企业安全自动化的7个流程

大数据观察

了解大数据，关注大数据观察吧！

每个想了解最新大数据资讯的人，都关注了我

文 / 数据君

公司企业想要节约事件响应及安全调查流程中宝贵的时间，改善公司整体网络安全态势，就应自动化以下7个过程。

、

1. SIEM升级

安全警报来自很多来源，但大企业中，大多数事件起于SIEM。从SIEM到SOAR的过滤过程可以通过自动化警报升级的标准来增强。

将精心挑选的升级规则与自动化情报收集结合，分析师便可专注重大事件，且能获得完整的上下文，而不用每天忙于从成百上千的警报中筛选出真正的威胁。

2. 信誉查找

通过自动化节省时间的最大机会，就是收集上下文数据以帮助分析师评估威胁。

比如说，如果一封邮件被标记为潜在网络钓鱼尝试，SOAR平台可自动查找邮件中URL的信誉，检查该域名拥有者的地理位置，调查与已知攻击者的连接等等。

如果没有自动化，分析师就不得不转到其他应用，手动查找这些信息，有时候一天之中这种被迫手动查找的行为甚至会多达上百次。

3. 风险评分

承接升级与丰富事件的过程，SOAR平台还可以再加一层自动化以帮助分析师快速确定需投以关注的事件。

通过参照自定义的标准比较威胁情报、链接分析和其他上下文数据以产生风险评分，自动化可被用于将事件以正确的优先级分配给合适的分析师，比如将误报率高的事件挪到事件队列尾部。

4. 封锁用户

自动化最有益的应用之一就是比人类分析师更快动作。这在限制事件影响上非常有用。

可通过自动化加速的安全动作的例子中包括禁用与事件有关的用户权限。

如果某用户账户被标记为有可疑行为，比如在非正常时间登录或试图访问敏感系统，立即禁用该账户是防止数据泄露的最佳机会。

5. 指导调查

以上都是自动化的常见用例，但还有些不那么为人所知的用法，比如用自动化来引导调查人员执行调查流程。

制定手册并内建自动化步骤很常见，但自动化还可应用到深度调查中以保证调查人员不走偏。

这一点对经验等级组成涵盖很广的团队就很有用，因为内部经验、行业最佳实践以及地区性合规要求都可以构建到调查工作流中。

这么做可以确保即便调查人员不熟悉不同司法辖区或不同事件类型的要求，也能采取正确的步骤。

6. 报告阈值

经理、高管和其他利益相关者需拥有安全过程可见性，但安全团队的时间精力不应该花在填写并发送常规报告上。利用自动化，便可以设置触发报告的阈值，比如有太多待处理事件或者有人错过了重要的截止期时。

7. 通知与任务分配

自动化不仅仅是加快动作，还可以用于协调安全团队的人力与过程。与设置自动化报告阈值类似，自动化工具可被用来设置自动化通知与任务分配的标准。

比如说，有待完成任务或截止期临近等情况都可以自动向分析师发送通知，或者如果有需经审批的任务也可以自动分配给法律团队处理。

主题 |企业安全自动化流程

插图 | 网络来源

作 者 介 绍

数据君：）

了解大数据，关注大数据观察

部分图文来自网络，侵权则删

我想给你一个理由 继续面对这操蛋的生活