Human Element(人是安全的要素)这是RSAC 2020会议的核心主题。安全发展到今天，摆在我们面前的核心是解决人效的问题，当出现威胁之后，如何快速有效的运营威胁，是极其关键的。

企业的常规做法是通过安全运维人员7*24小时盯着，出现威胁之后第一时间去响应、分析、处理，这个过程拼人手拼时间，往往需要大量的安全运维人员，并且处理一个威胁的时间可能也会比较长。

有没有什么办法可以既减少人员投入又可以快速的完成威胁事件的溯源分析和响应动作呢？答案是有，我们可以让强大的机器取代一部分需要消耗大量人力的工作，具体怎么实现，天眼通过SOAR结合攻防研究给出了很好的实践经验。

首先，我们需要一套很完整的安全编排、自动化及响应体系的Framework，也就是现在比较成熟的SOAR，这个在前面的文章中也专门提到这个概念(是时候结束“手动挡"安全运营了奇安信发布安全编排自动化（SOAR）产品)，天眼SOAR从概念到实现，经过实际的客户场景验证，价值体现的非常明显，主要为客户提供安全编排与自动化、告警管理、案件管理、工单管理四大功能。能够帮助企业和组织将繁杂的安全运营（尤其是安全响应）过程梳理为任务和剧本，把分散的安全工具与功能转化为可编程的应用和动作，并且借助编排和自动化技术，将团队、工具和流程的高度协同起来，这是一套很完整的Framework。主要包括：

安全能力编排化

通过剧本管理、应用管理、动作管理等功能，将客户分散的安全能力和安全运维响应的过程标准化，形成剧本库和应用库（动作库），实现团队、工具和流程的整合与协同联动。这些标准化流程可以被随时调用，减少了人工的干预，大幅提升应急处置的效率。

告警响应自动化

对繁杂的告警信息进行智能分诊（这里的智能分诊极其关键，体现了对攻防专家知识和经验的固化，下文将重点说明），从而自动触发对应流程。一方面告警分诊能够自动化地聚合告警信息，自动计算告警的可信度和处置优先级，帮助管理员聚焦关键的告警；另一方面，告警调查还可针对告警信息进行补充调查分析，将低质量的告警变成高质量、有价值的告警，并且排除虚假告警。同时，在进行告警调查的时候，运维人员还可对告警进行增强，尽可能清晰、精准地将告警的相关信息呈现出来，方便管理员进行研判。

1）手动处置策略

对于天眼所产生的告警，经过详情查看等过程确定该告警为真实攻击后，可以通过告警条目对应的“处置”按键触发针对单条告警的处置，操作过程如下：

2）自动处置策略

针对某些类型和威胁级别的告警，我们可以通过开启自动处置进行自动化的处理流程，操作过程如下：

以上Framework特性，是保证后续的workflow的基础和支撑，天眼SOAR可帮助客户重点解决因运维响应人员匮乏、安全事件响应不及时、重复性运维工作量大、安全设备之间缺乏协同且联动性差等导致安全运营效率低下的问题，将安全团队、工具和流程真正整合起来，让安全运营工作更加协同一致。

那如何构建有效的workflow呢，我们来看天眼是如何通过SOAR做不同的威胁事件运营的。

在安全自动编排和响应中，核心是如何让不同的告警、事件可以按照固化的经验和工作流去让机器自动执行和处理，在这里面体现的的核心能力是对攻防的理解和经验，天眼通过固化安服师傅上千个事件执行的分析经验和处理方法，整理和输出不同的playbook编排动作,用以完成不同告警的自动响应和运营，大大减少人在面对纷繁复杂的事件的响应时间和人力投入。

场景一，webshell上传告警的运营流程。天眼SOAR通过处置编排来处理流量中发现webshell上传告警的响应动作，再通过防火墙将来源IP进行封禁，联动Nessus扫描器上有哪些漏洞，并利用杀毒软件对潜在的通过后门上传的恶意样本进行查杀。另外，利用nmap扫描目标服务开放了哪些敏感端口，并利用防火墙对445等敏感端口进行封禁，这是一整套的针对webshell上传攻击的workflow。

场景二，永恒之蓝勒索病毒处置流程。基于流量的威胁情报告警，我们可以选择是否溯源。1、不溯源，直接进行终端杀毒；2、溯源，通过跟EDR联动，进行恶意进程及被写入文件的追踪溯源。对于通过Web服务程序写入恶意文件的场景，我们结合传感器的日志和告警，可以与防火墙联动进行攻击IP封禁处置。

在实际的客户应用中的效果如何呢，我们看几个案例：

某能源客户网络安全设备多，各类安全设备每天产生大量的安全告警、大量重复告警、大量的误报。利用天眼SOAR技术实现对各类网络安全设备的告警进行跨设备分析、验证、确认、下发、处置、持续监控。可以由多个处置动作和判断条件组成，贴合日常安全运维和应急处置需要，通过系统实现线上的安全运维流程和应急响应处置流程，提升安全运维效率和应急响应时间，实际使用后，我们发现可以减少客户一半的人员投入，关键事件的运营效率提升3倍以上。