安全编排是一种连接安全工具和集成不同安全系统的方法. 正是连接层简化了安全流程. 采用安全编排和 automation 在安全行业中有很好的理由:自动化频繁且容易重复的任务可以为已经很紧张的安全团队节省大量时间.
As useful as automation is, 从长远来看,各个独立工作的工具可能很快就会在节省多少时间方面碰壁.
Instead, 编制将任务链在一起,以创建跨工具集的更大流程和工作流, 哪些允许组织超越自动化. It opens new possibilities to work at scale, 节省安全团队宝贵的资源,加快对更多常规问题的响应.
Thankfully, 随着安全堆栈中的工具不断成熟, 曾经是安全团队日常工作的手工流程变得越来越容易自动化, 这意味着安全团队可以更有效地优先考虑即将到来的内容.
团队每天只有一定数量的员工和时间, 随着任务数量的增加,即使是管理一次性的自动化任务也会变得很繁重.
管理这些任务的工具可能会产生大量需要响应的警报, 然而,安全团队已经经历了警惕疲劳. 如果忽略了隔离工作的自动任务发出的警报, did it really save anyone time?
安全编排通过从孤立的自动化任务中提取待办事项来减轻这种负担,而是从头到尾将任务作为内聚工作流的一部分进行管理. Security teams that effectively leverage SOAR security solutions 作为他们的工具的一部分,他们可以在日常事务上花更少的时间,而把更多的宝贵时间花在真正需要人类参与调查的棘手问题上, mitigation, and remediation.
安全编排解决方案可以帮助连接自动化工具,使它们无缝地协同工作. In many cases, 安全编排解决方案具有内置的库,允许工具之间相互通信, 而在其他情况下,它们可能需要在编排器中手动初始设置, usually by making use of the tools’ APIs.
安全团队可以通过像查看算法一样查看他们的安全流程来利用编排:在一个工具中设置的条件或标志将自动触发另一个工具中的操作或流程, and so on and so on, 消除了团队对人工干预的大量需求.
需要从多个位置提取数据集和启动任务的流程特别适合编排. Phishing investigations, for example, 可以涉及许多小的可自动化的任务, 比如扫描潜在的网络钓鱼邮件 malware 并与已知网络钓鱼url的开源列表交叉检查电子邮件中存在的任何url.
这些类型的任务在手动完成时表现出一定程度的剪切和粘贴苦差事, 但作为精心策划的电子邮件网络钓鱼调查的一部分,它们是自动化的很好的候选者.
当这些任务在编排工具中链接时, 成功检测到网络钓鱼活动的标记电子邮件可以在IT团队的票务系统中自动启动时间紧迫的遏制和修复任务, 所有这些都不需要安全团队的任何人工干预.
自动化一旦出现在安防领域, 它很快成为安全团队从繁重而耗时的任务中解脱出来的重要盟友. 编排是安全团队更好地管理时间和资源的下一步, 帮助专业人士更快地对问题做出反应,更好地优先考虑需要他们关注的问题.