SOAR安全运营解决方案

天璇自动化研判与处置平台是国舜自研的自动化研判与处置平台，通过搜集所有网内资产的安全信息，对收集到的各种安全事件进行深层的过滤、分析、统计、关联和存储。提供资产自动化盘点、网络攻击面测绘、流量威胁感知、漏洞闭环管理、攻击链还原、威胁情报管理、日志审计与检索调查、安全编排与自动化响应及安全可视化等能力，及时发现反映被管理资产的安全情况，定位安全风险，并提供处理方法和建议。帮助用户实现事前安全预防，事中事件监测与威胁检测，事后快速响应处置的一站式、可视化、自动化的安全运营管理。 · 具备网络空间安全持续监控能力，能够及时发现各种攻击威胁与异常； · 具备威胁调查分析及可视化能力，可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别，从而支撑有效的安全决策和响应； · 构建基于SOAR的剧本引擎，支持“取证、过滤、分析研判、追踪溯源、处置响应”五个阶段的编写全自动/半自动化剧本（SOAR）能力，使入侵检测感知时间从小时级压缩至分钟级，入侵检测处置效率提升数倍； · 建立安全预警机制，完善风险控制、应急响应和整体安全防护的水平； · 帮助不同类型用户需求，提升用户对态势监控、威胁分析、运维处置等安全能力的建设水平； · 打造基于数据深度钻取、可视化展现、态势处置与预警、智能运营等动态赋能，助力用户全流程、全周期态势感知。

天璇自动化研判与处置平台以资产管理为基础，以风险管理为核心，以事件管理为主线，通过数据采集、数据存储、关联分析等技术，辅以有效的安全策略、安全监测、安全预警、分析研判、调查取证、处置响应、复盘分析等功能，并结合SOAR技术固化安全专家知识，实现自动化调查取证和处置响应提升企业网络安全运营效率。结合ATT&CK知识库不断提升和完善企业的网络安全防御体系。 天璇自动化研判与处置平台的各功能层主要功能如下： · 数据采集层：提供开放式的信息采集接口，实现对用户环境内各类IT资产的日志收集及范式化处理的能力，满足各类安全设备、网络设备、操作系统和中间件的日志收集及处理。平台内置威胁情报中心，实现安全威胁情报的获取，管理和使用。 · 数据存储层：实现海量安全大数据的分布式存储，提供结构化数据和非结构化数据的存储能力，并为上层的数据分析应用提供高效的数据库功能支撑； · 分析与处置层：平台综合数据分析能力，是支撑上层数据呈现和分析结果输出的计算引擎层，提供丰富的大数据统计、关联分析、数据挖掘以及态势分析能力，是系统的分析处理的核心。同时平台基于SOAR技术实现安全告警的自动/半自动取证、自动分析研判，针对安全事件的分析研判结果，可以联动工单平台，自动生成对应的告警工单，或者通过邮件等方式提醒通知运维人员进行处置。可以实现设备联动，自动下发处理指令给防火墙、EDR等设备进行安全封禁。 · 安全视图层：通过下层所提供的数据采集和处理能力向用户输出态势感知能力，包括资产态势、攻防态势、脆弱性态势、风险态势等，服务于全网的安全态势呈现，支撑用户全局的安全防护工作。 天璇自动化研判与处置平台辅助企业建设可持续迭代的安全运营体系，为网络安全运营中的每个环节提供标准化框架，降低运营的门槛、提升运营效率、以事件反馈和促进企业网络安全的正向建设，不断提升企业网络安全纵深防御体系的可感、可知、可控、可反击网络安全能力。

1.日常安全运维工作的有力工具 对于日常安全运维而言，核心的工作内容就是对IT资产中的网络设备、安全设备及重要业务系统进行持续监测，确保网络、主机、应用、业务、重要信息系统和人员资产的安全。更具体地说，就是要持续监测并识别针对各种IT资产的性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。借助网络安全运营平台，客户能够统一收集来自网络中IT资产的运行信息和日志信息，通过分析这些数据，识别各种攻击威胁、违规与信息泄露等行为，协助客户安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告，成为客户日常安全运维的有力工具。 2.安全态势分析能力 平台能够综合收集到的安全信息要素，基于面向总体安全态势的认知和监测进行数据的融合、关联分析和挖掘分析。这其中包括对资产及业务系统受到的攻击威胁和自身风险程度的分析、复杂攻击的攻击过程及攻击目标分析、攻击的危害及影响范围分析、攻击威胁溯源分析、外部威胁情报与内部安全信息比对分析等，以多种分析手段支撑平台的安全态势分析 3.缩短响应时间 通过自动化技术，尽可能多的自动完成一个安全事件处置流程中相关步骤，从而缩短响应时间即MTTR。 4.释放人力 让安全专家从繁重的重复劳动中释放出来，将时间放在更有价值的安全分析，威胁猎捕，流程建立等工作上。 5.安全运营流程标准化 将公司的安全运营流程数字化管理起来，每一次安全事件的对应处置过程都在统一标准，统一步骤下执行，有迹可循。避免人员能力的差距导致的处置实际效果不可控。 6.避免能力断层 将安全专家的经验固化成处置预案Playbook，让不同的人都可以遵循同样的方法来完成特定安全事件的处置流程，避免因为个人的离职导致某个领域的安全能力缺失。 7.运营流程指标可度量 因为运营流程都通过Playbook数字化管理且每一次的执行过程都记录在案，因此流程的KPI如MTTD、MTTR、TTQ、TTI等全部可评估，可度量，可追踪。 8.安全运营决策支撑 通过对公司的所有运营流程数字化管理、数字化执行、数字化KPI评估后，管理者可以有效的评估什么流程基本无用，什么流程执行效率不高，什么流程发挥了最大的作用，甚至什么安全设备在所有流程中被使用的价值最大。从而为以后的安全投资决策，安全团队建设决策提供有价值的数值化支撑。 9.满足等级保护2.0以及网络安全法的相关技术要求 天璇自动化研判与处置平台在设计之初就充分考虑的国家制定的信息系统等级保护制度中对于平台的安全设计技术要求。平台能够帮助客户更好地遵从等级保护的基本安全要求和安全设计技术要求。 10.契合信息安全管理体系的监测与评审要求 平台参照《GB/T 20984 2007信息安全风险评估规范》、《 ISO 27005:2008 信息安全风险管理》等规范，以及 OWASP 威胁建模项目中风险 计算模型的要求，系统提供实用化的风险计算模型，实现了量化的安全风险估算和评估 。

1.面向业务安全管理 系统内置业务建模工具，反映业务支撑系统的资产构成，并自动构建业务健康指标体系，从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度分析业务的健康度，协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。 2.集成多种安全产品统一进行安全理解，增强检测和响应能力 通过在组件安全产品之间共享本地威胁情报来提高保护能力，从而在所有组件之间提供有效的威胁屏蔽；此外，通过自动关联和确定报警来减少漏报；集成相关数据，进行更快、更准确的报警分类。 3.智能的安全能力网关 系统提供的安全能力网关支持通过系统配置的方式，快速提供安全产品、平台的接入（例如：沙箱、CMDB系统等），将其外部的安全能力和系统能力通过配置的方式快速集成到SOAR引擎，丰富SOAR剧本安全能力，实现安全能力投资的对外赋能和复用，提升企业整体的安全基线。 4.从实战出发的调查取证和自动化处置 平台支持利用SOAR引擎提供的剧本能力实现自动化取证能力，并提供取证工具可线上或线下辅助安全运营人员完成取证工作，并通过系统系统的分析研判工作台完成证据链梳理，线索拓线、溯源分析，提升安全运营人员分析研判效率，并借助SOAR剧本引擎实现自动处置实现快速止损。将应急响应中告警分析研判周期由天级压缩至分钟级，将告警的响应处置周期由小时级压缩至秒级。全面提升安全运营的分析研判和处置响应效率。 5.降低安全运营的复杂度，提高安全运营人员的效率 客户能够统一收集来自网络中IT资产的运行信息和日志信息，通过分析这些数据，识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵，以及违规与信息泄露等行为，协助客户安全运维人员进行安全监视、审计追踪、调查取证、自动化应急响应和处置、生成各类报表报告，提高客户日常安全运营效率。 6.丰富多维的安全态势 通过对数据的综合利用，包含安全事件、漏洞脆弱性、告警、资产信息、外部威胁情报等各类安全数据，使用户把控宏观安全及风险态势，了解当前遭受的攻击态势，综合掌握网络中资产及业务的安全隐患，识别被防护对象受到的威胁态势，掌握攻击规律趋势，定位攻击源头并预警潜在威胁。其目标是通过安全信息的集中整合分析，使用户从资产态势、漏洞态势、风险态势、攻击态势等多维度掌握风险威胁态势，把握威胁的发生、发展、危害范围，提升整体资产及业务的防护能力。