FortiSOAR的基本介紹 - antqtech/KM GitHub Wiki

什麼是FortiSOAR?

FortiSOAR 是Fortinet提供的一個 資安協作自動化的回應平台。SOAR 全名為Security Orchestration, Automation, and Response。這個平台的主要功能是整合 協作和自動化資安的作業流程,幫助資安團隊更快速有效率地回應安全威脅。

它的主要功能有甚麼?

主要可分為三大核心功能,分別為以下

協作(Orchestration): FortiSOAR 可以連接並管理多種資安工具和系統(如防火牆,端點維護,事件管理), 這些連線的工具系統不限於Fortinet自家的產品,它亦可連接第三方的平台系統。

自動化(Automation): 自動化是該產品的核心,透過自動執行已創立好的劇本(Playbooks), 可以減少重複性且耗時的手動操作,因此可以加速面對資安事件的反應速度,並減低人為上的操作失誤的機率。例如, 當偵測到釣魚事件時,系統可以自動隔離受感染的設備,封鎖惡意的IP,並通知相關人員,這個流程不需要由人員及時干預。

回應(Response): 在威脅發生時,FortiSOAR 提供實時的回應功能。它可根據我們在劇本事先設定的回應策略,在事件發生時自動採取對應的動作。此外, 團隊可以利用事件管理模組來監控和紀錄事件回應過程, 以便日後進行審核與改進。

FortiSOAR的使用情境舉例

假如一家企業遭到勒索軟體攻擊, FortiSOAR的流程可能如下:

1. 偵測到可疑活動後觸發劇本(Playbook)。
2. 自動隔離受到攻擊的裝置,避免感染擴散。
3. 通知IT和安全團隊,以便進行進一步調查和事件處理核准。
4. 根據預定流程生成報告,記錄整個事件以供未來參考和分析。

FortiSOAR 的優點與價值

1. 能統整各種產品資料與告警 => 減輕告警疲乏
2. 標準化告警事故回應流程 => 縮短回應時間, 減少人為失誤
3. 自動化執行重複性的工作 => 縮短回應時間, 減少人為失誤
4. 協作處理經驗知識庫分享 => 解決資安分析師經驗技能差距
5. 增進資安分析師的能力經驗 => 解決資安分析師經驗技能差距

FortiSOAR 所面臨的挑戰

它未來可能會被併合到其他產品裡而不是獨立的產品,其原因如下:

• 因為該產品比較像是開發平台不像一般常見的防毒軟體直接下載就可以阻擋病毒,所以要讓客戶有意願投下成本購買此產品相對會相較困難。
• 比起專門導入SOAR技術,客戶會更常選擇現有的技術平台上使用自動化功能, 如FortiSIEM
• SOAR 需要長期開發與維護,並需要購買資安情資服務以更新到最新的情資。

與FortiSIEM 之間的協同關係

當 FortiSIEM偵測到可疑活動並發出告警時, FortiSOAR可以進一步的做自動查驗相關情資並執行預設的回應流程。 FortiSIEM 提供即時的偵測和警報,而FortiSOAR負責自動化的威脅回應,提升整體的反應和效率。

Connector 連接器是什麼?

connector是FortiSOAR的核心功能,允許FortiSOAR與其他工具的API進行交流,已協調和自動化各種複雜的任務。每個FortiSOAR集成的工具都有自己的連接器,這些連接器提供了一系列可執行的操作來完成特定任務。

主要功能:

• API 交互: 連接器作為 FortiSOAR 和其他工具之間的橋樑，允許進行 API 調用以獲取或發送數據。
• 任務自動化: 通過調用不同操作，連接器可以自動化多種安全相關任務，例如查詢事件、更新防火牆規則、封鎖 Email 等。
• 擴展性: FortiSOAR 用戶可以透過撰寫 Python 創建自定義連接器，以便與特定工具集成。