一、背景介绍

在当今数字化时代，网络安全已成为各个组织必须面对的重要挑战之一。安全编排自动化与响应（SOAR）技术以其自动化的工作流程、自动化的响应功能，成为许多企业解决网络安全问题的首选技术。然而，在SOAR的实际应用中，不可避免地会遇到CMDB数据的管理和使用问题，而CMDB数据则是企业内部资源管理的关键。SOAR 可以通过编排自动化完成安全处置，加快事件响应时间，而 CMDB 则提供了网络拓扑、资产和配置的全局视图。将这两个技术结合起来，可以帮助企业更好地理解其安全事件，提高响应速度和精度。

1 、什么是安全编排自动化与响应？

SOAR是一种自动化和协调安全操作的方法，它将人工操作和技术集成在一起，帮助企业更快地响应安全事件，减少人为错误。SOAR 平台通常具有以下功能：

自动化任务：SOAR平台可以自动执行常见的安全任务，例如安全警报的处理、威胁检测、漏洞扫描等。

编排：SOAR可以自动化执行任务流程，并协调不同的系统和工具。

响应：SOAR可以帮助企业快速响应安全事件，减少响应时间。

代表厂商：雾帜智能

2、 什么是配置管理数据库？

CMDB是一种数据仓库，用于记录企业的 IT 资产和配置信息。CMDB可以为企业提供以下功能：

资产发现：CMDB可以自动发现企业网络中的设备和应用程序。

资产分类：CMDB可以将企业 IT资产和配置信息按类别进行分类，例如操作系统、应用程序、网络设备等。

资产关系：CMDB可以记录IT资产之间的关系，例如网络拓扑、依赖关系等。

代表厂商：华为、优维、优诺、腾讯蓝鲸

本文将介绍如何通过SOAR和CMDB相结合，可以帮助企业更好地完善安全运营体系，提高响应速度和精度。

二、应用场景

SOAR平台可以自动化执行任务流程，并协调不同的系统和工具。CMDB可以提供资产关系信息，帮助 SOAR 平台自动化编排任务。当安全警报触发时，SOAR平台可以自动确定与该警报相关的资产和配置信息，并将信息汇总统一推送至对应安全负责人。

三、适用方案

在一家大型企业的安全部门，安全员老李收到了某个ip地址为192.168.1.100的终端出现了异常告警。老李第一时间想到公司前不久刚下发新的安全制度，安全事件的处置时间已经被纳入绩效考核，现在整个部门就像消防队一样，每个人都想着要尽快“灭火”。现在当务之急是需要快速找到这台异常终端，光是信息收集和确认就要花上不少的时间，自己手上还有其他的工作，这可让老李犯难了。

就在一筹莫展之时，老李忽然想到公司前不久刚部署了SOAR平台，厂家号称模板多，应用丰富，开箱即用，而且可以和各类安全设备，网络设备包括资管、CMDB类产品结合来使用。之前有听其他同行说过这款产品在自动化应用上的神奇之处，抱着试一试的心态老李登录到了平台，很快他就在模板库里面找到了和资产定位的剧本，令人惊喜的是，与自己的需求匹配度很高，完全不需要做过多的调整，甚至连剧本的二次编辑都可以通过简单的拖拽来完成，这让没有过多开发经验的老李喜出望外。经过简单的思索，老李完成了如下剧本的编辑：

1.在CMDB中查询资产信息异常IP；

2.结合AD查找定位资产所属者；

3.通过资产表获取资产所属位置；

4.联动EDR类产品获取终端系统、主机名、CPU、内存、mac、电话、防病毒版本等信息；

5.将获取到的数据整合汇总并发送给安全团队。

原本需要半天左右才可以完成的工作，现在只要5分钟就可以完成，老李的难题一下就解决了，接下来的工作他可是轻车熟路。平日里类似的问题一直是团队里的“烫手山芋”，现在有了这个剧本，以后再也不需要了。

已经体验到自动化便捷的老李发散了下想象力，平日里一些日常的运维工作比如资产漏洞管理，其实也可以尝试通过这种方式来实现。于是老李又设计了以下剧本：

1.对接威胁告警设备，获取漏洞威胁信息；

2.通过CMDB查询漏洞资产相关负责人邮件地址；

3.若存在，创建漏洞威胁告警邮件，指派给对应负责人；

4.实时接收相关人员的反馈信息；

5.若返回信息为已整改，则调用漏洞扫描，系统进行复测；

6.判断漏洞是否已完成修复；

7.若未完成，则进行报表统计；

8.已完成，漏洞闭环。

有了这个资产漏洞闭环处置剧本，以后除了必须要人工确认的场景，其他完全都可以通过机器来自动化执行，效率怕不是要提升个几十倍，公司也不需要投入更多的成本来扩张安全团队，大老板一定会满意。想到这，老李开始期盼起来今年的绩效评比。新技术真好用啊，老李不禁感叹道。

四、方案成效

通过使用SOAR与CMDB相结合，企业可以更快速地定位异常资产，加快威胁事件响应，并协助后续的分析、总结工作，同时也可以通过集成其他安全技术和工具来提高网络安全。本场景收益主要体现在以下几点：

简单易用：一键完成信息收集汇总

高效反馈：快速获取丰富的结果信息

弹性扩展：信息查询源可按需扩展

复用性强：支持对获取信息的二次使用

五、总结

将SOAR和CMDB相结合可以帮助企业更高效地响应网络安全事件，并优化IT资源的管理和使用。SOAR技术可以自动化安全流程，并集成其他安全技术和工具，以提高企业的安全能力。而CMDB则可以用于资源管理和跟踪，以帮助企业了解其IT基础设施的配置和使用情况。将两者结合可以实现更高效的网络安全和IT资源管理，为企业提供更好的安全保障和资源优化。

在结合使用的场景下还需考虑以下几点问题：

数据来源和数据质量：CMDB可以从各种来源收集数据，包括API、扫描器、监控工具等。为了保证与SOAR相结合场景下的准确性和可靠性，需要确保CMDB的数据来源可靠，数据质量高。

接口支持：CMDB需提供对应API和Webhook来实现与SOAR技术相结合。

自动化任务的类型和范围：安全编排自动化技术可以用于执行各种IT安全任务，例如漏洞管理、事件响应、入侵检测等。CMDB需要提供与任务相关的数据，例如配置信息、漏洞信息、安全事件信息等。

安全和隐私问题：在特定场景下，SOAR平台需要访问敏感数据，例如设备配置和安全事件信息，需要确保这些数据的机密性和完整性。

资产管理对于企业安全运营来说是非常重要的一环。通过有效的资产管理，企业可以提高资产的利用率，降低资产损失风险，增强信息安全性，实现企业的高效管理。但是对于目前传统的资产管理平台来说，还存在诸多问题，如：隐藏、临时设备难及时发现，资产关系梳理复杂，缺乏安全相关属性，资产覆盖率、实时性难以保障等。

雾帜智能作为国内SOAR领先的创新科技公司，利用业界先进的技术和经验，本着开放、融合的产品思路，围绕着持续安全运营效率和效果两个核心问题不断创新，打造业界全新的雾帜实时资产资料，可以实现全量资产的自动发现，资产的自动识别、完善资产画像，达到资产风险自治理的目标，为安全运营提供资产统一视图，提升资产风险发现和风险处置的效率。

文章来源：雾帜智能