小安在选择适合的SOAR(安全编排、自动化和响应)解决方案时,组织需要考虑多个因素。除了核心技术外,还需要评估组织自身的成熟度、技术集成和工具堆栈需求、现有流程以及部署方法。其他考虑因素包括易用性和与其他工具的连接性、自定义集成能力、预构建集成数量和更新频率、事件和案例管理功能、威胁情报集成、工作流和剧本功能、部署灵活性、定价模型以及附加服务和售后支持。综合考虑供应商的产品和服务,以满足SOC组织的效率和效果提升需求,找到最佳的SOAR解决方案。
在比较不同的 SOAR 提供商时,您在做出决定之前需要考虑一些不同的因素。除了核心技术之外,买方的决策过程很大程度上受到整体提供的因素和服务的影响。组织在实施任何 SOAR 产品之前应考虑的一些因素包括对其自身成熟度的评估、所需的技术集成和工具堆栈、现有流程以及他们选择的部署方法。
组织对其安全状态进行内部审核后,必须考虑与 SOAR 产品本身相关的因素。考虑因素例如:
- 易于使用以及与其他工具的连接:安全编排工具应充当检测、丰富、响应和相关工具之间的连接纤维。
组织应该努力实现最终状态场景,其中 SOAR 工具从他们当前部署的检测工具中获取警报,并执行自动化操作手册,协调丰富、响应和相关工具之间的操作。平台内可以执行多少命令或操作?集成是否能够解决以下重点领域?这些包括:
- 分类和映射
- 检测与监控
- 数据丰富和威胁情报源
- 执法和回应
- 自定义集成功能:平台是否有构建自定义集成的机制(例如内部 SDK)?平台上线期是否包括服务团队的定制集成支持?这些服务是添加到产品购买价格中还是作为产品购买价格的一部分?
- 开箱即用 (OOTB)/预构建集成:平台有多少个集成(类别的广度和每个类别的深度)?随着时间的推移,新的集成是否会添加到平台中?以什么频率?这些更新是免费的还是附加服务?
- 事件和案例管理:该平台是否具有本机案例管理或与相关案例管理工具集成?该平台是否能够重建事件时间表?该平台是否支持事件后记录和审查?该平台是否创建审计跟踪来突出数据流并维持责任?
- 与威胁情报集成:威胁情报是基于证据的知识,包括有关现有或新出现的威胁或资产危害的背景、机制、指标、影响和面向行动的建议。具有威胁情报集成的 SOAR 平台可以利用收集到的知识来帮助 SOC 团队就外部威胁对其环境的影响做出明智的决策。通过将外部威胁情报映射到网络中发生的事件的能力,可以加快事件调查的速度,从而有可能发现以前未检测到的恶意活动。自动化工作流程可以将相关威胁情报以可扩展的方式实时分发到执行点。
- 工作流和剧本功能:平台是否具有工作流功能(基于可视化任务的流程)?该平台是否显示每个事件的实时操作手册?该平台是否支持剧本嵌套?该平台是否支持创建自定义剧本任务(自动和手动)?该平台是否支持跨剧本传输自定义任务?
- 部署灵活性:组织用于开展业务和保护数据的技术不断处于发展和变化的状态。对于所有这些移动部件,在选择安全编排工具时,敏捷性和可扩展性至关重要,这在很大程度上取决于可用部署选项的灵活性以及这些选项如何与组织内的其他工具和要求保持一致。
该平台有哪些灵活的部署选项?该平台是否专为多租户而设计,是否具有支持跨组织网络通信的网络分段所需的安全性?该平台是否具有跨多个租户的水平可扩展性以及一定程度的高可用性保证? - 定价:在选择安全编排工具之前,请考虑哪种定价方法最适合您的整体预算流程。目前市场上流行的定价方式如下:
- 按操作或自动化定价
- 每个节点或端点的定价
- 年度订阅,附加价格适用于其他管理员用户
- 附加服务和优势:除了核心 SOAR 能力之外,公司还提供哪些其他差异化资源让您的组织受益?
- 专业服务:公司是否为其客户提供专业服务,确保从始至终的成功部署?
- 售后支持:安装后公司提供什么样的支持?公司是否提供您和您的组织所需的支持类型?
为任何安全运营找到最佳的 SOAR 解决方案需要将供应商的产品与 SOC 组织提高效率和功效的需求结合起来。正确的 SOAR 解决方案不仅应该补充和兼容已经到位的产品、剧本和流程,还应该优化协作,提供部署和托管功能的灵活性,并拥有符合需求的定价模型组织的。
川公网安备 51019002003012号