是时候结束“手动挡”安全运营了，奇安信发布安全编排自动化（SOAR）产品( 二 ) SOAR是新一代安全运营中心的必要能力奇

　　告警响应自动化：对纷繁的告警信息进行智能分诊，从而自动触发对应流程，这也是区别于传统SIEM/SOC平台的告警管理功能的关键之处。一方面告警分诊能够自动化地聚合告警信息，自动计算告警的可信度和处置优先级，帮助管理员聚焦关键的告警;另一方面，告警调查还可针对告警信息进行补充调查分析，将低质量的告警变成高质量、有价值的告警，并且排除虚假告警。同时，在进行告警调查的时候，运维人员还可对告警进行增强，尽可能清晰、精准地将告警的相关信息呈现出来，方便管理员进行研判。

----是时候结束“手动挡”安全运营了，奇安信发布安全编排自动化（SOAR）产品//----

是时候结束“手动挡”安全运营了，奇安信发布安全编排自动化（SOAR）产品。　　图2：告警自动化响应配置界面

　　案件管理全程化：奇安信SOAR可帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置，并且不断积累该案件相关的痕迹物证(IOC)和攻击者的攻击战术等指标信息(TTP) 。

----是时候结束“手动挡”安全运营了，奇安信发布安全编排自动化（SOAR）产品//----

　　图3：案件管理界面

　　系统架构开放化：采用开放可编程架构设计，内置工作流引擎和应用开发包，用户可自定义剧本、应用、自动响应触发条件和案件处置过程，无缝融入现有安全体系。

　　基于以上四大特性，奇安信SOAR可帮助客户重点解决因运维响应人员匮乏、安全事件响应不及时、重复性运维工作量大、安全设备之间缺乏协同且联动性差等导致安全运营效率低下的问题，将安全团队、工具和流程真正整合起来，让安全运营工作更加协同一致。同时，在重大活动网络安全保障期间，奇安信SOAR还可以帮助客户在事前制定预案以逸待劳、事中自动响应快速处置、事后复盘总结积累经验，全方位提升实战化运营水平。

　　人的因素在SOAR中同样重要

　　2月25日， RSA主席Rohit Ghai向与会的大约4万名与会者重新叙述网络安全中“人”的故事。 Ghai认为，如果不重新思考网络安全文化，不像关注技术那样关注人，我们最终是无法战胜网络威胁的。

是时候结束“手动挡”安全运营了，奇安信发布安全编排自动化（SOAR）产品。　　对SOAR而言，人的因素同样至关重要，不能片面地认为自动化(譬如SOAR)可以显著降低企业和组织对安全运维人员的技能水平和数量的要求。事实上，根据Ponemon在2019年4月份做的一个调研报告，从中期来看，安全自动化非但不会降低安全对人员的需求，反而会需要更多的人，而且是更高水平的人。人永远是安全的最关键因素，既是最大的脆弱点，也是最重要的生产力。自动化不是取代人，而是让安全人员变得更强，更有效率。