SOAR技术驱动安全运营快速落地实践

0x01SOAR介绍

Chat-GPT介绍如下：

随着soar技术的不断演进，其定义也在发生变化，2020年，Gartner定义如下：

SOAR是一类从各种来源获取输入，并应用工作流来拉通各种安全过程与规程，从而为安全运营人员提供机器协助的解决方案。这些规程可以被编排（通过与其它技术的集成）并自动执行以达成预期结果，譬如分诊管理，事件响应，威胁情报，合规性管理和威胁猎捕。

SOAR = 安全编排自动化 + 安全应急响应平台 +威胁情报平台

三个层次（资源整合，统一指挥）

安全联动、运维操作批处理、软件定义安全。下图中红色部分为SOAR核心，

图文来源网络

用户视角

图文来源网络

安全能力编排

图文来源网络

全流程自动化

图文来源网络

告警响应自动化

图文来源网络

事件分析关联化

图文来源网络

案件管理

图文来源网络

SOAR价值

0x02演示环境

https://w5.io/

 

0x03实践演示

W5 是一个面向企业安全与运维设计的 低代码 自动化平台，可以让团队降低 人工成本，提升 工作效率。可以把代码 图形化、可视化、可编排。让不同的系统，不同的组件通过 APP 进行封装形成平台能力，通过剧本画出你想要的逻辑过程，利用多种 Trigger 去实现自动化执行。W5 适应面非常广泛，可用于多个方向，例：Devops、安全运营、自动化渗透、工作流程等。    

1.Docker环境部署

登录首页

2.这里仅演示操作逻辑和简单的使用场景，在真实环境中操作思路是一样的。

演示1：IP归属地查询，编排剧本

执行剧本

日志报告

演示2：Linux命令执行，编排剧本

这里设置了定时器，点击开始到点自动执行

查看飞书通知情况

日志报告

这里使用了默认集成的APP，有兴趣研究的可以自行开发。

目前平台集成的APP部分如下。

SOAR以安全能力编排和自动化为技术核心，以安全事件响应结果为有效应用场景，充分利用第三方安全工具、威胁情报、安全能力等，助力安全运营人员高效开展各项安全运营工作从而快速驱动安全运营落地实践。SOAR平台整合各类数据为基础，有效构建安全运营框架的同时增加了一个以流程为中心的编排层，进一步完善和丰富了安全运营的体系，将人、流程、技术和工具整合到一起统一指挥，提升了安全运营的实战化水平。

在大模型快速推广的当下环境，ChatGPT等基于AI的Chatbot技术逐步成熟，超自动化技术不断应用到安全领域，SOAR除了在自动化运营方面继续上台阶外，还能提供更智能的交互式运营手段，SOAR的应用场景将更为广阔。

SOAR引领驱动的安全运营时代已经到来。