0x01SOAR介紹

Chat-GPT介紹如下：

隨著soar技術(shù)的不斷演進(jìn)，其定義也在發(fā)生變化，2020年，Gartner定義如下：

SOAR是一類(lèi)從各種來(lái)源獲取輸入，并應(yīng)用工作流來(lái)拉通各種安全過(guò)程與規(guī)程，從而為安全運(yùn)營(yíng)人員提供機(jī)器協(xié)助的解決方案。這些規(guī)程可以被編排（通過(guò)與其它技術(shù)的集成）并自動(dòng)執(zhí)行以達(dá)成預(yù)期結(jié)果，譬如分診管理，事件響應(yīng)，威脅情報(bào)，合規(guī)性管理和威脅獵捕。

SOAR =安全編排自動(dòng)化+安全應(yīng)急響應(yīng)平臺(tái)+威脅情報(bào)平臺(tái)

三個(gè)層次（資源整合，統(tǒng)一指揮）

安全聯(lián)動(dòng)、運(yùn)維操作批處理、軟件定義安全。下圖中紅色部分為SOAR核心，

圖文來(lái)源網(wǎng)絡(luò)

用戶(hù)視角

圖文來(lái)源網(wǎng)絡(luò)

安全能力編排

圖文來(lái)源網(wǎng)絡(luò)

全流程自動(dòng)化

圖文來(lái)源網(wǎng)絡(luò)

告警響應(yīng)自動(dòng)化

圖文來(lái)源網(wǎng)絡(luò)

事件分析關(guān)聯(lián)化

圖文來(lái)源網(wǎng)絡(luò)

案件管理

圖文來(lái)源網(wǎng)絡(luò)

SOAR價(jià)值

0x02演示環(huán)境

https://w5.io/

0x03實(shí)踐演示

W5 是一個(gè)面向企業(yè)安全與運(yùn)維設(shè)計(jì)的低代碼自動(dòng)化平臺(tái)，可以讓團(tuán)隊(duì)降低人工成本，提升工作效率。可以把代碼圖形化、可視化、可編排。讓不同的系統(tǒng)，不同的組件通過(guò) APP 進(jìn)行封裝形成平臺(tái)能力，通過(guò)劇本畫(huà)出你想要的邏輯過(guò)程，利用多種 Trigger 去實(shí)現(xiàn)自動(dòng)化執(zhí)行。W5 適應(yīng)面非常廣泛，可用于多個(gè)方向，例：Devops、安全運(yùn)營(yíng)、自動(dòng)化滲透、工作流程等。

1.Docker環(huán)境部署

登錄首頁(yè)

2.這里僅演示操作邏輯和簡(jiǎn)單的使用場(chǎng)景，在真實(shí)環(huán)境中操作思路是一樣的。

演示1：IP歸屬地查詢(xún)，編排劇本

執(zhí)行劇本

日志報(bào)告

演示2：Linux命令執(zhí)行，編排劇本

這里設(shè)置了定時(shí)器，點(diǎn)擊開(kāi)始到點(diǎn)自動(dòng)執(zhí)行

查看飛書(shū)通知情況

日志報(bào)告

這里使用了默認(rèn)集成的APP，有興趣研究的可以自行開(kāi)發(fā)。

目前平臺(tái)集成的APP部分如下。

SOAR以安全能力編排和自動(dòng)化為技術(shù)核心，以安全事件響應(yīng)結(jié)果為有效應(yīng)用場(chǎng)景，充分利用第三方安全工具、威脅情報(bào)、安全能力等，助力安全運(yùn)營(yíng)人員高效開(kāi)展各項(xiàng)安全運(yùn)營(yíng)工作從而快速驅(qū)動(dòng)安全運(yùn)營(yíng)落地實(shí)踐。SOAR平臺(tái)整合各類(lèi)數(shù)據(jù)為基礎(chǔ)，有效構(gòu)建安全運(yùn)營(yíng)框架的同時(shí)增加了一個(gè)以流程為中心的編排層，進(jìn)一步完善和豐富了安全運(yùn)營(yíng)的體系，將人、流程、技術(shù)和工具整合到一起統(tǒng)一指揮，提升了安全運(yùn)營(yíng)的實(shí)戰(zhàn)化水平。

在大模型快速推廣的當(dāng)下環(huán)境，ChatGPT等基于AI的Chatbot技術(shù)逐步成熟，超自動(dòng)化技術(shù)不斷應(yīng)用到安全領(lǐng)域，SOAR除了在自動(dòng)化運(yùn)營(yíng)方面繼續(xù)上臺(tái)階外，還能提供更智能的交互式運(yùn)營(yíng)手段，SOAR的應(yīng)用場(chǎng)景將更為廣闊。

SOAR引領(lǐng)驅(qū)動(dòng)的安全運(yùn)營(yíng)時(shí)代已經(jīng)到來(lái)。