SOAR 采用成熟度模型

白皮书 高飞采用成熟度模型 升级安全操作的时机已经成熟。现在，您可以轻松地在IT环境中实施安全编排、自动化和响应（SOAR）解决方案;更好地了解组织的成熟度水平;并了解您的安全计划如何插入SOAR成熟度模型。 理想情况下，这将建立安全自动化和编排的分阶段方法，以及SOAR实施的明确起点。 通过定义成熟度曲线的不同阶段，您将能够确定与您的安全需求最相关的用例、行动手册和工作流程。这将让您更好地了解您的安全路线图，以及 -更好的是-如何获得SOAR的回报。 在本白皮书中，我们将引导您完成SOAR之旅的每个阶段，并帮助您了解您的组织对SOAR采用和实施的准备情况，以便您尽早看到投资回报 。 采用飙升 SOAR技术通过自动化和编排帮助安全团队解决他们最大的痛点。在 SANS2022SOC调查中，235 受访者接受了调查，了解他们在尝试最大限度地发挥其安全运营中心 （SOC）的全部功能时面临的主要挑战。排名前三的答案是: 1.高人力资源需求 2.越来越多的人才缺口与缺乏熟练员工 3.分析师繁重工作和缺乏自动化 在同一项调查中，SOAR在部署的早期规划阶段排名第四（在其他45种 SOC技术中）。目前，绝大多数 买家已经投资了SOAR解决方案，但尚未实施它;目前正在实施SOAR;或仍处于部分生产模式。 飙升的成熟度因素 在查看您的SOAR成熟度级别时，需要考虑无数因素。最终，大多数组织将需要在某个时候采用安全自动化-虽然没有两个组织 是一样的，有一个框架可以参考实现更加容易。 每个SOC都是人员、流程和技术的混合体，但有很多共同点可以告知您演进的每个阶段。确定您在成熟度曲线上的位置需要了解和评估SOC独有的情况 。 成熟度评估 SOC-CMM 在决定要考虑哪些因素时，您可以参考许多成熟度评估。例如，SOC-CMM与NIST网络安全框架（CSF）保持一致，并包括一个评估，您可以在雷达图上查看SOC成熟度级别的输出。SOAR技术在SOC-CMM中被列为整个SOC中的单一功能。 Splunk安全成熟方法论(S2M2) 另一个资源是Splunk安全成熟度方法（S2M2）。S2M2有助于评估安全计划的成熟度，并就如何根据业务优先级完善运营提供指导。这是一个广泛的评估，用于评估您的整个计划，而SOAR成熟度模型旨在确定与SOAR采用最相关的因素。 人员、流程和技术 人的因素 人为因素通常是安全团队挫败感的最大来源，主要是由于缺乏人才和人员，以及人为错误。无论如何，安全分析师对于实施、管理和运营SOAR是必要的。 用于确定SOAR成熟度级别的常见人员因素： •支持安全调查技能 •环境评估风险的能力 •块和删除识别风险的能力 •在SOC职能中定义的角色，如安全分析师、安全工程师、威胁猎人、取证/恶意软件分析师、威胁情报分析师和紫色团队 •捕捉和报告SOC指标 •对SOAR实施的支持和帮助的要求 •能够找到并使用内容在飙升 •了解和使用现有安全技术 •合作在这 •高团队士气和工作满意度 过程因素 自动化实际上是关于自动化流程。了解您的团队使用的流程（从平凡的任务到高级调查）是成功采用SOAR的基础步骤。至少，团队应将其最常见的流程或任务作为SOAR实施的起点，例如URL或网络钓鱼警报扩充 。这为SOAR实施的成熟度奠定了坚实的基础。用于确定SOAR成熟度级别的常见流程因素： •定义SOC工作流和警报分类过程 •定义不同严重性级别的事件调查 •捕获关键指标以衡量SOC有效性 •评估重大事件后的经验教训 •利用指标操作改进 •使用标准的事件响应方法 •集成标准检测框架，如MITREATT&CK 技术因素 威胁检测过程是SOAR实施的关键起点。能够从许多不同的来源和跨技术摄取数据，是快速和适当响应的原因。不同SOAR应用程序的集成是编排发挥作用的地方。安全事件和事件管理（SIEM）解决方案、端点检测和响应（EDR）、网络检测和响应（NDR）、身份访问管理（IAM）、威胁情报、漏洞管理、票证系统等的编排是SOAR在正确处理时被认为非常有价值的原因。 用于确定SOAR成熟度级别的常见技术因素： •正确配置、使用和维护一系列已部署的检测技术 •票务系统集成(例如,Jira) •SIEM集成（例如，SplunkEnterpriseSecurity） •使用基于风险的警报（RBA）的Splunk企业安全（ES）检测 •跨通用控制点（包括端点、网络、电子邮件和云）部署通用检测技术 •为威胁情报集成确定的源流 •身份和访问管理工具部署 •API兼容现有的技术 SOC类型 了解SOC类型是影响SOAR成熟度/就绪性的另一个因素。为了定义不同的SOC类型，我们查看了报告，世界级网络安全运营中心的11个战略。下表列出了MITRE报告（第74页）中确定的SOC组织模型的类型，专门研究了不同的挑战，机遇和期望。这些类型也可以通过选区规模（例如，用户或端点的数量）来衡量。 SOC型 例如组织 描述 特别安全响应 小型企业 不存在常设事件检测或响应功能。在发生计算机安全事件时，收集资源（通常来自选区内部）来处理问题，重建系统，然后停止。 安全作为额外的责任 小企业、小学院 没有正式的SOC组织。但是，类似SOC的职责将发挥作用（例如，系统管理员也在系统日志中查找异常活动）。可能存在一些事件响应过程。 分布式SOC 中小企业、地方政府 正式的SOC机构。由分布在选区各个部分的分散资源池组成。工作人员也可能有其他职责 。 集中的SOC 中型企业、教育机构 安全操作的资源合并到一个机构和组织下。SOC人员在SOC中具有专门的角色。 联邦SOC 组织与高度分割的操作单元 SOC—通常是集中式的，但也可以是分层的 —与一个或多个SOC共享一个父组织，但通常独立运行。 协调SOC 大型企业、政府机构 SOC负责协调其下其他SOC的活动。主要关注安全自动化（SA）和整体事件管理。 分层SOC 大型企业、政府机构 与协调SOC结构类似，但父组织扮演着更积极的角色。 国家SOC 政府 负责加强整个国家的网络安全态势。 管理SOC 各种 通过业务/按服务收费类型关系向外部组织提供SOC服务。 高飞成熟度模型 飙升的成熟阶段 1.主要是被动的和高度手册 2.主动/被动 3.主要是积极的 4.完全主动的 组织成熟度的描述 组织没有 组织意识到他们需要更多的人 SOC过程和组织已经成 该组织完全了解他们需要做什么 支持调查的人员或流程或组织 员和流程。可能 熟 以及如何做。 拥有 已经开始创建SOC手续 过程。通过会审和调查评估 非常基本的流程到位。需要 和结构。刚刚开始深入调查， 威胁 帮助以快速评估环境风险， 需要快速评估对环境的风险， 能力和/或具有深度取证的外包 并阻止和消除风险。 并阻止和消除风险。在安全工 能力。在安全工程、威胁搜寻 程、威胁搜寻和威胁情报团队 、取证/恶意软件分析、威胁情 的各个级别的团队组建中。可 报的各个级别的团队组建中 能外包了取证/恶意软件 和更多。团队开始利用 分析或完整的内部紫色团队。团 指标和操作改进 队开始捕获平均检测时间（ 使用标准的事件响应方法。 MTTD）和平均响应时间（MTTR）等指标。 进行经验分析。 SOC型(s) 临时，安全作为附加职责 ，分布式SOC，托管SOC 分布式SOC、集中的SOCSOC管理 集中的SOC,联合 SOC,SOC管理 集中式SOC、协调SOC、分层SOC、联合SOC、国家SOC、托管SOC SOC动态 首席信息安全官（CISO）拥有一支有能力的安全团队，该团队可以自行进行工程设计。 首席信息安全官将安全运营和安全工程分开。可能有小智商 或合规团队，并且可能有L1-L2MSSP。安全架构师或SOC经理已开始寻找一些第2层SOC分析师，并聘请了第3层SOC分析师 管理事件并构建安全操作过程。 分析师每天都在管理关键警报，但无法跟上高/中警报的步伐。 CISO有安全团队能力 运行工程的安全架构师和SOC经理具有标准化的安全实践，具 首席信息安全官具有标准或混合 SOC。混合SOC具有比 L2和SOC团队使用自动 他聘请了安全架构师或SOC 有记录的流程和一些自动化。 化和响应流程构建检测。 经理来管理事件并构建安全生态系统。通常由托管安全服务提供商（MSSP）支持针对1-2级警报。与严重事件的事 CISO聘请了一名事件响应团队经理来构建具有取证，威胁搜寻，情报和紫色团队功能的CSIRT。 深入使用威胁情报分析和所有主机、网络和帐户入侵的取证分类。 件响应者签订合同。 分析师正在努力通过关键警报。高 、中警报/知名人士未正常工作。 CISO是倾向于采购L2和 所有L3都在内部。或者他可以创建一个更大的L3/CSIRT团队和更小的SOC团 队。 阶段1 第二阶段 第三阶段 第四阶段 12 主动/被动 3 主要是积 极的 4 完全主 动的 你翱翔成熟的旅程 行动的方向 •警戒调查/分类 •初始阻塞/隔离 •通过公司工单管理进行系统重新映像 •基本的浓缩 常见用例 •Splunk显著富集 •关键的调查评估 •票务系统集成 •电子邮件调查 •外部警报浓缩 常见的飙升的应用程序 •飙升的出口 •飙升的HTTP应用程序 •Splunk的应用 •票务应用 •声誉/情报 •电子邮件 •端点 •身份 •云 常见的飙升剧本 •客户和主机信息 •声誉剧本为可见 •端点警报浓缩 •票的创建和更新 •云资源管理 •重新分配事件、设置状态和其他基本的案例管理自动化 检测流程/Splunk企业安全（ES）集成 •严重警告,审查 •主要是客户报告 推进到第二阶段 实现并运行第一阶段中提到的应用和行动手册后，即可进入第二阶段。您将获得以下方面的支持： •警戒调查和分类 •最初的屏蔽和隔离 •通过公司工单管理进行系统重新映像 •基本的浓缩 第一阶段的最终目标是通过使用第一阶段中提到的应用和playbook来帮助你自动执行最基本的重复性任务。 此阶段的主要价值是能够更快地扩展和工作。 阶段1 第二阶段 第三阶段 第四阶段 12 主动/被动 3 主要是积 极的 4 完全主 动的 你翱翔成熟的旅程 行动的方向 •分类/浓缩 •基本的调查 •基本反应任务 •电子邮件搜索和手动清洗 常见用例 •分阶段定制的调查 •先进的响应的任务 •网络钓鱼的反应 •威胁情报管理 •脆弱性管理 •零信任策略实施 •反恶意软件分析 常见的飙升的应用 •PCAP应用 •漏洞的应用 •身份的应用 •威胁情报应用 •法医的应用 常见的飙升剧本 •客户和主机信息 •声誉剧本为可见 •端点警报浓缩 •票的创建和更新 •云资源管理 •重新分配事件、设置状态和其他基本的案例管理自动化 检测流程/SplunkES集成 •关键/高度警惕审查和一些中等警报 •企业安全内容更新(ESCU) •基于风险的提醒 进入第三阶段 实现并运行第二阶段中提到的应用和行动手册后，即可进入第三阶段。您将获得以下方面的支持： •分类/浓缩 •基本的调查 •基本反应任务 •电子邮件搜索和手动清洗 第二阶段的最终目标是减少部落知识并自动执行非分析任务。 此阶段的价值在于标准化和引入操作一致性，并执行更准确的根本原因分析。 阶段1 第二阶段 第三阶段 第四阶段 12 主动/被动 3 主要是积 极的 4 完全主 动的 你翱翔成熟的旅程 行动的方向 •使用对策 •先进和法医调查数据 •更多的手术反应能力 •反恶意软件工程 •自动电子邮件搜索和清洗 常见用例 •Splunk显著富集 •关键的调查评估 •票务系统集成 •电子邮件调查 •外部警报浓缩 常见的飙升的应用 •飙升的出口 •飙升的HTTP应用程序 •Splunk的应用 •票务应用 •声誉/情报 •电子邮件应用程序 •终端应用程序 •身份的应用 •云应用程序 常见的飙升剧本 •输入剧本上面的应用 •风险预警汽车控制剧本 •过程终止 •文件删除 •反恶意软件分析 •动态可观测分析 •先进的内容格式 •