在阻止威胁进一步传播之后，下来就进入原因分析阶段，我们将在这个阶段收集更多的数据，从而了解攻击发生所使用的ATT&CK，确定事故的源头是内部还是外部，以及攻击者如何获得对资产的访问权限。在调查清除运维事件（incident）的原因后，紧接着需要消除威胁，消除方式根据事件类型而定，可以参考权威机构发布的修复策略和清除工具。消除之后，将进入加固阶段，除了修复入侵的薄弱点之外，还需要查漏补缺，对系统进行巡检，以确保此类事故不会再次发生。具体的操作有：关闭不必要的服务，增加IP/网段访问控制规则，限制请求频率，系统升级，安装最新漏洞补丁等。在执行完加固措施后，还需要依据生产环境上线运行流程规范，对所实施的措施进行验证和评估，防止引入新的脆弱性和其他安全问题。

历史总是惊人的相似，受到的威胁可能还会再次遭遇，对于运维事件的响应流程，我们应该及时分析，总结整个处置过程, 不断优化，并且固化到流程中，以达到高效运维的目的。同时，安全运维人员需要多关注安全威胁动态，及时更新技术知识，不断提升自己的安全能力水平。

高效运维，已经成为当前各行业和企业IT部门必须要解决的问题。高效运维是人，流程，设备之间的达到一个可跟踪，高协调，可量化，流程标准化的一个状态。短时间内，一个企业的运维人员和安全设备的变动情况很小，那么，最有可能优化的地方就是流程了。SOAR 具有安全编排和自动化响应能力，可以把一致的、可重复的动作预先通过“剧本”的方式编排好，就像音乐会演奏的交响乐剧本一样，当安全事件发生时，可以按照预先定义好的流程顺序执行，自动化完成整个响应过程。

七、如何提高运维效率

那么如何用SOAR来提高运维效率：

1. 掌握保护、检测、响应、恢复模型，安全编排和自动化响应适用于该模型的各个环节，并不只针对响应。但由于现阶段响应环节自动化比较薄弱，且SIEM/SOC系统已经包含了检测能力，所以，目前SOAR主要侧重于响应，恢复环节。在编排的时候，需要对处理的安全事件非常了解，正确编排取证、判断的字段等关键信息，以及联动设备做出何种反应，如何进行恢复。

2. 积累经验库，并不是所有的安全事件都可以用SOAR来进行自动化处置，SOAR也并不是要取代安全人员，SOAR是一种自动化手段，是用来提高安全人员的处理能力。对于已处理的威胁事件，响应的步骤应该固化到经验库中，增加经验积累。针对可以自动化的步骤，形成剧本，使用自动化的手段来执行，以提升处置的效率，减少人工参与带来的风险。

八、SOAR演进方向设想

1. 细化编排能力

• 针对情报黑名单，可以引入白名单的功能；
• 针对固定的封堵时间，可以引入阶梯封堵策略；
• 针对告警信息不足，可以主动去丰富信息等；
• 针对全局统一策略，可以针对不同分组设置不同的策略；
• 针对固定的阈值，可以根据条件设置不同的阈值等。
• 主要思想就是满足不同场景化的编排能力。

2. 打通设备/平台壁垒，扩充编排能力

• 和终端设备联动，如UES ，扩充的能力有进程隔离，进程终止，文件隔离，文件恢复，注册表清理，启动项管理，主机端口封禁，主机服务禁用等。
• 和网关设备联动，如WAF, NF, ADS, IPS, IDS，扩充的能力有：封堵，隔离，牵引等。
• 和检测类系统联动，如沙箱检测，支持的能力有：确认动态确定文件是否恶意。
• 和工作系统联动：对工作流进行跟踪、处置，效率评估。
• 和情报系统联动：支持对IP, 域名，文件等情报检测。
• 通过不断的和其他系统进行联合，逐步扩充SOAR的安全编排、处置能力。

3. 融入智能基因

目前市场上的安全编排都是事先定义的、流程确定的编排，当SIEM/SOC检测出新型威胁，而没有对应的案例与之匹配时，系统可能短时间内暴露在失陷的封风险中。那么，基于机器学习，基于已经成功处置的大量运维经验，以及案例模板库，AI是否可以”新建”一套处置流程，并进行自动化响应处置？答案是肯定的，且”新建”的编排流程应该支持修改，用户可以自定义进行调整。

参考资料：

https://www.gartner.com/en/documents/3882466

https://www.gartner.com/doc/reprints?id=1-1YE69EYM&ct=200218&st=sb

https://nti.nsfocus.com/pdf/The_situation_analysis_of_network_security_for_2020_07.pdf