首页 > 其他分享 >1、认识soar

1、认识soar

时间:2023-03-09 12:23:57浏览次数:46  
标签:响应 认识 安全 编排 提升 运营 soar SOAR

  SOAR的概念最初是Gartner在2015年提出的,指的是“Security Operations, Analytics and Reporting Stack”,即“安全运维分析与报告”。

   随着安全技术与市场的演变,SOAR的定义也发生了变化。近些年,国内外安全厂商将重点都放在未知威胁检测上,但随着网络对抗的日益激烈,单纯提升检测能力已满足不了需求,客户需要的是集识别(Identify)、防御(Protect)、检测(Detect)、响应(Response)和恢复(Recovery)于一体的安全防护系统,即“IPDRR”。在这样的背景下,2017年Gartner将SOAR重新定义为“Security Orchestration, Automation and Response”,即“安全编排自动化与响应”。

   Gartner认为SOAR由三种技术融合而成,包括安全事件响应平台(SIRP)、安全编排与自动化(SOA)和威胁信息平台(TIP)。SOAR影响IPDRR的多个环节,但主要聚焦在RR(响应和恢复)阶段。

  总的来说,SOAR 是一系列技术的合集,它能够帮助企业和组织收集安全运维团队检测到的各种信息,并对这些信息进行事件分析和告警分诊。然后在剧本(Playbook)的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。

市场

  随着全球安全产业的发展,SOAR在市场上逐步走向成熟,SOAR更多是作为一种能力被融入到其他安全产品之中,例如安全运营中心(SOC)、安全信息和事件管理(SIEM)、托管检测和响应(MDR)等。在迅速成长的MDR中,SOAR就是一个关键的要素。而SIEM厂商一直通过收购或自建的方式构建SOAR,以提升对事件的响应能力。独立的SOAR产品也有一定市场空间,相对于内置的SOAR,客户更看重其灵活性和中立性。

SOAR的客户价值

● 提升安全运营效率以及事件闭环率

通过编排,SOAR将调查取证、处置、通知等多个环节整合在一个工作流里,自动化调度运行,减少了运营人员在不同工具之间来回切换的消耗。面对日益增多的威胁,SOAR的自动化能力有助于提升整体安全运营效率。

 ● 积累安全运营经验

通过剧本编排,可以将威胁处置的过程转变为工作流并记录保存,借此实现安全运营经验的积累和固化。案例集是对历史处置的归纳及特征补充,可供安全专家参考分析。

 ● 提升整合能力

SOAR能够把环境中现存的安全产品整合在一起,实现人机、机机之间的有效协作。SOAR能够更充分地使用威胁信息系统,使其发挥更大的价值。

 ● 提升需求满足敏捷度

在硬编码模式下,客户新业务的需求往往要依赖版本升级才能够实现, 在内部部署(OP)场景下版本迭代周期长,客户满意度难以得到保障。而SOAR与生俱来的低代码编排能力赋予了系统开放性的特征,安全运营团队很容易就能实现工作流创建和改进,帮助客户实现需求变化敏捷落地。

 此外,SOAR的作用在安全托管服务中体现的尤为明显,因为它可以显著提升威胁处置的速度和一致性,从而提升服务级别协议(SLA)规定的服务水平。

标签:响应,认识,安全,编排,提升,运营,soar,SOAR
From: https://www.cnblogs.com/qinke/p/17197920.html

相关文章

  • 深入认识setState
    深入认识React类组建修改状态-setStatesetState,它对状态的改变,可能是异步的;如果改变状态的代码处于HTML元素事件中,则其是异步的,否则是同步如果遇到某个事件中,需要同步......
  • python的基本认识
    python的基本认识 初识python:python是一种跨平台的、开源的、免费的、解释型的高级编程语言;python的应用领域十分广泛、如web编程、图像处理、黑客编程、网络爬虫和......
  • 认识交换机硬件
    产品总站点:https://info.support.huawei.com/info-finder/search-center/zh/enterprise/switch#switch以基础交换机和数据中心交换机两种典型产品来认识交换机CloudEngin......
  • 认识Servlet
    Servlet(ServerApplet)是Java Servlet的简称,称为小服务程序或服务连接器,用Java编写的服务器端程序,具有独立于平台和协议的特性,主要功能在于交互式地浏览和生成数据,生......
  • sequence:从认识到会使用,今儿给你讲的透透的
    摘要:本文简单介绍sequence的使用场景及如何修改sequence的cache值提高性能。本文分享自华为云社区《​​GaussDB(DWS)关于sequence的那些事​​》,作者:Arrow0lf。什么是sequ......
  • sequence:从认识到会使用,今儿给你讲的透透的
    摘要:本文简单介绍sequence的使用场景及如何修改sequence的cache值提高性能。本文分享自华为云社区《GaussDB(DWS)关于sequence的那些事》,作者:Arrow0lf。什么是sequence......
  • 缓存穿透、雪崩、击穿简单认识
    缓存穿透原因:同一时间大量请求访问缓存中不存在的数据,因为缓存中没有,所以大量请求直接进入数据库,但是数据库中也没有,导致一时间数据库请求量过大!处理办法:布隆过滤器......
  • 认识事件驱动
    针对什么代码做事件驱动什么代码值得基于事件做拆分?目标是为了高性能,服务里对资源操作速度由快到慢:CPU>内存>磁盘>网络。由于CPU和内存都是纳秒级,故只有磁盘和网络......
  • 认识数据标签
    目录数据标签体系什么是数据标签体系数据标签的分类按照计算方式分类按照更新时间分类数据标签体系与用户画像数据标签与用户画像的关系如何构建常见审计平台的数据标签体......
  • 关于OpenShift(OKD)网络Service、Routes的一些认识
    写在前面博文内容为OpenShift网络相关组件Service、Routes的一些认识理解不足小伙伴帮忙指正傍晚时分,你坐在屋檐下,看着天慢慢地黑下去,心里寂寞而凄凉,感到自己的生......