作为国产 SOAR 领域的先行者,雾帜智能对过往两年多的 SOAR 实战经验进行总结,与同行、伙伴和客户共同碰撞,最终输出了国内 SOAR 领域首个 Top 10 安全剧本最佳实践。
本次发布的 Top 10 SOAR 安全剧本针对每个剧本场景做了内容描述,并给出了推荐理由、效果和收益等说明,具体可以关注雾帜智能公众号回复 “TOP 10” 获取完整版。
Top 10 SOAR 安全剧本
No.1
阶梯式自动化响应剧本(集成联动型)
剧本描述 这是个比较典型的自动化响应剧本,也是比较典型的阶梯式封禁剧本,SOAR 接收到上游的 SIEM 和态势感知等发送的特定类型的事件或者 IP 列表后,会自动触发该类剧本。
推荐指数: ★★★★★
主要对接设备/系统:SIEM/态势感知/SoC 、WAF/FW/IPS/ADS、IP 归属地数据库/威胁情报系统
No.2
恶意软件事件预处置剧本(集成联动型)
剧本描述 这个剧本集成联动了 HIDS 服务器、防病毒服务器和资产管理系统。通过 HIDS 服务器/防病毒服务器主动将客户端更新、发起扫描等任务推送给客户端;并通过内部的资产管理系统(剧本中为 CMDB)查找对应的资产负责人,并将结果通过邮件反馈给资产负责人/所有者/资产组管理员。
推荐指数: ★★★★★
主要对接设备/系统:SIEM/态势感知/SoC 、HIDS 服务端、杀毒软件服务端
No.3
资产漏洞扫描管理(日常事务型)
剧本描述 该剧本的逻辑比较简单,通过 SOAR 剧本调用扫描器对主机进行漏洞扫描,扫描结束后,如果存在中高危漏洞,则启动相应流程(该剧本通过创建一个 Teambition 的特定任务来启动,实际应用中可以对接内部 OA 系统代替 Teambition)并通知安全运营人员。
推荐指数: ★★★★
主要对接设备/系统:漏洞扫描器(Tenable 等支持多任务、资产组的扫描器)、任务/流程管理系统(Teambition 或 OA 等)
No.4
临时策略自动化管理(日常事务型)
剧本描述 该剧本上游连接了一个 OA 系统,OA 系统有新的指定类型工单审批通过后,由 OA 系统调用 SOAR 的 API,将工单信息打包成一条事件发送给 SOAR。该剧本被事件触发后会从事件中提取与策略相关的参数如 IP、端口、策略时效等,在目标防火墙上创建相关的策略。在策略时效到期后,再次调用防火墙关闭相关策略。
推荐指数: ★★★★
主要对接设备/系统:SIEM/态势感知/SoC 、WAF/FW/IPS/ADS、IP 归属地数据库/威胁情报系统
No.5
可疑邮件分析处置剧本(集成联动型 + 综合工具型)
剧本描述 这是一个借助 SOAR 的强大编排能力,重构的可一键执行的工具。可用于自动分析邮件提取关键信息和恶意内容,并联动了威胁情报系统进行自动研判;也可用于自动处置恶意邮件本身(发件人、发件域名等)以及与其关联的恶意内容(URL、域名等)。有些客户将这个工具与邮件网关协同工作(需要去除部分审批节点),扩展邮件网关的能力。如将首次出现的陌生发件人的邮件、包含特定关键字的邮件或者包含附件的邮件转给 SOAR 进行分析,由 SOAR 自动决策是否需要对该邮件进行拦截等 。有些客户则设置 SOAR 去监听一个公共邮箱(需要调整部分节点),使得公司内所有人员都可以直接提交可疑邮件进行分析,并得到几乎实时的结果反馈,这让这个工具变成了一项 7*24 小时可用的公共安全服务,即减少了安全运营团队的工作,又提升了内部客户的满意度,可谓一举数得。
推荐指数: ★★★★★
主要对接设备/系统:邮件网关、威胁情报系统、DNS 服务器、出口防火墙
No.6
IP/域名多维信息查询剧本(综合工具型)
剧本描述 这是个典型的综合工具型剧本。一个剧本即覆盖了域名、Shodan 情报、多源威胁情报以及资产信息等多维信息的查询。另外,还使用了一个后置节点生成了 PDF。在实际应用中,并不是每次查询都能成功,尤其是从外部查询信息时经常会遭遇失败,因此该剧本设计了一个后置节点来调用 PDF 工具,以生成信息汇总报告。这样使得即使部分查询节点失败了,也不影响报告的输出。整个剧本只有一个判断节点,主要是为减少对 CMDB 的调用。
推荐指数: ★★★★★
主要对接设备/系统:内/外部情报源、whois 工具/服务、CMDB 等
No.7
恶意 Web 请求分析和响应 (集成联动型 + 综合工具型)
剧本描述 这是复合型剧本,把漏洞扫描器、蜜罐、封禁设备(WAF、防火墙)等多个系统关联协作的剧本。只需输入一个 Web 请求的文本(支持大多数 WAF 设备的日志或 tcpdump 解析的结果)或是包含 Web 请求完整 HTTP 头的事件,就可用完成对 Web 请求的分析,如果发现异常内容,将执行一连串的响应动作。 非常特殊的是会将确定存在发起过恶意请对的 IP 地址做请求重定向,该 IP 地址后续的请求都将重定到蜜罐,一方面为了方便做后续更进一步分析攻击者的意图,另一方面是为阻止起对任何真实业务发起请求或触发其他告警。 更为特殊的是,这剧本还是个递归函数,可以自己触发自己对 X-Forwarded-For 字段值进行递归处理。
在实际应用中,部分客户将该剧本与上游检测系统对接获取事件进行自动响应。而其他用户更倾向于作为一个工具使用,对部分事件或 IP 进行分析和处置;因为涉及系统较多,如果上游产生的事件过多,很容易拖垮剧本内联动的设备。
推荐指数: ★★★★★
主要对接设备/系统:SIEM/态势感知/SoC 、WAF/FW/IPS/ADS、IP 归属地数据库/威胁情报系统、漏洞扫描器
No.8
混合云环境响应剧本 (集成联动型)
剧本描述 这个剧本主要运用于混合云安全运营的场景。该剧本对私有云和公有云安全策略在统一白名单的同时分别应用不同的封禁策略。共有云因其支持几乎无限长度的策略地址表/黑名单,因此对中危及其以上都直接进行封禁处理。而私有云内的设备只支持有限长度的策略地址表/黑名单,需要更严格地控制,防止超出设备容量。该剧本的主要特色是对不同云环境使用相同的安全策略,但同时根据不同云环境的特点使用不同的封禁策略。
推荐指数: ★★★★
主要对接设备/系统:SIEM/态势感知/SoC 、WAF/FW/IPS/ADS、IP 归属地数据库/威胁情报系统
No.9
Web 页面信息泄露事件响应(应急预案型)
剧本描述 这是个预案型的剧本,其特点是通过 OA 和邮件,把一个紧急事件的响应流程通过剧本来推动。并在流程开始前,自动收集必要信息,供法务等流程相关人员参考。该剧本主要针对的是一些企业自营的公开 Web 站点发生信息泄露事件的响应工作。
推荐指数: ★★★
主要对接设备/系统:工单系统(OA 等)、WAF/NGFW、邮件系统、泄密预警系统(可选)
No.10
通用紧急呼叫剧本(应急预案型)
剧本描述 这个剧本是个通用剧本,不仅适用于发生紧急安全事件的场景,也适用于其他需要紧急呼叫相关人员的场景,如发生重大网络故障,需要紧急联系网络运维人员等。该剧本包含了发起语音呼叫和语音留言的动作。语音留言需要 TTS(Text To Sound,文本转声音 )服务和具备语音留言的功能语音网关支持。TTS 不是安全运营场景中常用的工具,但如今已有众多基于深度学习实现的开放服务,已经非常容易获得。剧本逻辑较为简单,可根据实际情况很方便地进行调整。
推荐指数: ★★★
主要对接设备/系统:语音网关、IM 工具、TTS 服务(可选)、联系人 Excel 文件
总结
企业所处行业不同、规模不同、安全体系建设进度不同、安全管理策略不同,所需要的自动化安全运营需求也不尽相同。因此,优先部署符合企业当前安全运营需求的剧本才是适合 SOAR 安全剧本实践的最佳策略;剧本应当随着企业自身安全体系的不断完善进行更新迭代,只要能以较低的成本最大程度提升安全运营团队效率和加固企业安全防御体系的剧本,就是企业自身的最佳实践 SOAR 剧本。
具体可以关注雾帜智能公众号回复 “TOP 10” 获取完整版。
转载声明
原文来自雾帜智能公众号:https://mp.weixin.qq.com/s/YchEloZUNzphpRhCVNE1ow