一、背景介绍

近年来，随着互联网行业的高速发展，企业的业务安全也越来越依赖网络安全能力建设，同时，随着企业业务的日益增长，所要面临的安全问题也越来越多，传统的安全能力在面对日益增长的安全问题时显得捉襟见肘。

在诸多的新兴安全解决方案当中，“SOAR”和“EDR”备受关注，为企业的安全能力建设提供了新的思路和方案。

SOAR是Security Orchestration Automation and Response的缩写，直译为“安全编排自动化与响应”，意指：借助安全编排和自动化技术，对既有安全产品、网络设备、IT系统和SaaS服务等基础能力进行统筹调度；基于可视化剧本编排和调度执行引擎，开展有逻辑、有顺序的自动化流程操作，实现日常安全事件运营和突发事件处置过程自动化。代表厂商：雾帜智能。

EDR是Endpoint Detection and Response的缩写，直译为“端点检测与响应”根据Gartner对EDR的定义，EDR是一种记录和存储端点系统等级行为的解决方案，并且通过多种数据分析技术检测可疑的系统行为，提供关联信息，从而阻断恶意行为并且为受影响的系统提供修复建议。代表厂商：深信服、360、奇安信、腾讯安全等。

本文将探讨如何通过“SOAR”+“EDR”打造更加智能、高效的安全运营中心。

二、应用场景

深耕在一线的SOC安全工程师在面临网络安全的问题是一定会有这样的体会：传统的、基于特征库的端点保护方案无法抵御日新月异的攻击手段，一线工程师深陷“告警疲劳”，无法及时处置真实的攻击行为，单一终端、单一时间段、单一系统的告警行为无法进行有效关联，这使得一线的安全人员无论是在事件检测、事件调查还是在事件处置中都显得有心无力，EDR解决方案的设计理念正是基于目前端点所面临的日益复杂的安全现状，EDR解决方案可以使用各种数据分析技术检测可疑系统行为，对各个系统、端点收集的分散的告警进行上下文关联，及时阻断恶意的攻击行为。

三、典型困难

然而在EDR解决方案落地过程中，EDR解决方案的实际效果和带来的价值却显得不尽人意，单一的解决方案无论设计理念如何完善，覆盖面如何广泛都无法完全解决端点所面临的所有安全问题，在整个安全运营中心的建设过程中必须要各个设备、系统、方案联合进行工作，各司其职才能够发挥设备、方案的最大价值。EDR的覆盖范围虽然广泛，但是对除了端点外的其他设备、系统的联动性稍显不足，尤其是跨厂商的设备，由于生态的原因更难进行有效的联动。其中主要的问题体现在：

EDR在提高告警精准度方面能力仍需提升，虽然EDR采用了基于行为的检测方式以及大数据和人工智能的分析方法，但是并没有完全解决一线工程师在面对海量告警时的“疲于奔命”的现状。
EDR在处置安全事件时存在滞后性，EDR产生的安全告警的影响面不光局限于端点，它作用在整个网络当中，由于生态的原因，EDR并不能及时、高效的联动不同厂商、不同品牌的安全产品对告警进行处置，更多地还是依赖安全工程师在各个设备上手工执行操作，这对安全工程师的工作压力并未得到有效地缓解。

四、SOAR+EDR=智能安全运营

2019年8月国内首发的AI+SOAR产品——雾帜智能HoneyGuide，通过虚拟作战室、AI机器人和可视化剧本编排，帮助安全团队加速威胁响应和处置，提升运营自动化，实现安全风险自治理。

针对上述现阶段EDR解决方案所面临的几大痛点，雾帜智能HoneyGuide SOAR剧本都能进行完美解决，帮助安全团队建设更加智能、高效的安全运营中心。

解决告警精准度问题

现阶段的EDR解决方案除了利用大数据以及人工智能的数据分析方法，还会联动生态中的威胁情报来进一步提升告警的精准度，但是依赖单一的情报来源很难对告警精准度有质的提升，通过HoneyGuide SOAR剧本编排功能可以扩展和丰富威胁情报来源，并且进行动态灵活调整，对多源情报的查询结果进行整理聚合，回传给EDR管理端，持续完善EDR解决方案的威胁数据分析方法。

关键步骤

雾帜智能HoneyGuide SOAR+多源情报，可以EDR告警精准度提升，主要流程：

1.安全剧本启动后，实时获取EDR管理端的告警信息;

2.从告警信息中获取关键字段，如：IP、域名、URL、文件信息等；

3.调用各个情报的API接口，查询威胁情报；

4.对查询结果进行整理聚合；

5.通过EDR的API接口回传给EDR服务端。

实战效果

通过落地上述SOAR+多源情报应用的组合，可以有效提升EDR的告警精准度，减缓一线安全人员处置告警的压力，提升整体的安全运营水平。

解决安全事件处置滞后问题

EDR在处置端点安全问题时效果显著，但是端点的安全问题从来不止作用在端点上，更多的是需要从全局进行处置，由于EDR解决方案的局限性，在联动不同品牌、不同生态的设备的能力仍有所欠缺。通过HoneyGuide SOAR剧本编排功能可以灵活地联动网络内部各个安全产品、系统，实现一点发现，全局治理的效果。

关键步骤

1. 剧本启动后，获取回传的EDR告警信息；

2. 根据安全工程师预设的规则，在多个设备上进行联动处置；

3. 定时解除封禁状态。

实战效果

通过上述SAOR+多处置设备的组合，可以达到端点发现、全局处置的效果，并且避免了安全工程师切换登录不同处置设备执行处置动作的时间消耗，减轻了一线安全人员的工作压力，并且通过定时解除的功能，避免了长期封禁导致的处置设备资源不足的情况出现。

五、总结

面对日益复杂的网络安全现状，安全运营中心的建设依赖单一的解决方案和安全能力的堆叠是远远不够的，必须实现设备、系统、解决方案的有机结合和灵活联动才能面对未来不可预期的安全威胁，SOAR安全编排自动化正是提供了这样的一种思路去帮助企业进行安全能力的建设完善和打磨，从实践中我们也发现这是一种行之有效的思路。雾帜智能作为国内首发的AI+SOAR解决方案厂商，已经积累了丰富的客户经验和项目经验，帮助包括了互联网、金融、运营商、能源、烟草、教育、政府、制造业等多个行业客户实现了SOAR能力建设，并且取得了客户的高度认可，期待为您的网络安全助力！

雾帜智能

雾帜智能自2019年成立以来始终坚持在SOAR领域持续创新，专注于网络安全技术和产品的自主研发为核心，秉承“充分运用人工智能和自动化技术，为智能安全运营提供创新的技术和产品”的企业使命，为客户提供高质量的产品和服务。

雾帜智能以先发产品的优势、点纵横的市场打法和持续创新的自我突破，使得公司在SOAR市场始终保持遥遥领先的位置。目前公司已形成了以上海为总部，覆盖北京、广州、深圳、济南、合肥、杭州、武汉、成都等地的全国性服务支撑体系，并构建了强大的合作伙伴与渠道营销体系；客户已覆盖政府、教育、互联网、金融、运营商、能源、烟草、汽车制造等行业。