SOAR安全運營(yíng)解決方案

天璇自動(dòng)化研判與處置平臺是國舜自研的自動(dòng)化研判與處置平臺，通過(guò)搜集所有網(wǎng)內資產(chǎn)的安全信息，對收集到的各種安全事件進(jìn)行深層的過(guò)濾、分析、統計、關(guān)聯(lián)和存儲。提供資產(chǎn)自動(dòng)化盤(pán)點(diǎn)、網(wǎng)絡(luò )攻擊面測繪、流量威脅感知、漏洞閉環(huán)管理、攻擊鏈還原、威脅情報管理、日志審計與檢索調查、安全編排與自動(dòng)化響應及安全可視化等能力，及時(shí)發(fā)現反映被管理資產(chǎn)的安全情況，定位安全風(fēng)險，并提供處理方法和建議。幫助用戶(hù)實(shí)現事前安全預防，事中事件監測與威脅檢測，事后快速響應處置的一站式、可視化、自動(dòng)化的安全運營(yíng)管理。 · 具備網(wǎng)絡(luò )空間安全持續監控能力，能夠及時(shí)發(fā)現各種攻擊威脅與異常； · 具備威脅調查分析及可視化能力，可以對威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進(jìn)行快速判別，從而支撐有效的安全決策和響應； · 構建基于SOAR的劇本引擎，支持“取證、過(guò)濾、分析研判、追蹤溯源、處置響應”五個(gè)階段的編寫(xiě)全自動(dòng)/半自動(dòng)化劇本（SOAR）能力，使入侵檢測感知時(shí)間從小時(shí)級壓縮至分鐘級，入侵檢測處置效率提升數倍； · 建立安全預警機制，完善風(fēng)險控制、應急響應和整體安全防護的水平； · 幫助不同類(lèi)型用戶(hù)需求，提升用戶(hù)對態(tài)勢監控、威脅分析、運維處置等安全能力的建設水平； · 打造基于數據深度鉆取、可視化展現、態(tài)勢處置與預警、智能運營(yíng)等動(dòng)態(tài)賦能，助力用戶(hù)全流程、全周期態(tài)勢感知。

天璇自動(dòng)化研判與處置平臺以資產(chǎn)管理為基礎，以風(fēng)險管理為核心，以事件管理為主線(xiàn)，通過(guò)數據采集、數據存儲、關(guān)聯(lián)分析等技術(shù)，輔以有效的安全策略、安全監測、安全預警、分析研判、調查取證、處置響應、復盤(pán)分析等功能，并結合SOAR技術(shù)固化安全專(zhuān)家知識，實(shí)現自動(dòng)化調查取證和處置響應提升企業(yè)網(wǎng)絡(luò )安全運營(yíng)效率。結合ATT&CK知識庫不斷提升和完善企業(yè)的網(wǎng)絡(luò )安全防御體系。 天璇自動(dòng)化研判與處置平臺的各功能層主要功能如下： · 數據采集層：提供開(kāi)放式的信息采集接口，實(shí)現對用戶(hù)環(huán)境內各類(lèi)IT資產(chǎn)的日志收集及范式化處理的能力，滿(mǎn)足各類(lèi)安全設備、網(wǎng)絡(luò )設備、操作系統和中間件的日志收集及處理。平臺內置威脅情報中心，實(shí)現安全威脅情報的獲取，管理和使用。 · 數據存儲層：實(shí)現海量安全大數據的分布式存儲，提供結構化數據和非結構化數據的存儲能力，并為上層的數據分析應用提供高效的數據庫功能支撐； · 分析與處置層：平臺綜合數據分析能力，是支撐上層數據呈現和分析結果輸出的計算引擎層，提供豐富的大數據統計、關(guān)聯(lián)分析、數據挖掘以及態(tài)勢分析能力，是系統的分析處理的核心。同時(shí)平臺基于SOAR技術(shù)實(shí)現安全告警的自動(dòng)/半自動(dòng)取證、自動(dòng)分析研判，針對安全事件的分析研判結果，可以聯(lián)動(dòng)工單平臺，自動(dòng)生成對應的告警工單，或者通過(guò)郵件等方式提醒通知運維人員進(jìn)行處置?？梢詫?shí)現設備聯(lián)動(dòng)，自動(dòng)下發(fā)處理指令給防火墻、EDR等設備進(jìn)行安全封禁。 · 安全視圖層：通過(guò)下層所提供的數據采集和處理能力向用戶(hù)輸出態(tài)勢感知能力，包括資產(chǎn)態(tài)勢、攻防態(tài)勢、脆弱性態(tài)勢、風(fēng)險態(tài)勢等，服務(wù)于全網(wǎng)的安全態(tài)勢呈現，支撐用戶(hù)全局的安全防護工作。 天璇自動(dòng)化研判與處置平臺輔助企業(yè)建設可持續迭代的安全運營(yíng)體系，為網(wǎng)絡(luò )安全運營(yíng)中的每個(gè)環(huán)節提供標準化框架，降低運營(yíng)的門(mén)檻、提升運營(yíng)效率、以事件反饋和促進(jìn)企業(yè)網(wǎng)絡(luò )安全的正向建設，不斷提升企業(yè)網(wǎng)絡(luò )安全縱深防御體系的可感、可知、可控、可反擊網(wǎng)絡(luò )安全能力。

1.日常安全運維工作的有力工具 對于日常安全運維而言，核心的工作內容就是對IT資產(chǎn)中的網(wǎng)絡(luò )設備、安全設備及重要業(yè)務(wù)系統進(jìn)行持續監測，確保網(wǎng)絡(luò )、主機、應用、業(yè)務(wù)、重要信息系統和人員資產(chǎn)的安全。更具體地說(shuō)，就是要持續監測并識別針對各種IT資產(chǎn)的性能故障、非法訪(fǎng)問(wèn)控制、非法或不當操作、惡意代碼、攻擊入侵、違規與信息泄露行為。借助網(wǎng)絡(luò )安全運營(yíng)平臺，客戶(hù)能夠統一收集來(lái)自網(wǎng)絡(luò )中IT資產(chǎn)的運行信息和日志信息，通過(guò)分析這些數據，識別各種攻擊威脅、違規與信息泄露等行為，協(xié)助客戶(hù)安全運維人員進(jìn)行安全監視、審計追蹤、調查取證、應急處置、生成各類(lèi)報表報告，成為客戶(hù)日常安全運維的有力工具。 2.安全態(tài)勢分析能力 平臺能夠綜合收集到的安全信息要素，基于面向總體安全態(tài)勢的認知和監測進(jìn)行數據的融合、關(guān)聯(lián)分析和挖掘分析。這其中包括對資產(chǎn)及業(yè)務(wù)系統受到的攻擊威脅和自身風(fēng)險程度的分析、復雜攻擊的攻擊過(guò)程及攻擊目標分析、攻擊的危害及影響范圍分析、攻擊威脅溯源分析、外部威脅情報與內部安全信息比對分析等，以多種分析手段支撐平臺的安全態(tài)勢分析 3.縮短響應時(shí)間 通過(guò)自動(dòng)化技術(shù)，盡可能多的自動(dòng)完成一個(gè)安全事件處置流程中相關(guān)步驟，從而縮短響應時(shí)間即MTTR。 4.釋放人力 讓安全專(zhuān)家從繁重的重復勞動(dòng)中釋放出來(lái)，將時(shí)間放在更有價(jià)值的安全分析，威脅獵捕，流程建立等工作上。 5.安全運營(yíng)流程標準化 將公司的安全運營(yíng)流程數字化管理起來(lái)，每一次安全事件的對應處置過(guò)程都在統一標準，統一步驟下執行，有跡可循。避免人員能力的差距導致的處置實(shí)際效果不可控。 6.避免能力斷層 將安全專(zhuān)家的經(jīng)驗固化成處置預案Playbook，讓不同的人都可以遵循同樣的方法來(lái)完成特定安全事件的處置流程，避免因為個(gè)人的離職導致某個(gè)領(lǐng)域的安全能力缺失。 7.運營(yíng)流程指標可度量 因為運營(yíng)流程都通過(guò)Playbook數字化管理且每一次的執行過(guò)程都記錄在案，因此流程的KPI如MTTD、MTTR、TTQ、TTI等全部可評估，可度量，可追蹤。 8.安全運營(yíng)決策支撐 通過(guò)對公司的所有運營(yíng)流程數字化管理、數字化執行、數字化KPI評估后，管理者可以有效的評估什么流程基本無(wú)用，什么流程執行效率不高，什么流程發(fā)揮了最大的作用，甚至什么安全設備在所有流程中被使用的價(jià)值最大。從而為以后的安全投資決策，安全團隊建設決策提供有價(jià)值的數值化支撐。 9.滿(mǎn)足等級保護2.0以及網(wǎng)絡(luò )安全法的相關(guān)技術(shù)要求 天璇自動(dòng)化研判與處置平臺在設計之初就充分考慮的國家制定的信息系統等級保護制度中對于平臺的安全設計技術(shù)要求。平臺能夠幫助客戶(hù)更好地遵從等級保護的基本安全要求和安全設計技術(shù)要求。 10.契合信息安全管理體系的監測與評審要求 平臺參照《GB/T 20984 2007信息安全風(fēng)險評估規范》、《 ISO 27005:2008 信息安全風(fēng)險管理》等規范，以及 OWASP 威脅建模項目中風(fēng)險 計算模型的要求，系統提供實(shí)用化的風(fēng)險計算模型，實(shí)現了量化的安全風(fēng)險估算和評估 。

1.面向業(yè)務(wù)安全管理 系統內置業(yè)務(wù)建模工具，反映業(yè)務(wù)支撐系統的資產(chǎn)構成，并自動(dòng)構建業(yè)務(wù)健康指標體系，從業(yè)務(wù)的性能與可用性、業(yè)務(wù)的脆弱性和業(yè)務(wù)的威脅三個(gè)維度分析業(yè)務(wù)的健康度，協(xié)助用戶(hù)從業(yè)務(wù)的角度去分析業(yè)務(wù)可用性、業(yè)務(wù)安全事件和業(yè)務(wù)告警。 2.集成多種安全產(chǎn)品統一進(jìn)行安全理解，增強檢測和響應能力 通過(guò)在組件安全產(chǎn)品之間共享本地威脅情報來(lái)提高保護能力，從而在所有組件之間提供有效的威脅屏蔽；此外，通過(guò)自動(dòng)關(guān)聯(lián)和確定報警來(lái)減少漏報；集成相關(guān)數據，進(jìn)行更快、更準確的報警分類(lèi)。 3.智能的安全能力網(wǎng)關(guān) 系統提供的安全能力網(wǎng)關(guān)支持通過(guò)系統配置的方式，快速提供安全產(chǎn)品、平臺的接入（例如：沙箱、CMDB系統等），將其外部的安全能力和系統能力通過(guò)配置的方式快速集成到SOAR引擎，豐富SOAR劇本安全能力，實(shí)現安全能力投資的對外賦能和復用，提升企業(yè)整體的安全基線(xiàn)。 4.從實(shí)戰出發(fā)的調查取證和自動(dòng)化處置 平臺支持利用SOAR引擎提供的劇本能力實(shí)現自動(dòng)化取證能力，并提供取證工具可線(xiàn)上或線(xiàn)下輔助安全運營(yíng)人員完成取證工作，并通過(guò)系統系統的分析研判工作臺完成證據鏈梳理，線(xiàn)索拓線(xiàn)、溯源分析，提升安全運營(yíng)人員分析研判效率，并借助SOAR劇本引擎實(shí)現自動(dòng)處置實(shí)現快速止損。將應急響應中告警分析研判周期由天級壓縮至分鐘級，將告警的響應處置周期由小時(shí)級壓縮至秒級。全面提升安全運營(yíng)的分析研判和處置響應效率。 5.降低安全運營(yíng)的復雜度，提高安全運營(yíng)人員的效率 客戶(hù)能夠統一收集來(lái)自網(wǎng)絡(luò )中IT資產(chǎn)的運行信息和日志信息，通過(guò)分析這些數據，識別各類(lèi)性能故障、非法訪(fǎng)問(wèn)控制、不當操作、惡意代碼、攻擊入侵，以及違規與信息泄露等行為，協(xié)助客戶(hù)安全運維人員進(jìn)行安全監視、審計追蹤、調查取證、自動(dòng)化應急響應和處置、生成各類(lèi)報表報告，提高客戶(hù)日常安全運營(yíng)效率。 6.豐富多維的安全態(tài)勢 通過(guò)對數據的綜合利用，包含安全事件、漏洞脆弱性、告警、資產(chǎn)信息、外部威脅情報等各類(lèi)安全數據，使用戶(hù)把控宏觀(guān)安全及風(fēng)險態(tài)勢，了解當前遭受的攻擊態(tài)勢，綜合掌握網(wǎng)絡(luò )中資產(chǎn)及業(yè)務(wù)的安全隱患，識別被防護對象受到的威脅態(tài)勢，掌握攻擊規律趨勢，定位攻擊源頭并預警潛在威脅。其目標是通過(guò)安全信息的集中整合分析，使用戶(hù)從資產(chǎn)態(tài)勢、漏洞態(tài)勢、風(fēng)險態(tài)勢、攻擊態(tài)勢等多維度掌握風(fēng)險威脅態(tài)勢，把握威脅的發(fā)生、發(fā)展、危害范圍，提升整體資產(chǎn)及業(yè)務(wù)的防護能力。