SOAR+EDR，打造更智能、高效的安全運營中心

背景介紹  

近年來，随着互聯網行業的高速發展，企業的業務安全也越來越依賴網絡安全能力建設，同時，随着企業業務的日益增長，所要面臨的安全問題也越來越多，傳統的安全能力在面對日益增長的安全問題時顯得捉襟見肘。

在諸多的新興安全解決方案當中，"SOAR" 和 "EDR" 備受關注，爲企業的安全能力建設提供了新的思路和方案。

SOAR 是 Security Orchestration Automation and Response 的縮寫，直譯爲 " 安全編排自動化與響應 "，意指：借助安全編排和自動化技術，對既有安全産品、網絡設備、IT 系統和 SaaS 服務等基礎能力進行統籌調度；基于可視化劇本編排和調度執行引擎，開展有邏輯、有順序的自動化流程操作，實現日常安全事件運營和突發事件處置過程自動化。代表廠商：霧幟智能。

EDR 是 Endpoint Detection and Response 的縮寫，直譯爲 " 端點檢測與響應 " 根據 Gartner 對 EDR 的定義，EDR 是一種記錄和存儲端點系統等級行爲的解決方案，并且通過多種數據分析技術檢測可疑的系統行爲，提供關聯信息，從而阻斷惡意行爲并且爲受影響的系統提供修複建議。代表廠商：深信服、360、奇安信、騰訊安全等。

本文将探讨如何通過 "SOAR"+"EDR" 打造更加智能、高效的安全運營中心。

應用場景  

深耕在一線的 SOC 安全工程師在面臨網絡安全的問題是一定會有這樣的體會：傳統的、基于特征庫的端點保護方案無法抵禦日新月異的攻擊手段，一線工程師深陷 " 告警疲勞 "，無法及時處置真實的攻擊行爲，單一終端、單一時間段、單一系統的告警行爲無法進行有效關聯，這使得一線的安全人員無論是在事件檢測、事件調查還是在事件處置中都顯得有心無力，EDR 解決方案的設計理念正是基于目前端點所面臨的日益複雜的安全現狀，EDR 解決方案可以使用各種數據分析技術檢測可疑系統行爲，對各個系統、端點收集的分散的告警進行上下文關聯，及時阻斷惡意的攻擊行爲。

典型困難  

然而在 EDR 解決方案落地過程中，EDR 解決方案的實際效果和帶來的價值卻顯得不盡人意，單一的解決方案無論設計理念如何完善，覆蓋面如何廣泛都無法完全解決端點所面臨的所有安全問題，在整個安全運營中心的建設過程中必須要各個設備、系統、方案聯合進行工作，各司其職才能夠發揮設備、方案的最大價值。EDR 的覆蓋範圍雖然廣泛，但是對除了端點外的其他設備、系統的聯動性稍顯不足，尤其是跨廠商的設備，由于生态的原因更難進行有效的聯動。其中主要的問題體現在：

EDR 在提高告警精準度方面能力仍需提升，雖然 EDR 采用了基于行爲的檢測方式以及大數據和人工智能的分析方法，但是并沒有完全解決一線工程師在面對海量告警時的 " 疲于奔命 " 的現狀。

EDR 在處置安全事件時存在滞後性，EDR 産生的安全告警的影響面不光局限于端點，它作用在整個網絡當中，由于生态的原因，EDR 并不能及時、高效的聯動不同廠商、不同品牌的安全産品對告警進行處置，更多地還是依賴安全工程師在各個設備上手工執行操作，這對安全工程師的工作壓力并未得到有效地緩解。

SOAR+EDR= 智能安全運營  

2019 年 8 月國内首發的 AI+SOAR 産品——霧幟智能 HoneyGuide，通過虛拟作戰室、AI 機器人和可視化劇本編排，幫助安全團隊加速威脅響應和處置，提升運營自動化，實現安全風險自治理。

針對上述現階段 EDR 解決方案所面臨的幾大痛點，霧幟智能 HoneyGuide SOAR 劇本都能進行完美解決，幫助安全團隊建設更加智能、高效的安全運營中心。

1、解決告警精準度問題

現階段的 EDR 解決方案除了利用大數據以及人工智能的數據分析方法，還會聯動生态中的威脅情報來進一步提升告警的精準度，但是依賴單一的情報來源很難對告警精準度有質的提升，通過 HoneyGuide SOAR 劇本編排功能可以擴展和豐富威脅情報來源，并且進行動态靈活調整，對多源情報的查詢結果進行整理聚合，回傳給 EDR 管理端，持續完善 EDR 解決方案的威脅數據分析方法。

關鍵步驟

霧幟智能 HoneyGuide SOAR+ 多源情報，可以 EDR 告警精準度提升，主要流程：

1. 安全劇本啓動後，實時獲取 EDR 管理端的告警信息 ;

2. 從告警信息中獲取關鍵字段，如：IP、域名、URL、文件信息等；

3. 調用各個情報的 API 接口，查詢威脅情報；

4. 對查詢結果進行整理聚合；

5. 通過 EDR 的 API 接口回傳給 EDR 服務端。

實戰效果

通過落地上述 SOAR+ 多源情報應用的組合，可以有效提升 EDR 的告警精準度，減緩一線安全人員處置告警的壓力，提升整體的安全運營水平。

2、解決安全事件處置滞後問題

EDR 在處置端點安全問題時效果顯著，但是端點的安全問題從來不止作用在端點上，更多的是需要從全局進行處置，由于 EDR 解決方案的局限性，在聯動不同品牌、不同生态的設備的能力仍有所欠缺。通過 HoneyGuide SOAR 劇本編排功能可以靈活地聯動網絡内部各個安全産品、系統，實現一點發現，全局治理的效果。

1. 劇本啓動後，獲取回傳的 EDR 告警信息；

2. 根據安全工程師預設的規則，在多個設備上進行聯動處置；

3. 定時解除封禁狀态。

通過上述 SAOR+ 多處置設備的組合，可以達到端點發現、全局處置的效果，并且避免了安全工程師切換登錄不同處置設備執行處置動作的時間消耗，減輕了一線安全人員的工作壓力，并且通過定時解除的功能，避免了長期封禁導緻的處置設備資源不足的情況出現。

總結  

面對日益複雜的網絡安全現狀，安全運營中心的建設依賴單一的解決方案和安全能力的堆疊是遠遠不夠的，必須實現設備、系統、解決方案的有機結合和靈活聯動才能面對未來不可預期的安全威脅，SOAR 安全編排自動化正是提供了這樣的一種思路去幫助企業進行安全能力的建設完善和打磨，從實踐中我們也發現這是一種行之有效的思路。霧幟智能作爲國内首發的 AI+SOAR 解決方案廠商，已經積累了豐富的客戶經驗和項目經驗，幫助包括了互聯網、金融、運營商、能源、煙草、教育、政府、制造業等多個行業客戶實現了 SOAR 能力建設，并且取得了客戶的高度認可，期待爲您的網絡安全助力！

霧幟智能

霧幟智能自 2019 年成立以來始終堅持在 SOAR 領域持續創新，專注于網絡安全技術和産品的自主研發爲核心，秉承 " 充分運用人工智能和自動化技術，爲智能安全運營提供創新的技術和産品 " 的企業使命，爲客戶提供高質量的産品和服務。

霧幟智能以先發産品的優勢、點縱橫的市場打法和持續創新的自我突破，使得公司在 SOAR 市場始終保持遙遙領先的位置。目前公司已形成了以上海爲總部，覆蓋北京、廣州、深圳、濟南、合肥、杭州、武漢、成都等地的全國性服務支撐體系，并構建了強大的合作夥伴與渠道營銷體系；客戶已覆蓋政府、教育、互聯網、金融、運營商、能源、煙草、汽車制造等行業。