QRadar SOAR Playbook Designer 降低了构建标准事件响应流程或任务集的难度。运行手册任务可指导分析师学习如何完成每项任务以及执行任务的顺序。决策点支持动态流程，可以纳入其他任务或跳过不必要的任务。在事件期间，分析师可以手动添加其他任务。

Qradar SOAR Breach Response 模块为分析师提供了泄露专用任务，涵盖 180 余部全球隐私法规，有助于满足报告要求并避免巨额罚款。

任务定义操作，操作可以通过与其他工具集成来运行自动化，从而加速响应过程。QRadar SOAR 可以 与 300 多种安全解决方案集成。企业可以从定义任务集和任务执行顺序开始，然后自动化执行最常执行的操作。

自动威胁检测和威胁搜寻会发出警报，需要分析人员进行审核。将这些警报发送到 QRadar SOAR 会创建一个案例，并启动事件响应 (IR) 流程。

任务协助安全团队分析受感染的系统，并分析网络流量以查找横向移动。

运行手册可帮助创建正确的任务集，这些任务可能会根据事件或来源的类型而有所不同。QRadar SOAR 允许您为不同类型的攻击创建运行手册；运行手册包含根据攻击属性触发不同任务的逻辑。

越早创建 SOAR 案例，自动化就越能帮助节省时间。任务可以指导新分析师并构建案例文档。存档功能可帮助清理旧案件或误报，保持系统清洁，但允许您随时检索永久记录。

在此阶段，分析师需要研究并确定警报是否属实。任务指导功能可以使用操作，自动从连接的多个工具收集详细信息，从而收集所有相关信息。信息将添加至案例数据表，从而启动事件文档流程。

信息丰富工作非常简单，例如前往 LDAP 目录，将笔记本电脑所有者添加至案例，或者从警报源（例如 SIEM、EDR、云等）收集所有相关详细信息。使用运行手册操作进行自动丰富，分析师可以专注于审查和确认事件或将其标记为误报。

数据丢失后，填写泄露响应调查问卷，注明受影响的人员数量及其地理位置，这有助于确定适用的法规以及相关响应时间和报告任务。

在攻击过程中，时间至关重要，自动化操作可以为新分析人员节省时间并降低学习难度。凭借 300 多个集成和对开放标准的支持，自动化遏制操作是首要任务。一旦分析人员确认事件，可以自动执行操作或由分析人员手动执行。这一阶段的操作可以将系统脱机或阻止执行进程。与 QRadar EDR 或 Cybereason 等 EDR 工具集成也可以将员工的笔记本电脑脱机。

对于薪资或人力资源等 IT 系统，自动化可以在 ServiceNow 或 SAP 等资产管理工具中查找系统 IT 和业务所有者。自动化可以向所有者发送电子邮件，告诉他们系统已被感染，并将所有者添加到案例数据表中，并附上已通过电子邮件或 Slack 通知所有者的注释。

运行手册可以是动态的。因此，对于高价值目标（例如高管笔记本电脑），时间可能至关重要，运行手册可以执行遏制操作，分析师则继续在丰富和验证阶段执行任务。确认攻击详情后，可以使用 EDR 集成自动更新防火墙拦截列表，这有助于防止横向移动或重新进入，从而节省分析师的时间。

在此阶段，安全团队可以协助完成剩余的恢复操作，并在团队中沟通事件解决方案。分析师可以自动执行操作，创建并跟踪向 IT 部门发出的重新映像机器或从备份中恢复的请求。

与 ServiceNow 等工具双向集成后，分析师可以从 QRadar SOAR 创建工单并监控进度。ServiceNow 可以在 ServiceNow 工单完成后更新案例。用户还可以自动执行请求 EDR 解决方案（例如 QRadar EDR、Carbon Black 或 SentinelOne）的操作，从而恢复系统上线状态。

经验教训
报告功能总结了针对每次响应和行动的文档。事件报告将进行总结以供审查，确保将所有适当的文档纳入案例。发生数据泄露时，审查适用法规有助于组织遵守相关报告时间线。

分析师审查各个阶段并记录需要更新的问题，以改善未来的事件响应。这时分析师会记录并建议改进，例如更改备份频率，或者审查添加到案例中的某些任务，这些任务应该添加到运行手册中以备未来事件响应之用。

报告有助于了解事件响应流程的可改进之处。安全团队可以使用 QRadar SOAR 平台“生成事件报告”。分析师可以通过平台生成单个事件或多个事件的报告，可以使用标准报告模板或者根据需要自定义报告格式。