【转】SOAR从概念到落地

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

 

今年2月,国际知名的大数据公司Splunk公司正式对外公布了收购Phantom公司的最终协议。Phantom是安全编排、自动化和响应(Security Orchestration,Automation and Response, SOAR)领域的领导者。根据协议条款,Splunk将以 3.5亿美元的总购买价格收购Phantom,具体金额将可能进行调整,以现金和股票的方式支付。

在备受瞩目的BlackHat大会上,Splunk自然不会放过这一热点事件,高调的将两家公司的并购重组称之为“分析驱动安全的新纪元”(New Age of Analytics-Driven Security)。

用“新纪元”来形容这两家科技巨头的合并并不为过。Phantom软件与Splunk平台的整合将创建一个全面的系统,让安全运维团队可以利用分析驱动的安全性来加速对安全事件的响应,推进网络防御并降低组织风险。这将有助于更好的管理安全运营中心,减少所需人员数量。

除了Splunk+Phantom的高调亮相,其他厂商也纷纷推出自己的SOAR产品或服务:

2015年 ,Gartner 首次在《安全运营,分析和报告创新技术洞察》(InnovationTech Insight for Security Operations, Analytics and Reporting)中提出 SOAR 概念,此时的 SOAR 定义为“安全运营(Security operations),分析(analytics)和报告(reporting)”,这类工具利用机读和有状态的安全数据提供报表、分析和管理功能来支持安全运营工作。而近两年国外安全编排和自动化、安全事件响应平台以及威胁情报平台三类技术融合,演进出新的SOAR,既安全编排(Security Orchestration),自动化(Automation)和响应(Response)。

目前SOAR最主要的应用场景在事件检测和分发、事件响应以及威胁情报管理,这其中最至关重要的是威胁情报市场的日渐成熟,威胁情报不仅仅局限于提供IOC给安全设备的安全防御和检测场景,还有基于攻击组织属性、能力以及意图等运营级情报用于安全分析、取证和事件响应的场景,以及更高层面关心趋势、攻击者动机和分类的战略情报,支撑企业高层做风险评估决策。这个领域的领导厂商甚至可以提供安全咨询类服务,帮助企业构建自身的安全情报能力。

SOAR平台通过自动执行任务、编排工作流程、改进协作以及赋能机构以机器速度响应事件来提高安全操作的效率。根据Gartner的预测,“到2020年年底,拥有5人以上安全团队的机构中将有15%利用SOAR工具进行编排和自动化操作,目前这一比例不到1%”,“到2022年,40%的大型企业将结合大数据和机器学习功能来支持并部分取代监控、服务台、自动化流程和任务,目前这一比例仅为5%。”

SOAR的未来趋势,也给国内安全厂商带来重要启示。作为国内知名的网络安全品牌,近年来,安恒信息产品线不断拓宽和完善,目前已经拥有覆盖“事前检测,事中防护,事后大数据分析”全生命周期的完备产品线;此外,安恒信息专业的安全服务团队,拥有多项国内顶级安全服务资质,提供7*24小时的全方位安全服务,可以帮助客户快速实现“SOAR”从理念到安全实践的落地。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/439035.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CCIE-LAB-SDN-第六篇-SDWAN-Branch2-vEdge-51-vEdge-52

CCIE-LAB-SDN-第六篇-SDWAN-Branch2-vEdge-51-vEdge-52 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 题目 SECTION 2.3: Mapping SDA VNs to SD-WAN VPNS(4 Points) Using vManage GUI, perform configuration tasks according to these require…

CCIE-LAB-第七篇-SDN-SDWAN-路由泄露

CCIE-LAB-第七篇-SDN-SDWAN-路由泄露 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 题目: Section 2: Implementing Proof of Concept SDX Branches SECTION 2.4: Configuring SD-WAN VPN Route Leaking (3 points) To allow the traditional part…

Azure Sentinel -- 云原生企业安全信息和事件管理平台(SIEM)初探系列一

SIEM,一个已经存在20多年的安全产品领域,一个很多企业所必须的安全事件监控和管理平台,但现在它所承载的功能和价值也随着现在企业办公环境的变化而面临巨大的挑战。 首先,最大的一点的不同在于,企业的安全边界已经改…

CCNP-防火墙-上一代防火墙-下一代防火墙

CCNP-防火墙-上一代防火墙-下一代防火墙 上一代防火墙 这玩意应该是十几年前的东西了 现在我们都叫下一代防火墙(NGFW) 上一代防火墙呢 基本上都是把功能集成到一个盒子里面 <上一代防火墙是这样处理数据的> >来了一个数据包,他首先经过IP,路由,可达了 >然后就经…

Azure Sentinel -- 初探系列二 案件调查及追踪

在上一篇文章中&#xff0c;我们看到了如何对案件通过相关性迅速找到事件发生的根源&#xff0c;但查找到威胁仅仅只是个开端&#xff0c;后续如何流程化的解决这个威胁&#xff0c;实现安全编排和自动相应。也是安全团队所需要去完成的工作&#xff0c;而这个过程&#xff0c;…

CCIE-LAB-第八篇-SDWAN-Branch1_Branch2_Vmanage

CCIE-LAB-第八篇-SDWAN-Branch1_Branch2_Vmanage 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 题目 SECTION 2.5: Handling Guest Traffic (4 points) The Guest VN/VPN on Branches #1 and #2 must remain isolated from the rest of the company…

AZURE 日志分析自动告警

小伙伴们好久不见&#xff0c;今天我们来聊聊中国 AZURE 的日志分析告警。为什么是中国 AZURE&#xff0c;目前中国 AZURE 的 Monitor 服务和运维相关周围服务和 Global 是有所不同的&#xff0c;所以有些功能和设计不能复制和套用全球版 AZURE 的架构。我们先看一下中国 AZURE…

CCIE理论-第九篇-IPV6详细介绍

CCIE理论-第九篇-IPV6介绍 应该有人等这个好久了 其实这个可以放NA,可以放NP,也可以放IE 放在这,其实也没啥了,开搞吧! IPV6-VS-IPV4 ipv6对比ipv4最大的区别是,最明显的是,地址数量变多了,而且是多的很离谱 1.报头不同 2.ipv6无广播(仅有单播组播) 3.ipv6的优化 4.128位(ip…

ELK学习总结(1-1)ELK是什么

1、elk 是什么 &#xff1f; Elastic Stack&#xff08;旧称ELK Stack&#xff09;&#xff0c;是一种能够从任意数据源抽取数据&#xff0c;并实时对数据进行搜索、分析和可视化展现的数据分析框架。&#xff08;hadoop同一个开发人员&#xff09; java 开发的开源的全文搜索引…

CCNA-数据包在网络设备直接的通信流程

CCNA-数据包在网络设备直接的通信流程 工作以来&#xff0c;感触最深的就是很多人学完了网络&#xff0c;甚至做了几年项目&#xff0c;还没有搞明白数据包的走向问题以及设备的转发原理。导致工作过程中出现问题&#xff0c;在拍错的时候一头雾水&#xff0c;抓耳挠腮&#x…

将 Fortinet 连接到

本文介绍了如何将 Fortinet 设备连接到 Azure Sentinel。 Fortinet 数据连接器可让你轻松地将 Fortinet 日志连接到 Azure Sentinel&#xff0c;查看仪表板、创建自定义警报和改进调查。 使用 Azure 上的 Fortinet 可以更深入地了解组织的 Internet 使用情况&#xff0c;并增强…

CCIE理论-第十篇-IPV6 VS IPV4(带你们看看U.S.A的ISP的设备)

CCIE理论-第十篇-IPV6 VS IPV4(带你们看看U.S.A的ISP的设备) IPV4缺点 这个前面一章讲过了,这里再讲一次 https://www.potaroo.net/ 这是一个统计的机构,可以去看看ipv4的地址早就用完了,nat只是可以缓解这个问题,并不能从根本上解决这个问题 来看一个全球的路由器,很牛的 …

使用 Syslog 连接 Sentinel

可以将支持 Syslog 的任何本地设备连接到 Azure Sentinel。 这是通过在设备和 Azure Sentinel 之间使用基于 Linux 计算机的代理来完成的。 如果 Linux 计算机位于 Azure 中, 则可以将设备或应用程序中的日志流式传输到在 Azure 中创建的专用工作区, 并进行连接。 如果 Linux 计…

CCIE理论-第十一篇-IPV6地址

CCIE理论-第十一篇-IPV6地址 接下来都是IPV6的,每篇的内容可能不太多 IPV6是128bit的 分成八个段 ipv6地址不分大小写格式1-9 A-F F-1111 E-1110 D-1101 8-1000 4-0100 0-0000 以此类推哈 这个不需要记哈,知道就行 因为v4跟v6不一样 不是你想怎么弄就怎么弄的 虽然ipv6也有专…

将 Palo Alto Networks 连接到 Azure Sentinel

本文介绍了如何将 Palo Alto 网络设备连接到 Azure Sentinel。 Palo Alto Networks 数据连接器可让你轻松连接 Palo Alto 网络日志和 Azure Sentinel&#xff0c;查看仪表板、创建自定义警报&#xff0c;以及改进调查。 使用 Azure 上的 Palo Alto 网络可以更深入地了解组织的 …

CCIE理论-第十二篇-IPV6-NDP协议

CCIE理论-第十二篇-IPV6-NDP协议 首先我们知道 在IPV4中 A:0.0.0.1-126.255.255.255 B:128.0.0.1-191.255.255.255 C:192.0.0.0-223.255.255.255 D:224.0.0.0-239.255.255.255-组播 E 240.0.0.0-255.255.255.255 其中224.0.0.1-224.0.0.255为永久组播地址 理论上来说,去找这些…

Sentinel 连接数据源

若要载入 Azure Sentinel&#xff0c;首先需要连接到数据源。 Azure Sentinel 随附许多适用于 Microsoft 解决方案的现成可用的连接器&#xff0c;提供实时集成&#xff08;包括 Microsoft 威胁防护解决方案&#xff09;和 Microsoft 365 源&#xff08;包括 Office 365、Azure…

CCIE理论-第十三篇-IPV6-路由-静态+(EIGRP+OSPF)两种做法+IPV4-ARP代理详解(精髓篇)

CCIE理论-第十三篇-IPV6-路由-静态(EIGRPOSPF)两种做法IPV4-ARP代理详解(精髓篇) 其实呢,路由协议,静态路由 他还是ipv4那一套,只不过多了点东西 该怎么搞怎么搞,ospf还是要network,bgp一样要写邻居 只不过换了一种方式呈现出来,不过实际上也差不多,很容易看懂的静态 最大的区…

CCIE理论-第十四篇-IPV6-路由协议-BGP小实验

CCIE理论-第十四篇-IPV6-路由协议-BGP小实验 首先列,还是有两种做法,还是做实验看效果啊哈 R1为bgp的as1 下面三个设备都是as100 然后r5是as2 这边方便一会做ibgp和ebgp其中,r1带一个1::1/128的环回口,然后r5带一个2::2/128的环回口其中呢,在BGP里面,IPV4和IPV6都是分单播和…

CCIE理论-第十五篇-IPV6-重分布+ACL+前缀列表

CCIE理论-第十五篇-IPV6-重分布ACL前缀列表 重分布前面讲过,这里再讲一次实操效果看看 在ipv6中重分布直连路由是需要加上include-connected的 环境 就这么简单哈,然后两边都有环回口.来做重分布. 左边1::1/64,中间1::2/64,右边10::1/64,然后10::2/64 还是用BGP来做吧,典型点…