网络环境的复杂性和动态性日益增加，传统安全运营模式碰上了“硬茬子”。

传统安全运营的挑战

1、人效不足：运维人员紧缺，工作压力大，造成人才流失；技能专业性强，重复性劳动多，导致效率不高。

2、告警太多：存在大量无效告警和误告警，处理起来费时费力，告警消除的速度远远小于产生的速度。

3、应急响应慢：从网络被攻击到应急响应，间隔时间依然太长。

4、难以标准化：安全运营的流程难以标准化，不利于知识和经验的积累、传递。

5、协同性较差：人员、工具、流程相互割裂，缺乏整合、缺少协同，制约了安全能力的整体提升。

安博通基于SOAR（安全编排、自动化和响应）技术，推出网络安全智能运营与协同响应平台，集成多种安全工具和自动化流程，可以显著提高安全运营的效率和响应能力。

SOAR“升级”安全运营

资产管理，锁定资产暴露面

·  自动发现资产：SOAR平台可以集成网络扫描工具和CMDB（配置管理数据库）系统，自动发现、自动更新网络中的资产信息。通过定期扫描和实时监控，确保资产信息的准确性与完整性。

·  资产优先级排序：根据资产的业务价值和风险级别，自动进行优先级排序。例如，将关键业务服务器标记为高优先级，并针对其制定更加细致的安全策略。

·  识别修复漏洞：结合漏洞扫描工具，自动识别并记录资产漏洞。通过自动化工作流，分配漏洞修复任务，跟踪修复进度，扫描验证修复效果。

多源数据整合，提升态势感知能力

·  威胁情报聚合：SOAR平台能够从多种来源收集威胁情报，并自动与内部日志和事件关联分析，提供全面实时的威胁情报视图。

·  日志集中处理：通过第三方系统集成，统一处理海量日志数据。应用机器学习、行为分析等先进技术，识别数据中的潜在威胁和异常活动，触发相应的响应机制。

·  跨平台数据协作：集成各种安全工具，包括防火墙、入侵检测、端点检测与响应等，实现跨平台数据协作。通过统一的数据标准和接口，协调不同工具之间的信息共享，提升整体网络安全态势感知能力。

运营自动化，增加人效产出比

·  事件响应自动化：SOAR平台通过预定义的工作流程，可以自动处理常见的安全事件（钓鱼攻击、恶意软件感染等）。能够执行数据收集、威胁分析、隔离和修复等，减少人工投入时间。

·  流程自动优化：对安全运营流程进行自动优化。例如，入侵响应流程在检测到异常行为时，会自动隔离被感染的设备，并通知管理员。此外，还可不断学习优化工作流，提高响应效率和准确性。

·  合规管理自动化：自动生成合规性报告，记录安全事件的处理过程，确保流程符合法规要求。通过自动化合规管理，减少审计工作量，提高合规过程的透明度和可追溯性。

SOAR在能源行业的实践

某省电力公司在日常安全运营时，工作内容和流程多，安全隐患排查、常态监测分析、安全事件处置等工作对人员的依赖程度较高，亟需对安全运营进行提质增效。

该电力公司部署了网络安全智能运营与协同响应平台（SOAR），在资产管理、多源数据整合及运营自动化方面，及时识别和响应安全威胁，提升了整体安全防御能力。

实践价值

·  实时发现并监控网络中的所有设备，自动更新资产数据库，并进行风险评估与优先级排序，确保关键资产受到重点保护。例如，当新设备接入网络时，SOAR平台会自动识别设备，评估其安全状态，并根据策略自动配置防护措施。

·  支持接入多种安全工具和数据源，如防火墙、入侵检测（IDS）、终端安全管理（EDR）等，通过数据融合与关联分析，生成全方位安全态势视图。例如，当入侵检测发现可疑活动时，SOAR平台会自动获取相关日志和流量数据，进行威胁分析，并触发响应处理流程。

·  通过预定义的自动化工作流，快速响应安全事件，自动完成从初步分析到最终解决的所有处理流程。例如，检测到钓鱼邮件后，SOAR平台可以自动提取邮件中的恶意链接，进行分析并告知受影响的用户，同时生成报告反馈安全团队。

SOAR平台可以帮助企业机构有效应对复杂多变的网络环境，在保障网络安全的基础上，满足企业机构业务发展的长期需求，推进安全运营的智能化和自动化进程。