1 SOAR概念介紹

SOAR的概念最初是Gartner在2015年提出的，指的是“Security Operations, Analytics and Reporting Stack”，即“安全運維分析與報告”。

隨著安全技術與市場的演變，SOAR的定義也發生了變化。近些年，國內外安全廠商將重點都放在未知威脅檢測上，但隨著網絡對抗的日益激烈，單純提升檢測能力已滿足不了需求，客戶需要的是集識別（Identify）、防御（Protect）、檢測（Detect）、響應（Response）和恢復（Recovery）于一體的安全防護系統，即“IPDRR”。在這樣的背景下，2017年Gartner將SOAR重新定義為“Security Orchestration, Automation and Response”，即“安全編排自動化與響應”。

Gartner認為SOAR由三種技術融合而成，包括安全事件響應平臺（SIRP）、安全編排與自動化（SOA）和威脅信息平臺（TIP）。SOAR影響IPDRR的多個環節，但主要聚焦在RR（響應和恢復）階段。

總的來說，SOAR 是一系列技術的合集，它能夠幫助企業和組織收集安全運維團隊檢測到的各種信息，并對這些信息進行事件分析和告警分診。然后在劇本（Playbook）的指引下，利用人機結合的方式幫助安全運維人員定義、排序和驅動標準化的事件響應活動。

2 市場分析與客戶價值

隨著全球安全產業的發展，SOAR在市場上逐步走向成熟，SOAR更多是作為一種能力被融入到其他安全產品之中，例如安全運營中心（SOC）、安全信息和事件管理（SIEM）、托管檢測和響應（MDR）等。在迅速成長的MDR中，SOAR就是一個關鍵的要素。而SIEM廠商一直通過收購或自建的方式構建SOAR，以提升對事件的響應能力。獨立的SOAR產品也有一定市場空間，相對于內置的SOAR，客戶更看重其靈活性和中立性。

SOAR的客戶價值體現在以下幾個方面：

● 減輕告警疲勞

根據Gartner的定義，SOAR是將事件響應、編排與自動化、威脅信息組合在一起的一種解決方案。這些技術都曾經以獨立產品的形式提供給客戶，但是過多的單點解決方案帶來了預算和人力上的壓力，工具的復雜性和重復性使告警疲勞進一步加劇，而SOAR通過整合與自動化可以有效減輕告警疲勞。

● 提升響應速度

攻擊在環境中的進展速度越來越快，所以發現疑似威脅之后僅僅發出告警和通知是遠遠不夠的，客戶期望安全服務能夠快速地主動遏制和消減威脅對環境的破環，SOAR正是在主動響應和處置方面發揮了重要作用。

● 提升安全運營效率以及事件閉環率

通過編排，SOAR將調查取證、處置、通知等多個環節整合在一個工作流里，自動化調度運行，減少了運營人員在不同工具之間來回切換的消耗。面對日益增多的威脅，SOAR的自動化能力有助于提升整體安全運營效率。

● 積累安全運營經驗

通過劇本編排，可以將威脅處置的過程轉變為工作流并記錄保存，借此實現安全運營經驗的積累和固化。案例集是對歷史處置的歸納及特征補充，可供安全專家參考分析。

● 提升整合能力

SOAR能夠把環境中現存的安全產品整合在一起，實現人機、機機之間的有效協作。SOAR能夠更充分地使用威脅信息系統，使其發揮更大的價值。

● 提升需求滿足敏捷度

在硬編碼模式下，客戶新業務的需求往往要依賴版本升級才能夠實現， 在內部部署（OP）場景下版本迭代周期長，客戶滿意度難以得到保障。而SOAR與生俱來的低代碼編排能力賦予了系統開放性的特征，安全運營團隊很容易就能實現工作流創建和改進，幫助客戶實現需求變化敏捷落地。

此外，SOAR的作用在安全托管服務中體現的尤為明顯，因為它可以顯著提升威脅處置的速度和一致性，從而提升服務級別協議（SLA）規定的服務水平。

3 SOAR關鍵能力分析

從功能的角度看，SOAR具有如下核心能力：

告警分類和優先級定義：

該功能方便運營團隊聚焦在會對組織產生重大影響或破壞力的威脅告警上，減輕告警疲勞。

案例集管理和協作：

案例集是對過往響應處置的經驗積累，可供安全分析師參考，提升分析效率。結合特征抽取及機器學習等技術可實現劇本自動推薦等高級能力。

編排和自動化：

編排和自動化將不同的安全工具協調整合在一個流程里并自動化運行，顯著提升了運營效率，降低了威脅對環境產生的影響。SOAR需要提供直觀的UI工具，用以輕松編排和設計劇本，還需要具有與廣泛已知及未知的安全產品集成的能力，比如防火墻、終端、沙箱、郵件短信網關等等。

威脅信息調查：

威脅信息調查服務通過威脅信息庫為威脅判定提供取證信息，從而提升事件處置的準確率。這個過程可以被編排在工作流中，并根據取證結果決定后續的最佳處置方式。

另外，從架構的角度來看，通過冗余和彈性擴容等方式可保障SOAR的高可靠可用性，充分關注編排執行的性能，提供完善的權限管理，支持在OP場景和云上流通部署等。

4 SOAR在HiSec Insight中的實踐

HiSec Insight是華為公司推出的安全態勢感知產品，形態上接近SIEM類產品。HiSec Insight基于大數據平臺，集威脅檢測、威脅阻斷、取證、溯源、響應、處置于一體，助力客戶完成全流程威脅事件閉環。

HiSec Insight的閉環能力得益于在2019年產品就集成了自研的SOAR組件。憑借SOAR的引入，HiSec Insight的事件處置周期能夠由天級縮短到分鐘級，平均恢復時間（MTTR）大幅降低，同時事件閉環率和處置率也得到顯著提升。

另外，HiSec Insight能夠作為連續兩年入選Gartner MQ象限唯一的中國產品，其中一個因素就是產品包含了響應與編排能力，因此SOAR的重要性不言而喻。

下圖展示了HiSec Insight SOAR的基本架構。

● 數據采集

HiSec Insight可以采集鏡像流量和多種格式安全日志，通過預處理加工后，數據被發送到數據總線供威脅檢測模塊進行分析。

● 威脅分析

威脅分析引擎通過關聯分析、人工智能檢測、威脅判定等技術手段發現威脅事件，并完成事件分類和優先級設置。此時如果有就緒的劇本與事件匹配，SOAR便會第一時間介入，按劇本流程啟動對事件的處置。

● 事件管理

在HiSec Insight中事件管理屬于獨立的服務，主要提供事件查詢和管理的能力。在事件管理中，用戶可以選擇特定的聚合事件，以手動的方式選取劇本進行編排處置。

● 編排管理

編排管理包含響應動作配置和劇本配置兩個模塊。

動作配置用于完成對安全工具的App封裝，包括認證方式、訪問憑證、訪問地址等設備配置信息，以及對工具API接口的Action封裝。HiSec Insight預置了大量的安全設備類型（以華為設備為主）和響應動作的配置，也提供了與第三方設備對接的配置能力。

劇本配置提供劇本編輯和劇本管理功能。HiSec Insight SOAR提供了可視化的劇本編輯工具，允許用戶以拖拽的方式完成劇本的創作。工具采用了業界主流的縱向排版方式，內置了響應動作、過濾、條件判斷、聚合、人工決策、數據格式化等多種節點，并逐漸補充了子流程嵌套、循環等能力。

通過預置的大量劇本和Action，HiSec Insight將積累的安全經驗傳遞給客戶，并為客戶提供“開箱即用”的能力。

● 自動化執行

HiSec Insight SOAR提供了自動觸發和手動觸發劇本執行的兩種方式。自動執行劇本通過匹配事件類型的方式觸發，手動執行由用戶選擇適當的劇本進行事件處置。

劇本運行的過程中，執行引擎會調用威脅信息系統進行取證判斷，根據取證結果決定后續流程。通過前面的敘述我們可以了解到，編排的關鍵是對不同安全工具的調用，這部分也是通過編排執行引擎實現的。HiSec Insight SOAR根據動作管理的配置完成與各種安全工具、系統和服務的對接，包括用戶的第三方設備。

● 案例管理

劇本執行的結果會形成task用以歸檔查看。同一類型事件的task自動匯聚形成案例集，用于輔助安全專家做參考分析。

5 HiSec Insight SOAR的未來展望

支持云上部署已經成為SIEM類產品的發展趨勢，SOAR作為核心組件也將迎來云化改造。為了支撐上云后業務規模的動態增長，SOAR在架構上需要支持平滑擴容等云原生特性。

上云后，SOAR需要具備完整的多租戶能力，包括劇本和聯動設備的租戶級管理、劇本執行記錄和案例的分租戶查看等等。利用云上的威脅信息服務，SOAR調查取證準確率將得到進一步提升，同時威脅信息服務的價值也可以得到更加充分的發揮。

SOAR在未來會提供完善的三方集成框架，設備或服務將以App插件的形式動態地集成到SOAR上。由于App封裝了與設備聯動的復雜邏輯，用戶的配置難度將會大幅降低，SOAR與三方集成的能力也會顯著增強，有利于形成以HiSec Insight為主的生態環境。

6 結束語

網絡攻防對抗日趨激烈，客戶環境時時刻刻都要面對海量攻擊的威脅，唯有提升自動化檢測、響應與恢復能力，才能為客戶提供有效的安全防護，保證核心業務的平穩運行。然而自動化只是一種手段，SOAR也只是一個工具，由工具所承載的安全運營經驗才是決定最終落地效果的關鍵。因此從SOAR的角度看，一方面要提供高質量的預置能力，包括預置編排劇本和預置設備配置等，力爭以開箱即用的方式解決客戶現場80%以上的問題。另一方面要增強內功，提升編排靈活性和易用性、執行引擎的穩定性和效率，同時具備強大的三方集成能力，幫助安全團隊高效地利用工具，通過人機協同實現高效、智能的安全運營。

參考文獻： Lawson C, Price A. Market guide for security orchestration, automation and response solutions[R]. Technical Report. Gartner, 2022.