产品介绍

SOAR是奇安信基于自身丰富的实战化安全运营经验,依托具有丰富安全管理与运维技术积累的技术团队,经过长期的调研和潜心研发,在国内主流安全厂商中率先正式发布SOAR安全编排自动化与响应系统,奇安信SOAR是一个将安全运营相关的团队、工具和流程通过编排和自动化技术整合在一起的,有序处理多源数据,持续进行安全告警分诊与调查、案例处置、协同作战、事件响应,并最终实现高效、有效安全运营的智能协作系统。奇安信SOAR具有以下显著特征:

1)      面向SecOps,以高效、有效为目标;

2)      以编排和自动化为核心;

3)      是一个智能化协作运营系统;

4)      关键功能包括:安全告警分诊与调查、案例管理、作战室、安全事件响应、剧本与应用管理;

5)      实现了团队、工具和流程的无缝整合。




核心功能

奇安信SOAR包括编排与自动化管理、应用管理、告警管理、高级告警分析、案例管理、作战室、工单管理和支撑管理8大核心功能。其中,高级告警分析、作战室功能是可选功能。

产品特点

奇安信SOAR具备5大技术特点及关键能力,使得其领先和区别于其它同类产品。这5大特点及能力分别是:

1)    安全能力编排化:将分散的安全工具和能力与团队和流程捏合到一起。

2)    安全流程自动化:尽可能地自动化执行安全流程,减少人工参与。

3)    告警响应智能化:智能化告警分诊、调查与响应。

4)    案例管理协作化:以团队协作的方式,借助案例和作战室,持续追踪重大安全事件,全程记录,可复盘总结;

5)    系统架构开放化:开放可扩展软件框架,运维流程高度可自定义,友好便捷地集成各类安全工具和产品。

适用场景

借助本系统,重点帮助解决企业和组织安全运营响应人员匮乏、安全事件响应不及时、重复性运维工作多、安全设备之间缺乏协同且联动性差等导致安全运营人员工作压力大、运营效率低下的问题。

1)    大量安全告警需要排查和上下文比对,操作费时费力,人员不足;

2)    网络中有各种安全设备/系统,缺乏自动化协同联动的工具;

3)    一些不错的实战化的安全响应过程和经验没法积累和传递;

4)    就算通过新型检测提升了MTTD,但若MTTR不相应提升,最后还是无法降低威胁的影响性,达不成有效防护的目的;

5)    借助SOAR,能够通过编排和自动化整合内外部各种安全机制,提升安全告警甄别的效率和安全事件处置的速度,并持续度量安全运营绩效,积累安全响应经验。
部署方式

软件部署在Linux操作系统上,必须采用64位操作系统,支持4核以上CPU,32GB以上内存;支持部署到容器、虚拟化环境和云计算环境中。

客户价值

1)    整合资源、协同连接:将分散的工具、人员和流程有机地整合到一起,整合安全运营所需的各种资源,实现人与工具、工具与工具的连接与协作。

2)    自动运营、减负增效:将安全操作流程或其片段转变成编排化的安全剧本,并尽可能自动化的执行,从而大幅降低安全运营人员的工作负担,提升工作效率。

3)    增强告警、快速分诊:安全运营人员能够更便捷地对告警信息进行调查与增强,更快速地进行告警分诊,从而提升单位时间内处理告警的数量和质量。

4)    快速响应、及时补救:借助编排与自动化,安全运营人员能够快速进行响应处置,降低平均响应时长。

5)    动态对抗、持续优化:安全运营人员能够根据实战情况动态调整和组合剧本。系统能够自动记录所有对抗过程的操作记录,便于事后总结归纳,持续优化。

6)    提升人效、高效度量:通过编排与自动化实现安全运营效果的自动化、数字化度量,提升运营水平,并将有经验的安全运营人员的知识进行固化、沉淀、分享,并不断优化。