SOAR安全事件编排自动化响应-安全运营实战

SOAR是最近几年安全市场上最火热的词汇之一。各个安全产商都先后推出了相应的产品,但大部分都用得不是很理想。SOAR不同与传统的安全设备,买来后实施部署就完事,SOAR是一个安全运营系统,是实现安全运营过程中人、工具、流程的有效协同,提高安全运营效率的平台。核心在于运营,在运营的过程中不断结合自身企业的安全情况,对接设备、优化剧本流程、制定相应的制度来发挥SOAR安全事件编排自动化响应系统的最大的效果。在安全运营实战过程中人员、工具、流程、制度一个都不能少。本文介绍如何通过SOAR安全事件编排自动化响应进行实战化的安全运营。

一、企业安全运营的通点

1. 手段不足,事件响应时间长
目前安全事件的处置常常需要涉及到不同部门、不同的安全设备之间的协同联动,依靠人工电话协同、邮件协同等手段,缺少统一的安全管理和自动化编排系统,不能将繁杂安全运行过程梳理为任务和剧本,把分散的安全工具与功能转化为可编程的应用和动作。人工方式协同事件长,效率低。

2. 单兵作战,安全运营效率低
安全设备众多,多厂商多类型安全设备,无法有效的形成合力,每类设备都要有人单独的维护、监控、处置,无法形成合力。没有统一的运营系统,无法将团队、工具和流程的高度协同起来,覆盖安全运行的防护、检测、响应等各个环节,安全运营效率低。

3. 人员匮乏,运营知识无积累
安全运营往往借助于外部的安全运营支撑力量,尤其是重保期间过度依赖厂商资源,重保结束后并没有形成知识积累;另一方面由于安全运营人员匮乏,技能水平受困于重复性劳动难以提升,而优秀的工程师的经验也难以形成标准化的流程和动作。

二、企业安全运营的目标

针对威胁事件及安全运营痛点问题,通过建设安全编排功能实现自动化响应处置能力,完成原来需要多人多系统多界面在线协同才能处置的安全任务,简化威胁管理难度,提升响应处置效率,保障应急处置质量。从防护、检测、响应、处置等维度,形成立体防护效果,提升网络安全自动化响应处置及统一作战指挥能力。

1. 实现多场景剧本编排能力
安全编排功能实现自动化响应处置,核心能力是要实现多场景的剧本灵活编排能力,通过可视化拖拽编排方式快速创建剧本,为安全处置提供上下文,避免传统运维要在不同页面间进行跳转切换,降低安全事件处置复杂度。剧本一旦创建成功启用,后续触发剧本的事件即可通过自动化方式进行处置,降低了不同部门间协同沟通、流程流转消耗的成本。解决现有安全事件处置依靠电话、邮件进行信息传递,依靠人工进行威胁处置慢的问题。

2.具备灵活的设备对接能力
打通告警、事件与安全处置设备之间已有的壁垒,消除异构环境下异构设备无法协同、联动的问题,提供标准化的处置派单接口,实现设备的处置联动。具备低代码开发和编排能力使安全设备快速的融入到剧本流程进行灵活调度。解决异构安全设备间集成、联动处置的问题,实现多源异构安全设备的联动处置能力提升。

3. 基于实际运营的知识积累
实现在安全运营过程的统一的数字化、标准化的安全运营管理流程,在实际的运营过程中将经验固化成剧本流程,以应对繁杂和重复的工作,降低安全事件处置管理成本,降低安全人员工作强度和工作经验能力等的高要求;记录安全事件数据,以可视化的形成评估处理结果,减少人员差异带来的不可控性,并减少对新安全运维分析人员的培训成本。

三、SOAR的核心能力

SOAR整体架构

安全事件处置通过安全编排与自动化响应SOAR模块实现,SOAR对接安全大数据分析引擎分析的产生的安全事件或其他如态势感知、日志系统等安全设备的安全事件,通过灵活的剧本编排实现自动的派发工单、自动化分析处置、联动设备响应,实现数据交互与业务同步,促进人、工具、流程的协同,进一步推动自动化安全运营能力落地。SOAR应该具备三大核心能力,编排、自动化、响应,参见《认识SOAR-安全事件编排自动化响应》

编排

SOAR中的关键词是编排,这是在使用自动化和响应之前必须构建的关键组件。SOAR的编排体现的是一种协调和决策的能力,针对复杂性的安全事件,通过编排将分析过程中各种复杂性分析流程和处理平台进行组合。分析涉及多种数据或平台,如SIEM分析平台、漏洞管理平台、情报数据、资产数据等。处置响应的编排也涉及到很多平台或设备,如EDR管理平台、运维管理平台、工单管理平台、WAF设备、防火墙等。仅仅以技术为中心的安全保障已不再能满足现状,将人员和流程的编排才能保证安全流程真正高效的运行。SOAR的终极目标就是实现技术、流程、人员的无缝编排。

自动化

SOAR的自动化体现在三个方面,面对需要处理的安全事件能够根据策略自动选择编排的剧本、自动执行剧本的操作流程、根据决策结果自动联动设备进行防护阻断等行动策略。它允许剧本(常称为Playbooks)在安全流程的部分或全部内容上执行多个任务,将线性剧本串联起来。虽然线性剧本可能更容易创建,但只适用于处理决策需求较少的工作流。编排和自动化比线性剧本的最大优势就是其灵活性,为支持全自动化和半自动化的决策,需要更加灵活的工作流和执行剧本。SOAR能够识别这些决策模式,并基于以往事件中的执行操作,自动推荐新事件的剧本、执行剧本操作流程,自动化分析决策,根据决策结果自动下发防护阻断的行动策略。

响应

安全事件响应包括告警管理、工单管理、案件管理等功能。告警管理的核心不仅是对告警安全事件的收集、展示和响应,更强调告警分诊和告警调查。只有通过告警分诊和告警调查才能提升告警的质量,减少告警的数量。工单管理适用于中大型的安全运维团队协同化、流程化地进行告警处置与响应,并且确保响应过程可记录、可度量、可考核。案件管理是现代安全事件响应管理的核心能力。案件管理帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置,并不断积累该案件相关的痕迹物证 (IOC) 和攻击者的战技过程指标信息 (TTP)。多个案件并行执行,从而持续化地对一系列安全事件进行追踪处置。

四、SOAR的安全运营实战

SOAR的安全运营实战,是通过编排好的安全剧本实现人员、流程、工具与知识的贯穿,实现跨区域、跨组织、跨业务、跨设备(系统)安全事件高效运营。
整体流程

在HW及日常安全运营工作中,针对安全设备的统一监控处置、员工办公电脑的安全告警处置、HW重保安全事件处置等典型场景已得到充分实战化应用,通过安全事件的统一管理,从防护、检测、响应、处置等维度,提高了处置效率。可以在实际的安全运营过程中不断的丰富和优化剧本流程。有效支撑网络安全事件运营工作持续向前发展。

场景1:员工电脑中毒安全事件场景

员工电脑中毒安全事件主要是由员工办公终端电脑EDR检测出的病毒、木马后门等恶意软件,SOAR平台对EDR的告警数据进行统一的采集分析,形成场景化事件后通过SOAR进行告警通知,敦促员工对办公电脑进行杀毒处置。

  • 业务流程
    该流程为自动化的流程,SOAR平台接收到员工中毒的安全事件信息后,自动发邮件或发短信通知员工,员工收到告警通知信息后对自己的办公终端电脑进行杀毒处理。如果三天内还没有处理,将继续发邮件或短信进行通知告警。

具体实战剧本流程如下图所示:
员工电脑中毒安全事件

  • 人员配置

人员配置如下表所示:

序号角色名称所需技能承担的工作内容
1企业员工能够维护自己的办公终端电脑完成自己办公终端电脑的安全。进行杀毒软件的安装、病毒库升级、杀毒扫描。

场景2:安全设备告警安全事件场景

安全设备告警安全事件主要是由部署在网络环境下的主机安全检测设备、WAF、IPS、蜜罐等探针检测出的各类异常安全事件行为,SOC平台进行统一的采集、分析,最终形成场景化事件,进行派单处置的闭环管理。

  • 业务流程
    1)一线监控人员发现在SOC平台上有触发的安全事件后,根据事件携带的原始安全日志信息进行初步研判分析;
    2)如一线人员研判该事件为误报事件,则直接处置完成,同时记录事件相关的攻击特征值,进一步完善白名单;
    3)如一线人员研判该事件为高风险事件,则将攻击IP地址报送至网络安全运营部安全员,由安全员进行IP地址封堵操作;
    4)当网络安全运营部处置完毕后,通知一线监控人员结束该业务流程,最终形成闭环机制;
    5)如一线人员无法研判该事件严重程度,则上升二线安全分析人员进行深入研判,二线安全分析人员将研判最终结果反馈至一线监控人员,再由一线监控人员根据实际情况选择下一步处置动作。

具体实战剧本流程如下图所示:
安全事件监控处置

  • 人员配置

人员配置如下表所示:

序号角色名称所需技能承担的工作内容
1安全监控员能够初步判断安全事件影响范围及基本的应急处理措施完成简单安全事件的处置工作,督促业务部门完成安全事件处置,做好安全事件处置的全流程管控
2二线运营员能够根据安全数据上下文判断安全事件的可信度及影响范围,能够利用各种手段开展攻击溯源及应急响应完成复杂安全事件的研判工作,为一线监控人员提供技术指导
3部门安全员能够掌握本部门各业务系统层面、主机层面的应急流程和实际处置操作方法配合完成IP地址封堵操作

场景3:重保HW安全事件处置场景

重保HW安全事件主要是由包括WAF设备、VPN、蜜罐、EDR、全流量等各类安全设备检测出的对重点关注的重要靶标系统的各类攻击行为,SOAR平台对这些安全告警事件进行统一的采集、分析,最终形成场景化事件,通过SOAR进行派单调用相关的插件工具进行告警通知、资产判断、情报查询、IP封堵、协同相应的人员进行研判处置等的闭环管理。

  • 业务流程
    1)监控人员发现安全事件后,根据事件携带的原始安全日志信息进行初步研判分析;
    2)如研判组通过溯源研判该事件为误报事件,则直接处置完成,同时记录事件相关的攻击特征值,进一步完善白名单;
    3)如研判组研判该事件为高风险事件,则转处置组进行处置,由处置人员进行确定通过插件自动化实现IP地址封堵操作;
    4)处置组处置完成后进行封堵IP入库,避免被封堵IP的重复告警。

具体实战剧本流程如下图所示:
重保HW事件处置流程

  • 人员配置

人员配置如下表所示:

序号角色名称所需技能承担的工作内容
1安全监控员能够初步判断安全事件影响范围及基本的应急处理措施完成简单安全事件的处置工作,督促业务部门完成安全事件处置,做好安全事件处置的全流程管控
2研判组能够根据安全数据上下文判断安全事件的可信度及影响范围,能够利用各种手段开展攻击溯源及应急响应完成复杂安全事件的研判工作,为一线监控人员提供技术指导
3处置组对IP进行封堵响应处置。完成IP地址封堵操作

因为SOAR具有灵活定义剧本的能力,在实际的运营中可以根据自身企业的实际情况,为自身企业量身定制符合自身管理制度要求和人员配置情况的安全运营剧本流程,除了事件处置以外还可以编排如资产稽核管理剧本、暴露面清查剧本、漏洞管理剧本、安全设备巡检剧本等等。

相关制度要求

(一) 企业应建立7*24小时网络安全监测和处置机制,对所辖网络设备和系统平台开展监测,对重要系统应开展专项监测,将安全监测和事件处置统一纳入安全运营中心,事件处置统一由SOAR安全事件编排自动化响应进行处置。

(二) 应将安全工单纳入SOAR工单管控体系。安全运营支撑单位督促安全工单各环节责任人响应和处置,按流程进行超时工单升级,开展工单闭环管控。

(三) 安全运营支撑单位应优化安全监控手段,按月开展告警分析,优化安全设备和平台告警规则,持续提升安全告警准确率。

(四) 安全运营支撑单位应持续关注内外部威胁情报,实时发布威胁预警,提供处置建议和技术支撑,跟踪问题解决,安全运营维护单位应及时评估威胁影响,根据处置建议制定处置方案并实施。


作者博客:http://xiejava.ishareread.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/110685.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Apache Doris (四十二): RECOVER数据删除恢复

🏡 个人主页:IT贫道_大数据OLAP体系技术栈,Apache Doris,Clickhouse 技术-CSDN博客 🚩 私聊博主:加入大数据技术讨论群聊,获取更多大数据资料。 🔔 博主个人B栈地址:豹哥教你大数据的个人空间-豹哥教你大数据个人主页-哔哩哔哩视频 目录

Uniapp 电子签名 包含 返回 撤回 颜色 线条等功能

请观看 使用教程 第一步 引入图标 在项目中的App.vue内添加下面代码 <style>/*引入图标路径 */import uni_modules/TC-qianming/libs/css/iconfont.css; </style> 第二步 引入组件即可 <template><view><TC-qianming></TC-qianming>&l…

开发者基于 chroot 打造的工具macOS Containers

导读macOS Containers 是一群开发者基于 chroot 打造的工具&#xff0c;能让你在 macOS 用 Docker 运行 macOS 镜像。 macOS Containers 官网写道&#xff1a; 容器从根本上改变了现代软件的开发和部署方式。包括 FreeBSD、Solaris、Linux 甚至 Windows 在内的多种操作系统都支…

SpringCloud-Seata

一、介绍 &#xff08;1&#xff09;实现分布式事务 &#xff08;2&#xff09;解决Spring只支持单机事务 &#xff08;3&#xff09;事务ID TC&#xff08;事务协调者&#xff09; TM&#xff08;事务管理者&#xff09; RM&#xff08;资源管理者&#xff09;

什么是SSL证书

SSL 证书&#xff08;也称为公钥证书&#xff09;是安装在 Web 服务器上的加密文件&#xff0c;可帮助建立安全、加密的在线通信&#xff0c;SSL 证书有两个主要用途&#xff1a; 提供加密&#xff1a;当访问者的浏览器通过SSL连接到您的网站时&#xff0c;信息交换是加密的&a…

【计算机网络】https协议

文章目录 1 :peach:基本概念:peach:1.1 :apple:什么是HTTPS&#xff1f;:apple:1.2 :apple:什么是加密&#xff1f;:apple:1.3 :apple:常见的加密方式:apple:1.3.1 :lemon:对称加密:lemon:1.3.2 :lemon:⾮对称加密:lemon: 1.4 :lemon:数据指纹:lemon: 2 :peach:HTTPS的⼯作过程…

服务器数据恢复-RAID5中磁盘被踢导致阵列崩溃的服务器数据恢复案例

服务器数据恢复环境&#xff1a; 一台3U的某品牌机架式服务器&#xff0c;Windows server操作系统&#xff0c;100块SAS硬盘组建RAID5阵列。 服务器故障&#xff1a; 服务器有一块硬盘盘的指示灯亮黄灯&#xff0c;这块盘被raid卡踢出后&#xff0c;raid阵列崩溃。 服务器数据…

如何处理前端响应式图片?

聚沙成塔每天进步一点点 ⭐ 专栏简介 前端入门之旅&#xff1a;探索Web开发的奇妙世界 欢迎来到前端入门之旅&#xff01;感兴趣的可以订阅本专栏哦&#xff01;这个专栏是为那些对Web开发感兴趣、刚刚踏入前端领域的朋友们量身打造的。无论你是完全的新手还是有一些基础的开发…

Leetcode——二维数组及滚动数组练习

118. 杨辉三角 class Solution { public:vector<vector<int>> generate(int numRows) {// 定义二维数组vector<vector<int>> num(numRows);for(int i0;i<numRows;i){//这里是给内层vector定义大小。默认是0,这里n是个数&#xff0c;不是值num[i].re…

C#使用PPT组件的CreateVideo方法生成视频

目录 需求 实现 CreateVideo方法 关键代码 CreateVideoStatus 其它 需求 我们在使用PowerPoint文档时&#xff0c;经常会使用其导出功能以创建视频&#xff0c;如下图&#xff1a; 手工操作下&#xff0c;在制作好PPT文件后&#xff0c;点击文件 -> 导出 -> 创建视…

Spring容器中同名 Bean 加载策略

&#x1f4e2;&#x1f4e2;&#x1f4e2;&#x1f4e3;&#x1f4e3;&#x1f4e3; 哈喽&#xff01;大家好&#xff0c;我是「奇点」&#xff0c;江湖人称 singularity。刚工作几年&#xff0c;想和大家一同进步&#x1f91d;&#x1f91d; 一位上进心十足的【Java ToB端大厂…

倒计时 2 天!本周六,Apache Doris 年度技术盛会相约北京!

峰会官网已上线&#xff0c;最新议程请关注&#xff1a;doris-summit.org.cn 即刻报名 Doris Summit 是 Apache Doris 社区一年一度的技术盛会&#xff0c;由飞轮科技联合 Apache Doris 社区的众多开发者、企业用户和合作伙伴共同发起&#xff0c;专注于传播推广开源 OLAP 与实…

“乘风而上,谋远共赢”润和软件HopeStage2023秋季渠道商会议圆满举行 润和软件 润和软件

10月18日&#xff0c;由江苏润和软件股份有限公司&#xff08;以下简称“润和软件”&#xff09;主办的HopeStage2023秋季渠道商会议圆满举行。本次会议以“乘风而上&#xff0c;谋远共赢”为主题&#xff0c;汇聚众多HopeStage渠道商与生态合作伙伴&#xff0c;共谋国产基础软…

瞬态抑制二极管TVS的工作原理?|深圳比创达电子EMC(上)

TVS二极管具有响应速度快、漏电流小、钳位电压稳以及无寿命衰减的特性&#xff0c;从小到信号线静电防护&#xff0c;大到电力系统抗雷击浪涌&#xff0c;TVS都发挥着至关重要的作用。本章对瞬态抑制二极管TVS工作机理展开分析&#xff0c;供产品选型参考。接下来就跟着深圳比创…

从优橙教育5G网络优化就业班出去之后,这好找工作嘛?

很多想学习5G网络优化工程师的同学&#xff0c;有一个共同的疑问&#xff1a;参加完5G网络优化就业班&#xff0c;真的能找到工作吗&#xff1f;5G网络优化工程师到底是做什么&#xff1f; 今天&#xff0c;小编就来给大家说说&#xff0c;通信行业的就业模式到底是怎么样的&a…

【Vue】前端解决跨域问题——反向代理

在 axios 请求路径只需填写资源路径&#xff1a; axios.get(/users).then(res > {console.log(res) })此时相当于向自己发送请求&#xff0c;会报 404。 然后在 vue.config,js 中配置反向代理&#xff1a; const { defineConfig } require(vue/cli-service) module.expo…

《软件方法》第1章2023版连载(07)UML的历史和现状

DDD领域驱动设计批评文集 做强化自测题获得“软件方法建模师”称号 《软件方法》各章合集 1.3 统一建模语言UML 1.3.1 UML的历史和现状 上一节阐述了A→B→C→D的推导是不可避免的&#xff0c;但具体如何推导&#xff0c;有各种不同的做法&#xff0c;这些做法可以称为“方…

Qt中纯C++项目发布为dll的方法(超详细步骤)

目录 一般创建方法导出普通函数的方法&调用方法导出类及其成员函数的方法&调用方法 众所周知&#xff0c;我们可以将C项目中的类以及函数导出&#xff0c;形成 .dll 文件&#xff0c;以供其他程序使用&#xff0c;下面将说明Qt环境下的使用方法。 首先创建共享库&am…

印刷包装经营小程序商城的作用是什么

印刷包装业的市场需求度非常高&#xff0c;如礼品盒、标签、购物袋、企业宣传物料、周边等大小服务&#xff0c;线下各城市从业者与线上行业电商数量也很多。 然而随着线下竞争激烈、用户线上消费度提升&#xff0c;同时线上第三方平台入驻商家面临抽成/入驻费/流量费、难以打…

vtk简单介绍、渲染流程、简单示例

一、vtk简单介绍 Vtk&#xff08;visualization toolkit&#xff09;是一个开源的免费软件系统&#xff0c;主要用于三维计算机图形学、图像处理和可视化。 二、vtk渲染流程 流程图如下&#xff1a; 1.vtkSource 数据源 各个类型的图像原始数据。 2.vtkFilter 数据过滤器 …