本文探讨了如何利用 SOAR 技术增强威胁情报的效能,尤其是在批量识别和降噪、快速判断和处置方面。通过与微步在线等威胁情报平台的结合,安全事件运营效率显著提高,实现自动化响应,降低误报,提升事件处理速度。
一、背景介绍
过去几年,网络安全领域热门关键词 “SOAR” 和 “威胁情报” 备受关注。
SOAR 是 Security Orchestration Automation and Response 的缩写,直译为 “安全编排自动化与响应”,意指:借助安全排编和自动化技术,对既有安全产品、网络设备、IT 系统和 SaaS 服务等基础能力进行统筹调度;基于可视化剧本编排和调度执行引擎,开展有逻辑、有顺序的自动化流程操作,实现日常安全事件运营和突发事件处置的过程自动化。代表厂商:雾帜智能。
Threat Intelligence——威胁情报是识别和分析网络威胁的过程。“威胁情报” 一词可以指关于潜在威胁收集的数据或收集、处理和分析该数据以更好了解威胁的过程。威胁情报还包括筛选数据、根据上下文检查数据以发现问题并针对发现的问题部署解决方案。代表厂商:微步在线。
本文将讨论在安全运营实战过程中如何使用 SOAR+ 威胁情报的方式,开展更快速、更稳定和更智能的安全运营。
二、应用场景
有过一线安全事件运营经验的工程师一定有这样的体会:大量事件运营和处置的过程,需要持续不断丰富的信息上下文,尤其是针对 IP、域名、文件相关的特征描述、威胁标签等。至少有两大类场景是高度依赖威胁情报的:
批量识别与降噪:企业已有的 SIEM 平台初次告警往往误报率较高,需要做二次筛选获判,才能实现有效降噪
快速判断与处置:应急响应期间,针对特定域名、IP、文件进行快速处置时,往往缺少有效的上下文或背景信息,导致响应过度依赖人工,速率下降,失效不足,风险不可控制
威胁情报刚好能解决上述两
最低0.47元/天 解锁文章
1242
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
