青藤SOAR安全编排与自动化响应解决方案 《鹊桥》 1安全运营环节常见问题 2 HW凸显的速度要求 人 流程 设备？ 告警风暴 知识风暴 人员短缺 工具堆叠 协调困难 威胁增多解决思路 3简单重复的工作太多 每日产生的告警数量太多 安全工具操作复杂，门槛高 安全事件分析所需的专业知识太多人员流动带来的能力下降 人员能力培养成本高 事件响应跨团队协同难度大 MTTR/MTTD 难以提升优化 过于依赖第三方安全专家企业安全运营能力如何评价 高级威胁是否能快速遏制 安全投资如何提升关键 KPI CISO 安全主管 工程师 将安全工具接口化 将人员、工具流程化 将运营结果知识化 将运营效果指标化 将运营过程标准化 实现思路 4借助编排与自动化技术，将人、 设备、流程进行三位一体的融合，提高安全运营各环节的效率。 安全工具： 是指安全运营过程中用到的 各种工具、应用。 安全工具接口 化是指将各类工具通过 API进行调度。 安全设 施接口化 是安全编排的前提 条件。安全编排： 是指将不同的安全工具和人原角色按照剧本设 计进行组合的过程。剧本：根据不同的事件类型，结合企业的实际情况转化为 针对性的处理流程， 目的尽可能自动化的展开协同工作。 一个剧本可以调用多个子剧本。 人 流程 设备SOAR为安全运营带来的价值 5 告警包含的 IP、类型、文件 执行资产、 IP、 网段、机房调查 登录第三方平台 展开查询 查询HIDS 相关告警 判断是否进行整 改、遏制、清除 综合判定告警级 别、优先级 封禁IP 系统下线 安全补丁 删除账户 BEFORE AFTER 查询主机内部数 据；包括进程、 注册表、操作行 为、登录行为、 具体命令与文件 全部响应时间5-10mins 2-5mins 1-3mins 5-10mins 5-10mins 1-5mins 3-5mins 1-3mins 51MINUTES 2MINUTES 通过自动化的事件响应流程，结合人工 决策环节，整体处置效率提升 25倍。 安全事件检测 -分析-响应实例管理 SOAR在现有体系中的定位 SIEM/态势感知 告警可视化 关联分析 数据ETL.标准化 SIEM Alert SOAR 流程编排 处置知识库 实例管理自动响应 联动处置 Playbook DATA 情报 TI/TIP日志、流量 告警、资产 漏洞。。。 丰富化 事件聚合 决 策 安全工具 安全防御设备 安全检测设备 主机 应用 AD域控 运维工具 数据中心 Log Collect Context青藤SOAR解决方案 7 青藤将结合用户实际的安全运营现状，通过集中的接口调度引擎集中管理各类安全实例，通过可视化流程编 排引擎完成人员、实例、流程的固化，从而提高安全运营的效率，减轻运营团队工作量。 产品与技术支撑 配套服务支撑 •安全实例接入服务 •Playbook 编排服务•事件监控与优化服务•运营指标梳理服务 主要工作 -1-安全实例管理 8青藤SOAR将检测设备、防御设备、威胁情报源、邮件服务器等安全运营工作所需的所有工具、应用通 过API接口进行实例化接入，作为编排的基本要素。 •安全设备调研服务 •设备接口梳理服务 •接口化工作评估服务 安全实例接入服务 内置29类设备 API接口，支持自定义接入脚本 •检测型： WAF、IDS、NTA、AV、HIDS、蜜罐、 NMAP、沙箱… •防御型： FW、IPS、交换机、 DLP、抗D、终端管 理… •管理型：态势感知、资产管理、 Zabbix、 OpenStack 、阿里云 … •通信型：邮件服务器、邮件网关、钉钉、 •情报型：漏洞情报、威胁情报、内部情报 …