0. 为什么需要SOAR?
一个组织每天都暴漏在无数的网络安全威胁之中。就拿高校来说,可能的威胁有:持续的钓鱼式攻击(比如phishing email:诱使教职工学生暴漏自己的私人信息)、泄漏账户、非法下载等等。这些威胁可以通过高校的安全运营中心(SOC)来减少: 就拿phishing email来说,可以通过分析邮件的IP地址、URL、发件人、邮件内容、附件来判断邮件是不是有威胁的。有很多工具可以查看IP是不是在DNS黑名单里:比如ASN(https://www.whatismyip.com/blacklist-check/), 如果这封邮件包含有问题的IP,那么这封邮件可能本身也有问题。一旦查明这个邮件确实有问题,那么技术人员就需要block这个发件人/这个IP,防止学校教职工学生收到来自于它的邮件,而如何去block一个发件人就依赖于学校用的是什么邮箱系统了。
高校是一个很小的例子,实际上任何一个组织的SOC需要都24小时监控、分析关于组织的安全态势。而分析的对象就是来自于组织的各种日志:Networks、Servers、Containers、Cloud infrastructure、Applications、Application infrastructure、Message Bus (Kafka)、Load balancers。这给SOC增加了极大的工作量:
- 这些日志可能来自不同的监控工具,这意味着SOC要同时打开这些监控工具来实时监控。
- 由于这些log来自于不同工具, 那么他们产生的log的格式也有所不同。所以SOC的工作质量极大的依赖于技术人员的水平。
- 组织产生的log可能每天会产生成百上千条,但是其中真正需要人工判断和干预的log可能被淹没在大量无关紧要的log里。
- 当出现了需要