腾讯 SOAR 的安全运营探索

文｜腾讯“洋葱”入侵对抗团队

Conan、Uny

背景

作为一名安全应急人员，每天要处理安全系统的大量告警，据笔者了解有些公司的安全应急人员每天要处理几百甚至上千个告警，而大部分是无效告警，其中真正的安全事件是否遗漏、响应是否及时，没有人知道。

此外随着业务上云和使用云原生开发模式，告警的数量也随着容器的量级大幅增长，应急人员能否长期保持专注力？大量的无效告警显然已经影响到应急质量和应急人员的生活质量了（周末值班）。

安全系统提高告警质量可以解决这个问题，但在现实环境中，安全系统众多且策略研发同学一般需要一个较长的周期才能优化，有时候优化甚至赶不上告警波动变化。

基于这些问题我们尝试建设了基于SOAR的新一代应急运营方案，以提高安全响应效率，EDR是对响应要求非常高的系统且误报也比较多，本文以腾讯自研的EDR“洋葱”系统的安全运营为例分享一些实践和思路，希望能对大家有所帮助，也请各位不吝赐教。

我们要实现的三个目标：

1. 策略逻辑和告警逻辑分离

应急人员不再被动接收告警，将策略和告警逻辑分开，应急人员可以根据告警组织自动化响应流程

2. 精细化运营

解决重复误报、规避告警风暴和业务特性误报，加强关联分析和划分响应优先级

3. 精准事件自动化响应

分析日志/数据、找人和止损操作尽量自动化，提高MTTR

策略告警分离：SOAR架构建设探索

2.1 选择SOAR的原因

我们使用SOAR架构实现了策略和告警的分离，为什么选择SOAR而不使用其他方案——比如让安全应急人员直接修改策略，主要有以下几个原因：

1. 策略研发的策略逻辑涉及比较复杂的算法，运营人员直接修改策略需要非常高的学习成本，效率低下，也容易出现问题

2. 很多实时策略基于Flink等流式平台实现，需要开发JAVA，团队应急人员的技能栈主要是Pytho