This is the Trace Id: 2b474d038e9bea10940223d12566bed6
跳转至主内容 Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview 智能 Microsoft Security Copilot 副驾驶® Microsoft Sentinel 查看所有产品 AI 支持的网络安全 云安全 数据安全与治理 标识和网络访问 隐私和风险管理 AI 安全性 中小型企业 统一安全运营 零信任 价格 服务 合作伙伴 为什么选择 Microsoft 安全 网络安全意识 客户案例 安全性 101 产品试用 行业认可 安全响应中心 Microsoft 安全博客 Microsoft 安全活动 Microsoft 技术社区 文件 技术内容库 培训和认证 Microsoft Cloud 合规性计划 Microsoft 信任中心 服务信任门户 Microsoft 安全未来计划 业务解决方案中心 连络销售人员 开始免费试用 Microsoft 安全 Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space 混合现实 Microsoft HoloLens Microsoft Viva 量子计算 教育 汽车 金融服务 政府 医疗保健 制造业 零售业 查找合作伙伴 成为合作伙伴 合作伙伴网络 Microsoft Marketplace 软件公司 博客 Microsoft Advertising 开发人员中心 文档 活动 许可 Microsoft Learn Microsoft Research 查看站点地图
两人在办公室环境中查看一台平板电脑,其中一人指向屏幕。

什么是 SOAR?

了解什么是安全编排、自动化和响应 (SOAR)、它为何重要,以及它如何帮助简化网络安全运营。

SOAR 是一种安全运营解决方案,可帮助安全团队大规模调查并修复威胁。通过使用 playbook 自动化工作流,团队可以减少手动工作,提高一致性,并在各种安全工具之间更快地响应。

  • 随着警报量增加,SOAR 可帮助安全运营中心标准化并扩展事件响应。
  • 自动化工作流可减轻分析人员的工作负担,并加快调查、遏制和修复速度。
  • 通过在各种安全工具之间编排操作,SOAR 可提高一致性、可见性和运营效率。
  • 现代 SOAR 功能正越来越多地嵌入到安全信息和事件管理 (SIEM) 中,并通过 AI 辅助工作流得到增强。

SOAR 详解

安全运营团队依靠多种工具来检测和响应威胁。如果没有编排,分析人员必须在各个系统之间手动切换、收集上下文,并在压力下做出决策 - 这会导致响应时间更长、警报疲劳和结果不一致。

SOAR 通过将响应流程编码为可重复的工作流来帮助应对这些挑战。使用 playbook,团队可以自动丰富警报信息,在各种工具之间协调操作,并引导分析人员按照一致的调查和响应步骤执行 - 同时仍保留人工监督。

工作原理

三项核心 SOAR 功能可帮助 SOC 团队更有效地协作,以保护其组织:安全编排、安全自动化和事件响应。

安全编排

安全编排是协调层。它将现有技术连接起来,例如 SIEM、终结点检测和响应 (EDR)、扩展检测和响应 (XDR)、标识保护、电子邮件安全、防火墙和威胁情报解决方案,从而集中进行威胁检测、调查和响应。

例如,如果某个 SIEM 解决方案识别出可能的帐户泄露,SOAR 解决方案可以:
 
  • ⁠自动从标识管理系统收集上下文数据。
  • ⁠将登录尝试与威胁情报源进行交叉引用,以评估风险。
  • ⁠检查用户在终结点安全工具中的活动,查找任何入侵或横向移动的迹象。
  • ⁠从访问日志中检索最近的登录历史。
  • ⁠协调相关系统中的响应,以遏制威胁。
没有 SOAR 解决方案的组织必须手动执行这些步骤中的每一步。借助编排,团队可以创建以结构化方式在系统之间传递信息的工作流。

安全自动化
安全自动化可减少与重复性和时效性任务相关的手动工作负载。在 SOAR 解决方案中,团队可以创建工作流,为特定类型的事件概述逐步操作,例如:

  • ⁠使用威胁情报丰富警报。
  • ⁠从终结点或标识系统收集上下文数据。
  • ⁠阻止恶意 IP 地址。
  • 禁用被盗用的帐户。
  • 通知利益干系人和记录操作。
通过自动执行这些步骤,安全团队可以更快、更一致地响应,尤其是在高量事件期间。

事件响应
由于 SOAR 安全会汇总并分析来自多个解决方案的数据,因此它提供了一个用于管理事件响应的集中式仪表板。这使得更容易关联不同系统中的警报,并调查跨域威胁。

组织还使用 SOAR 解决方案来标准化如何遏制、修复和记录事件。团队不会只依赖单个分析人员的经验,而是遵循预定义的工作流来指导事件响应方式。这有助于组织实施更强的治理、更清晰的责任划分和更可预测的结果。

常见 SOAR 功能

除安全编排、自动化和事件响应功能外,大多数 SOAR 解决方案还包含一组核心附加功能。

Playbook
playbook 是预定义的工作流,用于概述应如何处理特定类型的事件。它们将机构知识转化为结构化、可重复的流程,因此无论哪个班次或团队,方法都保持一致。playbook 可以定义如何调查网络钓鱼警报、如何响应疑似凭据泄露,或如何遏制恶意软件感染。

事件管理和案例管理
许多 SOAR 解决方案包含内置的事件或案例管理功能,这使团队能够从最初的警报到解决完成,跟踪整个调查过程。这些功能通过提供一个集中位置来协调操作并在整个过程中保持可见性,从而帮助简化事件管理。

报告和分析
SOAR 安全会生成报告和仪表板,帮助了解运营效果。网络安全分析通常包括平均检测时间 (MTTD)、平均响应时间 (MTTR)、警报量、playbook 使用情况和解决率。

采用 SOAR 的原因

随着组织采用安全编排、自动化和响应功能,他们通常会看到效率和一致性的显著提升。与此同时,实施需要周密的规划和协调。

SOAR 的优势

更快的事件响应和威胁遏制
通过自动执行扩充、会审和响应操作,SOAR 解决方案可减少检测与修复之间的延迟。这有助于缩短响应时间,并限制事件的影响。

提高运营效率
组织使用自动化功能来处理许多重复性任务,让分析人员可以专注于更高价值的调查。

更强的合规性和审计就绪性
结构化工作流和自动化文档可创建清晰的记录,说明组织如何处理事件,从而支持监管要求和内部治理流程。

改进协作
集中式案例管理和集成工作流为安全、IT 及其他利益相关方提供共享的运营视图。

增强决策制定
绩效指标和趋势数据可以帮助领导者识别瓶颈、优化 playbook 并更有效地分配资源。

实现 SOAR 的挑战

前期设计和规划工作
有效的 SOAR 需要明确定义的流程和设计良好的 playbook。将不清晰或不一致的工作流自动化,可能会带来阻力,而不是提升效率。

过度自动化的风险
如果没有适当的防护措施,自动化可能会在错误的时间触发破坏性操作 - 例如禁用帐户或隔离系统 - 因此人工监督必不可少。

运营所有权和治理
SOAR 工作流必须得到维护、版本化并持续改进。如果没有清晰的所有权,playbook 可能会过时,或者变得过于复杂。

技能和变更管理

团队需要安全专业知识和工作流设计技能。分析师可能需要一些时间来适应自动化辅助操作。

组织如何使用 SOAR

SOAR 在应用于可重复、海量的安全流程时,价值最大。通过将工作流编纂为 playbook,团队可以更一致地响应,同时在最关键的地方保留分析师监督。

自动化网络钓鱼响应
网络钓鱼是 SOAR 安全的一个很好的使用场景,因为安全团队会收到大量需要调查的可疑电子邮件。为了缩短响应时间并限制横向传播,组织创建 SOAR playbook 来:
 
  • ⁠从电子邮件安全工具或用户报告中引入警报。
  • ⁠提取 URL、附件或发件人域等指标。
  • ⁠使用威胁情报丰富这些指标。
  • ⁠检查环境中是否存在类似消息。
  • ⁠自动隔离恶意电子邮件。
  • ⁠创建案例并记录所有操作。
威胁情报扩充
在分流警报时,分析师需要了解威胁背后是谁、它对组织意味着什么、威胁类型是什么,以及它如何运作。SOAR 工作流不会手动收集这些上下文,而是会通过以下方式自动丰富警报:
 
  • ⁠查询内部和外部威胁情报源。
  • ⁠将指标与已知的恶意基础结构进行比对。
  • ⁠收集终结点或标识上下文。
  • ⁠关联相关警报。
事件会审和升级
SOC 通常会被大量警报淹没,其中很多都属于低级风险。为了更轻松地有效优先处理工作 - 并更快推进 - 分析师会使用 SOAR 工作流来:
 
  • ⁠根据预定义条件自动分配严重性级别。
  • ⁠将事件路由到合适的团队或分析师。
  • ⁠在达到阈值时触发升级工作流。
  • ⁠跟踪状态和解决时间。
帐户受攻击响应
为了在可能发生凭据泄露时缩短响应时间,许多组织会使用 SOAR 解决方案自动执行遏制步骤。这些工作流会:
 
  • ⁠根据标识信号验证警报。
  • ⁠禁用或重置受攻击的帐户。
  • 撤销活动会话。
  • 通知受影响的人员。
  • ⁠记录操作以供合规审查。
漏洞管理协调
安全团队通常需要与 IT 和基础结构团队协调修复工作。SOAR 解决方案可让这变得更容易。组织可以构建以下工作流:

  • 引入漏洞扫描结果,以便所有团队都查看相同的数据。
  • ⁠根据风险评分确定发现项的优先级,让所有人都聚焦在最紧迫的问题上。
  • ⁠在 IT 服务管理系统中创建工单,让团队知道谁负责什么。
  • ⁠跟踪修复进度,让所有团队及时了解每个警报或事件的状态。
  • ⁠为领导层生成报告,总结漏洞发现、修复进度和整体安全状况。
最佳做法

有效使用 SOAR 的策略

长期成功的组织会将 SOAR 技术与明确定义的流程、切实可行的目标和强有力的运营所有权相结合。最佳做法包括:

从明确的目标开始

安全领导者应先识别 SOAR 解决方案最能发挥作用的关键领域,例如耗费分析师时间的高量事件、调查瓶颈,以及需要改进的指标,比如 MTTR。

优先处理高影响、可重复的工作流

并非所有流程都应立即自动化。最好从关键、常规且大家都很熟悉、决策路径一致的工作流开始。候选项包括网络钓鱼调查、警报扩充、帐户锁定、密码重置和工单创建工作流。

设计包含人工监督的 playbook

虽然自动化是 SOAR 系统的一项关键优势,但它始终应支持而不是取代人工判断。设计良好的 playbook 包含需要人工审核的决策点,尤其是可能干扰业务运营的操作,例如禁用帐户或隔离系统。

投入集成规划

SOAR 在与现有安全系统协同工作时价值最大,例如检测工具、标识管理、终结点保护、云环境和工单系统。分阶段的方法有助于降低风险,并为团队留出时间来稳定和微调系统。

建立治理和所有权

SOAR 解决方案的清晰所有权对于防止工作流蔓延和配置不一致至关重要。组织应明确谁有权创建或修改 playbook,并建立版本控制和变更管理流程。

持续培训团队

分析师参与度和技术专业知识对 SOAR 的成功实现至关重要。组织应提供持续培训,使团队及时掌握最新的 playbook 设计原则、自动化逻辑、升级路径和事件文档标准。

展望未来

随着安全运营不断演进,SOAR 正从静态、基于规则的自动化转向更具适应性、由智能驱动的工作流。现代 SOAR 功能的重点是帮助团队扩展响应能力、减少手动工作,并在日益复杂的环境中协调各项操作。以下几个关键趋势正在塑造下一代 SOAR 安全:
 
  • 支持自然语言的 playbook 创建:生成式 AI 让 SOAR 自动化更易于使用,分析师可以用自然语言创建、更新和优化 playbook。这降低了自动化门槛,加快了 playbook 开发速度,也让更多安全团队 - 不只是自动化专家 - 能够将 SOAR 工作流投入实际运营。
  • ⁠持续学习和自适应自动化:下一代 SOAR 解决方案正在引入反馈循环和学习机制,以验证结果并随时间调整响应。SOAR 不再只执行一次性的自动化,而是越来越多地从过去的事件中学习,以提高准确性和有效性。
  • 超越警报后的响应:SOAR 不再局限于警报后的响应。组织正在安全生命周期的更早和更晚阶段应用 SOAR 自动化 - 既支持信号关联和扩充等预警前活动,也支持报告、修正跟踪和控制更新等事件后任务。更广的范围提升了检测质量,同时降低了运营开销。
  • SOAR 作为自主系统的控制平面:随着智能体 AI 和非人类身份变得越来越常见,SOAR 正在成为一个集中式编排层,用于安全地管理自主操作。这包括协调工具、强制执行防护措施,并在复杂且相互连接的环境中保持可见性。
  • 安全系统中的更深层集成:虽然 SOAR 这一标签可能会变得不那么显眼,但安全供应商正越来越多地将其功能嵌入到 SIEM、XDR 和更广泛的安全运营解决方案中。这能在混合云和多云环境中提供更流畅的编排、共享上下文和一致的响应。

Microsoft 安全 SOAR 解决方案

当组织评估 SOAR 解决方案时,重要的是要考虑它现在以及随着 SOC 发展将如何支持其安全目标。许多组织正在转向 Microsoft Sentinel 等解决方案,它是一种包含 SOAR 功能的云原生 SIEM 解决方案。通过将 SIEM 和 SOAR 组合在一个解决方案中,Microsoft Sentinel 可帮助安全团队跨用户、设备、应用程序和基础结构收集和分析数据,同时自动化预定义的工作流。Microsoft Sentinel 还可与 Microsoft Defender XDR 协同工作,提供统一安全运营解决方案,并且可以连接到多种安全工具,以提供端到端覆盖。借助 Microsoft Sentinel,安全领导者可以使用这些工具构建结构化、可衡量且可复原的 SOC。

常见问题解答

  • 安全编排、自动化和响应 (SOAR) 用于协调和自动化安全运营任务,包括警报会审、威胁情报扩充、事件响应和案例管理。它帮助安全团队标准化工作流、减少人工工作量,并提高整个安全运营中心的响应一致性。
  • SOAR 代表安全编排、自动化和响应。它指的是一类安全解决方案,这类方案可以集成工具、自动化重复任务,并通过预定义工作流引导结构化事件响应。
  • 安全编排可连接并协调多个安全工具,使其作为统一工作流的一部分运行。安全自动化则专注于通过自动完成这些工作流中的预定义任务来减少人工工作量。
  • 安全信息和事件管理 (SIEM) 解决方案会收集并分析安全数据,以检测潜在威胁。安全编排、自动化和响应 (SOAR) 解决方案通过自动化扩充、协调工具和标准化流程来帮助团队响应。
  • 安全编排、自动化和响应 (SOAR) 有助于缩短平均响应时间 (MTTR)、提高运营效率,并通过结构化文档和报告支持合规性。它还可加强协作,并推动更一致、可衡量的安全运营。

关注 Microsoft 安全