防御与运营
SOAR
定义
通过将检测、富化与响应动作串联为剧本并在各类安全工具中执行,实现 SOC 工作流自动化与编排的平台。
安全编排、自动化与响应(SOAR)与 SIEM、EDR/XDR 协同工作,将事件响应流程落地。SOAR 通过连接器与 API 调用威胁情报、IAM、终端、网络和工单系统,运行已编码的剧本来分流告警、富化指标、隔离主机、停用账号并归档案件。SOAR 减少分析师的重复劳动,强制执行一致的流程,通过对可重复步骤的自动化来缩短 MTTR,同时在高风险动作上保留人工审批。常见平台包括 Splunk SOAR、Palo Alto Cortex XSOAR、Microsoft Sentinel 自动化规则和 Tines。
示例
- 钓鱼邮件分流剧本:在沙箱中引爆 URL、查询 VirusTotal 并将邮件隔离。
- XSOAR 剧本在检测到勒索行为时,通过 EDR 隔离主机并重置用户密码。
相关术语
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
安全运营中心(SOC)
集中化的团队与设施,持续监控、检测、调查并响应组织 IT 环境中的网络安全事件。
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
Mean Time to Respond (MTTR)
Mean Time to Respond (MTTR) — definition coming soon.