，从架构的角度来看，通过冗余和弹性扩容等方式可保障SOAR的高可靠可用性，充分关注编排执行的性能，提供完善的权限管理，支持在内部部署（OP）场景和云上流通部署等。

SOAR核心能力对应到产品模块，分别是安全事件响应平台（Security Incident Response Platform，SIRP）、安全编排自动化（Security Orchestration and Automation，SOA）、威胁情报平台（Threat Intelligence Platforms，TIP）。

• 安全编排自动化

  安全编排自动化（SOA）是整个业务的核心，因为是SOA塑造出了全新的安全响应，将安全响应工作从“手动挡”升级到了“手自一体”。SOA负责组织各类响应动作的编排操作，并关联相关的设备实例，完成某一特定事件发生时的威胁响应动作闭环。

  如果编排的过程完全都是依赖各个相关系统的 API 实现的，那么它就是可以自动化执行的。与自动化编排对应的，还有人工编排和部分自动化编排。无论是自动化的编排还是人工的编排，都可以通过剧本（Playbook）来进行表述。而制成剧本执行的引擎通常是工作流引擎。为了方便管理人员维护剧本，SOAR 通常还提供一套可视化的剧本编辑器。下图为一个编排实例。

  

• 安全事件响应平台

  安全事件响应平台（SIRP）在 SOAR 出现之前就一直存在，是一个针对安全事件进行响应和处置的平台。但 SOAR 出现后，安全事件响应与安全编排与自动化的结合使得响应的能力获得了极大的提升。通常，安全事件响应包括告警管理、工单管理、案例管理等功能。

• 威胁情报平台

  威胁情报平台 (TIP) 是 Gartner 在 2014 年定义的一个细分市场，通过对多源威胁情报的收集、关联、分类、共享和集成，以及与其它系统的整合，协助用户实现攻击的阻断、检测和响应。威胁情报主要是以服务而非平台的形式存在。目前 TIP 市场规模不大，厂商不多，有的是独立存在，有的依附于威胁情报服务，还有的跟安全响应结合，融合到 SOAR 里面。

SOAR与SIEM的区别

SOAR和SIEM（Security Information and Event Management，安全信息和事件管理）都会收集信息，并标记异常。但两者也存在明显差异：

• SIEM技术最初是作为合规性报告工具出现的，主要用于记录和管理大量安全事件数据。
• SOAR的出现是为了添加大多数标准SIEM所缺乏的以安全为中心的功能，如编排、自动化响应功能。SOAR通过使用自动化剧本或工作流和人工智能（AI）学习模式行为，实现自动化响应。

随着全球安全产业的发展，SOAR在市场上逐步走向成熟，SOAR更多是作为一种能力被融入到其他安全产品之中，例如安全运营中心（SOC）、安全信息和事件管理（SIEM）、托管检测和响应（MDR）等。SIEM厂商一直通过收购或自建的方式构建SOAR，以提升对事件的响应能力。独立的SOAR产品也有一定市场空间，相对于内置的SOAR，用户更看重其灵活性和中立性。

SOAR的价值

SOAR的价值体现在以下几个方面：

1. 减轻告警疲劳

   根据Gartner的定义，SOAR是将事件响应、编排与自动化、威胁信息组合在一起的一种解决方案。这些技术都曾经以独立产品的形式提供给客户，但是过多的单点解决方案不仅带来了预算和人力上的压力，而且工具的复杂性和重复性使得管理员一天内收到大量的告警，从而产生告警疲劳，而SOAR通过整合与自动化可以有效减少不必要告警，减轻告警疲劳。

2. 提升响应速度

   攻击在环境中的进展速度越来越快，所以发现疑似威胁之后仅仅发出告警和通知是远远不够的，客户期望安全服务能够快速地主动遏制和消减威胁对环境的破环，SOAR正是在主动响应和处置方面发挥了重要作用。

3. 提升安全运营效率以及事件闭环率

   通过编排，SOAR将调查取证、处置、通知等多个环节整合在一个工作流里，自动化调度运行，减少了运营人员在不同工具之间来回切换的消耗。面对日益增多的威胁，SOAR的自动化能力有助于提升整体安全运营效率。

4. 积累安全运营经验

   通过剧本编排，可以将威胁处置的过程转变为工作流并记录保存，借此实现安全运营经验的积累和固化。案例集是对历史处置的归纳及特征补充，可供安全专家参考分析。

5. 提升整合能力

   SOAR能够把环境中现存的安全产品整合在一起，实现人机、机机之间的有效协作。SOAR能够更充分地使用威胁信息系统，使其发挥更大的价值。

6. 提升需求满足敏捷度

   在硬编码模式下，客户新业务的需求往往要依赖版本升级才能够实现， 在内部部署（OP）场景下版本迭代周期长，客户满意度难以得到保障。而SOAR与生俱来的低代码编排能力赋予了系统开放性的特征，安全运营团队很容易就能实现工作流创建和改进，帮助客户实现需求变化敏捷落地。

SOAR在华为HiSec Insight中的实践

HiSec Insight是华为公司推出的安全态势感知产品，形态上接近SIEM类产品。HiSec Insight安全态势感知系统基于大数据平台，集威胁检测、威胁阻断、取证、溯源、响应、处置与一体，助力客户完成全流程威胁事件闭环。

HiSec Insight的闭环能力得益于在2019年产品就集成了自研的SOAR组件。凭借SOAR的引入，HiSec Insight的事件处置周期能够由天级缩短到分钟级，平均恢复时间（MTTR）大幅降低，同时事件闭环率和处置率也得到显著提升。

另外，HiSec Insight能够作为连续两年入选Gartner MQ象限唯一的中国产品，其中一个因素就是产品包含了响应与编排能力，因此SOAR的重要性不言而喻。

下图展示了HiSec Insight SOAR的基本架构：

1. 数据采集

   HiSec Insight可以采集镜像流量和多种格式安全日志，通过预处理加工后，数据被发送到数据总线供威胁检测模块进行分析。

2. 威胁分析

   威胁分析引擎通过关联分析、人工智能检测、威胁判定等技术手段发现威胁事件，并完成事件分类和优先级设置。此时如果有就绪的剧本与事件匹配，SOAR便会第一时间介入，按剧本流程启动对事件的处置。

3. 事件管理

   在HiSec Insight中事件管理属于独立的服务，主要提供事件查询和管理的能力。在事件管理中，用户可以选择特定的聚合事件，以手动的方式选取剧本进行编排处置。

4. 编排管理

   编排管理包含响应动作配置和剧本配置两个模块。

   • 动作配置用于完成对安全工具的App封装，包括认证方式、访问凭证、访问地址等设备配置信息，以及对工具API接口的Action封装。HiSec Insight预置了大量的安全设备类型（以华为设备为主）和响应动作的配置，也提供了与第三方设备对接的配置能力。
   • 剧本配置提供剧本编辑和剧本管理功能。HiSec Insight SOAR提供了可视化的剧本编辑工具，允许用户以拖拽的方式完成剧本的创作。工具采用了业界主流的纵向排版方式，内置了响应动作、过滤、条件判断、聚合、人工决策、数据格式化等多种节点，并逐渐补充了子流程嵌套、循环等能力。

   通过预置的大量剧本（Playbook）和动作（Action），HiSec Insight将积累的安全经验传递给客户，并为客户提供“开箱即用”的能力。

5. 自动化执行

   HiSec Insight SOAR提供了自动触发和手动触发剧本执行的两种方式。自动执行剧本通过匹配事件类型的方式触发，手动执行由用户选择适当的剧本进行事件处置。

   剧本运行的过程中，执行引擎会调用威胁信息系统进行取证判断，根据取证结果决定后续流程。通过前面的叙述我们可以了解到，编排的关键是对不同安全工具的调用，这部分也是通过编排执行引擎实现的。HiSec Insight SOAR根据动作管理的配置完成与各种安全工具、系统和服务的对接，包括用户的第三方设备。

6. 案例管理

   剧本执行的结果会形成task用以归档查看。同一类型事件的task自动汇聚形成案例集，用于辅助安全专家做参考分析。