[はじめに]この記事では、最初に、今51CTOのブログで公表した後に改訂された牛の安全性、に登場しました。ここで私は、私は現在、午前盛華アン起業家、企業の視点から分析したSOAR。
新しい安全技術の検出、振り付け、どのようにセキュリティ応答の有効性が焦点となっている強化するために自動化された手段を使用するには、次の抽象、SOARはされて入ってきました。SOARは何ですか?スケジュールは何ですか?特徴は何を持っていますか?どのような機能が含ま?技術的な論文が解析SOAR、および例にして説明します。
SOAR テクニカル分析
ネットワークセキュリティ攻撃として|アンチ対立が激しくなると、ネットワークのセキュリティは、単に我々が検出と応答にもっと注意を払う必要があり、失敗した予防と戦略を阻止することを期待しています。前提のストライキは、防止、検出、防止し、新たなセキュリティシステムのいずれかに応答するように設定することを仮定して構築|企業や組織は、ネットワーク攻撃に苦しんでいます。
これは、国際舞台で、検出し、大きな注目を受けた製品に応え、この文脈です。新製品の検出、特に未知の脅威の検出に国内、もっと注意を見てみます。これらの製品や技術を使用すると、ユーザーは攻撃のより速く、より正確な検出、低MTTD(平均検出時間)を取得|ストライキと|侵攻。しかし、これらの製品や技術は、ほとんどのMTTR(平均応答時間)を減らす助けにはなりませんでした。実際には、ユーザーのために、迅速に問題に迅速に、より重要な問題に対応するためにどのように最初の一歩を検出します。そして時に統合するための検出と応答メカニズムを分散させるために、検討することを検討する(例えば、ちょうどエンドポイントまたはネットワークからの)単一の点から、だけでなく、ビューのネットワーク全体の運用・保守のポイントのセキュリティ全体からだけではなく、セキュリティ対応の効率を高めます。これは、解決すべき問題をSOARまさにでした。
つまり、セキュリティの自動化とオーケストレーション応答をSOAR。トランスポート・セキュリティ・ディメンションの技術の重点分野は、まず2015年にガートナーが提唱したセキュリティ上の問題に対応(これらに限定されないではない)解決に焦点を当てました。当時、ガートナーは、安全運転・保守分析とレポートとして定義SOARます。2017年までのセキュリティ運用・保守技術の急速な発展と進化、で、ガートナーはSOAR再定義されたレイアウトの自動化とセキュリティレスポンス、そして安全な振り付けと自動化(SOA、セキュリティオーケストレーションとオートメーション)、セキュリティインシデントレスポンスとして見プラットフォーム(SIRP)と脅威インテリジェンスプラットフォーム(TIP、脅威インテリジェンスプラットフォーム)の3つの技術/ツールの統合。ガートナーは、含蓄はまだ将来的に変更される可能性があり、技術は急速な進化にまだあるSOAR、と考えているが、その安全運転・保守の周りに、焦点は、ターゲットのセキュリティレスポンスは変更されません。
今のところ、のSOAR 3つのコア技術力は、安全なオーケストレーションと自動化、セキュリティインシデント対応プラットフォーム、脅威インテリジェンスプラットフォームです。
リットルの 安全振り付けと自動化:これはSOARの基本的なコアコンピタンスと能力です。
安全性とセキュリティの自動レイアウトは、二つの異なる概念です。前記安全装置(オーケストレーション)は、特定のを完了するために、論理的な関係で一緒に合わせ、内部システム・プログラミング・インターフェース(API)および人工チェックポイントを介して、異なるコンポーネントのセキュリティ機能、または別のクライアント・システムを指しプロセスの安全操作。このようにユーザーの深さの検出および応答などのプロセス(オペレーション)不審な電子メールが送信者のうち、解体に基づいてクエリの脅威インテリジェンスシステムに分けることができます受信、URLリンクやIPおよびその他の情報、サンドボックスシステムに付属分析し、さらにあなたが分析のためEDRにより、受信側の端末の詳細情報を取得したい場合は、メッセージや添付ファイルを削除するには、メールシステムに通知するかどうかを決定する、などの情報とインテリジェンスシステムに基づいて、サンドボックスシステムが返されます。上記分析プロセス疑わしいメールが一緒にレイアウトインスタンスにメールシステム、脅威インテリジェンスシステム、サンドボックス・システム、EDRシステムなど特定のロジックを介してです。
安全オートメーション(自動化)ここでは、具体的に振り付けの特別な種類である、レイアウト・プロセスを自動化することを指します。プロセスのレイアウトが実装されたすべての関連するAPIシステムに完全に依存している場合、それは可能自動実行です。配置及び自動化、ならびに人工の、部分的に自動化された配列(混合)配列に対応します。
自動化されたオーケストレーション、振り付けや人工のかどうか、スクリプト(脚本)で表すことができます。エンジンのサポートスクリプトの実行は、通常のワークフローエンジンです。管理メンテナンススクリプトを容易にするために、通常のビジュアルスクリプトエディタを提供SOAR。
スクリプトは、安全な動作自体に許可される論理的な配置に着目し、配置の管理者であり、特定のシステムや実装の各命令に接続されたプログラミングインターフェースを隠します。実際のシステムとドッキングすることができるプログラミング命令を実装するアプリケーション(APP)とアクション(行動)の機構により、通常SOAR。アプリケーション・プログラミング命令を操作して実装する開発者のためのものです。
lの セキュリティインシデント対応プラットフォーム:これはSOARの重要な機能ですが、また、SOARの存在とは無関係。
セキュリティイベント(インシデント)対応プラットフォーム定義により、SOARの出現は、インシデントに対する応答と処分のためのプラットフォームである前に存在しています。しかし、表示されSOAR、セキュリティインシデント対応とセキュリティが大幅に向上し得るように自動応答を作成する機能と連動して開催しました。アラーム管理、作業指示管理、ケース(ケース)管理を含む一般に、セキュリティインシデント応答、。
中央警報管理は、セキュリティイベントアラート、表示、応答、トリアージおよびアラーム調査を警告に重点を収集するだけではありません。アラームの数を減らすためにトリアージ調査を警告することにより、アラームやアラームの品質のみを向上させます。
作業オーダーの大きなセキュリティの運用・保守チームコラボレーションへのメディアの管理、プロセス指向の方法とアラーム応答を処分、および応答処理は、測定可能な、評価を記録することができることを確認します。
ケース管理は、現代のセキュリティインシデント対応管理のコアコンピテンシーです。ケース管理は、調査・分析の永続性のプロセスに関連するアラームのグループのユーザーを支援し、処分への対応、及び証拠(IOC)と攻撃の痕跡に関連したケースを蓄積し続けるために|戦闘スキルやプロセス指標情報ストライキの(TTP)。並行して複数のケースでは、これ処分を追跡するために、セキュリティインシデントのシリーズを続けます。
リットルの 脅威インテリジェンスプラットフォーム:これはSOARの重要な機能ですが、また、SOARの存在とは無関係。
脅威インテリジェンスプラットフォーム(TIP)ユーザーが攻撃を達成するのを助けるために、多くのソースの脅威情報の収集、関連、分類、共有、統合、および他のシステムとの統合により、2014年に定義された市場セグメントにガートナーある|ブローブロッキング、検出と応答。主な脅威インテリジェンスは、サービスの形ではなく、プラットフォームに存在しています。TIPは、市場が小さい、小さなメーカー、いくつかの独立した存在、脅威インテリジェンスサービスに添付いくつかだけでなく、内部のSOARに融合したセキュリティレスポンスと組み合わせている現在です。
上記の分析を通じて、我々は強力な支持の役割で、包括的な対応プラットフォームのように安全運転・保守をSOAR、見つけることができます。ガートナーは、現代のSOC(現代セキュリティオペレーションセンター)が含まれると考えており、少なくとも現代とSOAR SIEM(すなわちSIEMの上羽統合近代SIEM)。言い換えれば、安全な運用・保守および応答をサポートする最新のSoCプラットフォームとして機能しますSOAR。ガートナーは、2021年、SOCの70%がSOARする能力が含まれると推定しています。これらのうち、両方のプラットフォームをSOARそれは独立していてもよい、SOAR SIEMに含ませることができます。
SOCのセキュリティ応答の能力、特にオーケストレーションと自動化機能、および応答管理能力を向上させることができ、そして(MTTDを含む)セキュリティインシデント調査及び分析を含む全体としてのSOCの性能を向上させることができるだけでなく、SOCにSOAR実装することによって、速度、セキュリティ応答速度(MTTR)、および統合されたセキュリティシステムを分散させる能力、および単一のセキュリティ操作および保守員の生産性。
盛華内部離SOAR
SOAR値と効果は非常に明白となっています。現時点では、国際の数は専門企業をSOARが行われている、と多くの国際企業がSOAR製品と機能のSIEM(取得)を立ち上げました。台湾では、何のプロSOARベンダーは存在しない表示され、製品または機能をSOARリリースはセキュリティ管理プラットフォームベンダーはありません。理由は、一夜にしていないSOAR得る能力は、強力なセキュリティ運用・保守技術の蓄積を必要としています。
これは、セキュリティ管理と技術と実践的な経験を蓄積し輸送盛華アン起業家と技術チームのメンテナンスの10年以上を持つ国として、このコンテキストにある、4年前から、長期的な研究を通じて、SOAR技術のノートを取って、ほぼ1年2019年7月の終わりに、研究開発を集中し、中国が(Cybersky-SOAR)SOAR機能を発行しました!
国内リリース盛華Anがで意識技術分野の技術開発の国際的な動向と国内の顧客の実用的なニーズに合わせて、機能をSOAR、およびセキュリティ管理プラットフォームの国内の新世代の開発を促進、内部セキュリティ管理プラットフォーム/ SOCプラットフォーム/ SIEM /治安状況新しいレベルに、再び強盛華強力なセキュリティ管理プラットフォームのチームが確認されました。
盛華アンは、アラーム管理、ケース管理、作業指示管理、セキュリティ、オーケストレーションと自動化、5つの脅威インテリジェンス機能の適用を含むSOAR。
次の図は、セキュリティ警告、ケース管理、作業指示の管理とスケジューリング自動化されたセキュリティ機能コンポーネントとそれらの相互関係を示しています。
リットルの アラーム管理
アラームトリアージ、警報調査、警報応答とアラーム機能ライブラリ4を含む、アラーム管理をCyberSky-SOAR。アラーム管理の核心異なる警告アラームのトリアージと調査となっているコアは、従来のSIEM / SOCプラットフォームを提供しています。一方でアラームトリアージは、集約アラーム情報を自動化することができ、アラーム管理者の数を減らすアラームは自動的に管理者がクリティカルアラームを集中支援するために、優先順位の信頼性や処分を計算しながら、確認する必要があります。アラームの調査は、アラーム情報解析のための補助的な調査を意味し、誤警報を排除し、漠然としたが、低品質のアラームは、高品質、価値のあるプロセスアラームになります。調査時のアラームは、運用・保守のスケジュールやセキュリティ管理者は、として明確かつ正確にこの警告、自動化されたスクリプトまたはアクションを呼び出し強化アラーム、最終的にはアラームの視点によるアラームの完全な可視性を得ることができた場合情報には、それらを研究するために、管理者のために提示します。
リットルの ケース管理
応答続け処分の調査と分析のプロセスに関連するアラームのグループのユーザーを支援するケース管理をCyberSky-SOAR。ケースを処理するプロセスを通じて、あなたは異なる性質の例のための手続きを扱う別のケースを割り当て、および実施を監督することができ、ワークの例(アーティファクト)管理機能を使用すると、証拠(IOC)と攻撃の痕跡に関連したケースを蓄積し続けることができます|ストライキ戦術と技術的なプロセスのインデックス情報(TTP)、および、調査の配置によって任意の機能またはアクションスクリプトワーク、延長線トレース、深い疑い、豊富な症例情報のケースに応じて行うようにしてもよいです。
次の図は、ケース管理CyberSky-SOARインタフェースを示しています。
リットルの 作業指示管理
バーストに応じて、アラームの作業指示の日使い捨てチケット(再現性)のための標準的な作業指示管理、およびサポートをCyberSkyは、SOAR。チケットの転送と全体のプロセスを記録します。
リットルの セキュリティアレンジメントと自動化
セキュリティ振り付けと自動化がCyberSky-SOAR、メンテナンスのスクリプトエディタ、およびアプリケーションと運用管理の実現の中核機能です。コアセキュリティオーケストレーションと自動化は、スクリプトライブラリとライブラリ(アクションライブラリ)です。これらのライブラリは、いつでも安全解析、アラーム管理およびケース管理機能することができます。この機能は、真のコラボレーティブオーケストラのコンダクターなどのターゲットをアップリンク異なるシステムを、SOAR。
次の図は、スクリプトCyberSky-SOARビジュアル編集インターフェースを示しています。
リットルの 脅威インテリジェンスアプリケーション
比較分析を警告諜報情報を収集するために、外部の脅威とユーザー自身の諜報ネットワークへの脅威インテリジェンスアプリケーションのコア機能と確認しました。
脅威インテリジェンスアプリケーションは、両方の時間の安全解析に使用することができ、アラームはまた、調査、ケース管理の時間に使用することができます。
次の図は、ケース管理システム(VirusTotal)アクションインタフェースの呼び出し外部の脅威インテリジェンスを示しています。
要するに、盛華アンしたがって、真の意味で製品をSOAR、Gartnerの定義をSOARの中核能力のより完全な実装をSOAR。一方、盛華アンはまた、同社の創業を実践し、リリースをSOARデータ取り込み、データストレージ、データ管理、監視および分析の設定、およびコマンドの統合と状況認識と閉ループ管理技術アーキテクチャの概念を制御提案。
