闲谈

每次攻防演练，连续的工作、紧张和休息不好搞的身心疲劳，这次有了SOAR，怎么发挥安全编排响应特点，把这半年积累的日常运营处置思路、剧本应用到攻防演练场景中，能让大家少熬个夜、轻松一点，是个让人振奋的事情。

本着充分发挥，有了锤子看什么全是钉子的精神，锤他！

小目标

之前SOAR主要在内部几个安全人员使用，攻防演练期间，涉及到多个部门、多个厂商、几十个伙伴。希望攻防演练期间，能在更省人力的情况下，更快速的遏制攻击、完成溯源。

现状

1、目前公司网络环境建设有态势感知、防火墙、漏扫、威胁情报、WAF、主机安全等系统，具备对安全事件进行事前防护、事中检测和处置能力，有完整的事件处置流程。

攻防演练中监控组、分析研判组、溯源组、处置组的分工，处置流程如下：

2、在攻防演练期间安全事件至少是日常的2-3倍，需要改进如下问题：

• 在攻防演练中，各安全组之间协同、衔接工作多，大量安全事件需要各组进行配合、处置。
• 目前SOAR已经异构安全设备联动起来。在事件多、时间紧的时候，还是会出现分析、研判时间不够的情况，只能采用从严处理的办法，先封禁再分析，对于业务存在一定影响。
• 外部支持人员虽然对所操作设备熟悉，因对部分设备具有读写权限,在紧张、疲劳的氛围下存在误操作风险。

解决办法

解决思路

借助SOAR，将挖矿、僵木蠕等可以准确告警的事件，由剧本自动完成处置工作；对于需要人工介入、分析研判的事件，将安全处置组工作进行编排，加速事件响应。按攻防演练要求，调整现有剧本逻辑：

(1)建立处置模型，将各安全组之间的协同流程进行SOAR编排，解决流转过程自动化。Ps：这里的“模型”是SOAR产品