知己知彼,百战不殆!SOAR威胁情报能力盘点

从2015年到2022年,Gartner对SOAR(安全编排自动化与响应)的定义几经变化:

2015年,安全运营(Security Operations),分析(Analytics)和报告(Reporting)

2019年,安全编排自动化与响应(Security Orchestration, Automation and Response)

2022年,SOAR平台是在单个平台中结合事件响应(SIRP)、编排和自动化(SOA)以及威胁情报管理(TIP)功能的解决方案

但万变不离其宗,归根结底还是围绕安全运营这个核心流程进行丰富和完善。

威胁情报是SOAR的重要功能,通过对多源威胁情报的收集、关联、分类、共享和集成,以及与其他系统的整合,实现对网络攻击的检测、响应和阻断。

专注网络安全可视化领域11年,安博通网络安全智能运营与协同响应平台深刻诠释了SOAR理念,将威胁情报管理作为核心组件之一,帮助用户实现高效剧本编排和自动化响应。

威胁情报聚合管理

平台提供安博通自主研发的预置威胁情报功能,支持开源情报更新、手动新增与批量导入、第三方威胁情报对接。

基于统一标准对威胁情报数据进行融合,使多源情报按照一致的格式入库和展示,提升操作便利性。

支持威胁情报的快速检索,基于自研的AQL可变数据库检索引擎,可多字段多条件自定义检索。

提供多源情报的质量评价方法,给出情报可信度评分。

威胁情报扩展分析

基于实时流量的威胁情报检测机制,实时发现威胁,第一时间抵御安全风险。

基于威胁情报的告警日志收敛功能,可快速对海量告警日志进行二次研判。

基于告警事件的威胁情报关联分析,针对告警中的IP、域名、文件Hash等字段匹配威胁情报,为安全运营人员提供更多维度的情报信息,提升决策精准性。

基于攻击IP的威胁情报溯源画像,快速对攻击IP进行追踪溯源。

基于威胁情报的自动化封禁功能,对已知但尚未造成威胁的攻击IP,提前设置阻断访问策略。

威胁情报可视化

基于BI仪表盘可定制本地威胁情报态势,将威胁情报与安全响应有机结合,从情报来源、情报融合、情报处理等多个维度进行呈现,宏观展示本地安全的运营态势。

网络安全智能运营与协同响应平台是SOAR理念的深度实践,不仅能帮助安全运营团队梳理现有安全运营流程、完成安全剧本编排、实现安全事件自动化响应,而且还能增强安全团队的威胁情报管理能力,让威胁情报成为安全运营的地基。

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )