安全運營中心 (SOC)在轉變?yōu)闄z測和響應組織時在數據、系統和人員方面面臨著諸多挑戰(zhàn)。所需的關鍵要素包括相關和優(yōu)先的數據、跨系統的雙向集成以及被動和主動協作。而能夠將這一切結合在一起的是自動化，特別是在安全人員短缺的情況下。

[[407897]]

目前出現了新的產品類別來應對自動化挑戰(zhàn)，包括安全編排、自動化和響應 (SOAR) 平臺和工具以及擴展檢測和響應 (XDR)解決方案。但事實是，安全行業(yè)的自動化方法忽略了檢測和響應用例的巨大不同需求，因為重點一直放在定義流程和自動化完成該流程所需的步驟上。如果您在靜態(tài)環(huán)境中一遍又一遍地做同樣的事情，那效果很好。但是對于動態(tài)和可變的檢測和響應，情況并非如此。從執(zhí)行操作中學到的東西遠比操作本身重要，因此您需要查看流程的輸入和輸出。

舉個例子，精英運動員知道如何進行他們選擇的運動，當他們參與到這個過程中時，肌肉記憶發(fā)揮了作用，推動他們更快更順利地完成動作。但是，飲食、運動和環(huán)境對表現有著巨大的影響，從結果中學習也是如此--觀看和分析錄像帶，并結合教練的反饋意見，以便進行調整和改進。最終，運動員會出現高原反應，團隊會陷入困境。為了使他們的表現更上一層樓，他們會根據數據和學習結果對輸入做出更多的改變。因此，輸入和輸出推動了整個過程，并促進了預期結果。

這就是我們需要思考的自動化問題，以加速現代SOC運作的檢測和響應。自動化不能只是運行過程，而必須包括三個重要階段：

(1) 輸入：定義應該對其采取什么行動以及這些行動應該何時發(fā)生。

(2) 運行：執(zhí)行行動過程或定義的流程，直至完成。

(3) 輸出/反饋：記錄所學到的用于分析和改進未來響應的內容。

為了進一步細分，輸入涉及確定正確的標準和觸發(fā)程序。這首先是將正確的內部數據自動匯總到一個中央存儲庫，這樣分析師就可以全面了解他們所面臨的威脅以及他們必須防御的東西。分析師可以利用他們訂閱的多種來源的威脅數據(商業(yè)、開源、政府、行業(yè)、現有安全供應商)以及MITRE ATT&CK等框架，自動增強和豐富這些數據。結合和關聯內部和外部數據，并應用自動評分框架，使你能夠根據與你的組織相關的內容，優(yōu)先采取什么行動。

有了正確的輸入，現在您可以簡化采取的行動并運行正確的流程。您可以專注于對您的組織真正重要的事情，而不是浪費時間運行對最新威脅沒有必要或無效的流程。您可以將正確的智能部署到正確的工具上，立即自動更新您的傳感器網格并減輕大部分手動和分散的工作。這種數據驅動的過程可以實現高效和有效的響應。

最后，對于檢測和響應，執(zhí)行動作時的輸出和反饋遠比動作本身重要。定義您想要的結果以及應該從所采取的行動中學到什么將改善未來的響應并有助于加強對未來類似威脅的保護。隨著新數據、反饋和學習添加到平臺，智能會自動重新評估和重新確定優(yōu)先級，從而使自動化的輸入階段更加高效。

由于安全人才緊缺以及需要進行檢測和響應等高級安全操作，自動化是一項關鍵戰(zhàn)略。但為了效率和有效性，自動化必須采用數據驅動的方法，包括我們如何啟動響應并從中學習，而不僅僅是我們如何執(zhí)行流程。這就是我們如何釋放安全自動化的全部力量。