SOAR技术文章 SOAR 安全编排、自动化与响应产品检验规范
前言
1 范围
2 规范性引用文件
3 术语和定义
3.1 安全编排、自动化与响应 SOAR
3.2 安全剧本
4 产品安全功能要求
4.1 安全编排、自动化与响应功能要求
4.1.1 安全编排
提供安全响应流程编排界面或接口,允许用户通过相关功能编排设计自定义的安全响应流程
4.1.2 安全剧本自动化执行
支持外部安全事件通过 syslog/消息队列/数据库/API 等方式接入产品,并触发安全编排的剧本。
4.13 安全能力编排
安全编排过程中,支持对各类外部安全产品/系统/设备/服务的调用,具体到指定的某个应用动作。
4.1.4 编排参数支持
安全剧本的编排过程中支持当前节点使用前置节点的输出作为输入。
4.1.5 外部系统联动
系统具备对接外部安全产品/系统/设备/服务的能力,支持以 API/HTTP/HTTPS/JDBC/SSH/Telnet 等方式与外部系统通讯
4.1.5 SDK 能力
提供编程 SDK 和开发指导手册,允许用户根据自身需求开发特定应用完成外部能力的接入
4.2 自身安全功能要求
4.2.1 用户管理与账号安全
提供基础用户管理功能,支持用户增删改查。
支持创建不同的用户,并配置允许设置严格的账号密码策略。
提供账号登录保障策略,多次出错锁定账号等
4.2.2 双因素身份认证
提供账号密码之外的策略,提供双因素身份认证。
4.2.3 权限与角色
提供角色管理功能,允许创建和定制不同权限角色的用户。支持对不同权限用户限制不同的页面访问和操作权限。
4.2.4 备份功能
提供系统关键配置备份功能,支持备份导入恢复。
4.3 日志功能要求
4.3.1 基础审计功能
提供必要的审计日志,支持对用户登录、登出、关键操作进行审计。
审计日志必须完备,能够记录至少 5W1H 级别的日志。
5 产品安全保证要求
保证要求按 GB/T 18336.3-2001 第二级执行。