背景：

A 公司设有 1 个总部、多个二、三级单位，其中个别二单位跨省设在异地；总部设有安全组 5 人、各二级单位设有安全岗 1 人（兼职）；多年安全建设已具备基础安全能力，安全相关设备包括态势感知、防火墙、漏扫、威胁情报、蜜罐、WAF、VPN、堡垒机、IPS 等；每天告警数量达 6500+,；日常工作中，特别关注处置挖矿、僵木蠕、恶意软件、弱口令、钓鱼、扫描事件。

项目需求场景：

PS：SOAR 安全编排自动化响应工作是一个循序渐进的过程，1 次无法穷举所有安全场景进行自动化。通常在运营过程中，需要逐步实现对各类安全事件处置工作进行加速、提效，优先将最重要、核心关注的事件处置场景实现自动化处置。（当然首先要具备 SOAR 的能力，上 SOAR 系统、或是自研 ）

(调研、沟通过程略.....)

场景 1、对挖矿、僵木蠕、恶意程序、弱口令、钓鱼事件处置等告警事件自动研判、封禁、通告等处置动作。

场景 2、对需求 1 告警外的高可信告警事件自动处置。

场景设计思路：

1、针对上述两类需求，梳理自动化编排的场景。在设计剧本时，需要考虑，接入 SOAR 系统的事件包含真实攻击事件、误报事件、攻击失败事件三类，为了确保事件处置准确性、和效率，剧本需要对这三类事件进行设计：

1）真实攻击事件：①　这部分告警可信度高，结合少量研判条件，可以直接自动完成处置操作。②　对单位时间内，出现符合特征的重复告警事件，需要自动合并为一条告警事件，并进行自动封禁、通告等处置操作。其中，特征可以自定义，比如攻击源、攻击类型相同的告警；源、攻击目的地址相同的告警等。

注：实操中这部分告警相对来说，还是比较容易处理的。

2）误报事件： ①　误报事件辅助研判：收集与事件相关的资产、威胁情报、白名单、Playload 等信息，对于事件相关的多个情报交叉印证；并与现有安全系统告警事件、信息碰撞，研判为非误报事件自动处置。 ②　自动过滤掉已经加白的告警事件。这部分考虑是，在各安全设备上报给态势感知的日志，存在没有区分加白的告警，直接全部发给态感。 ③　将疑似误报告警自动发送安全人员研判，过滤掉安全设备规则库中逻辑错误的误报；不能排除的、可能与业务相关的误报，自动收集与事件有关的业务人员信息，并告知安全人员，便于共同研判。 ④　将研判为误报事件，一键自动获取 IOC 规则、域名并加白，自动记录误报事件，供后续优化检查规则。

3）攻击失败： ①　对单位时间内出现的低危探测行为，且标记为攻击失败的事件进行自动统计、通告，并关闭事件。 ②　中、低危告警，根据攻击频率、结合攻击类型库黑名单自动处置。

2、梳理事件处置流程，流程相同的告警共用一套剧本。

结合需求场景，主要设计剧本逻辑如下： 1、安全事件处置主剧本

①　先对接收的、特征相同的告警事件合并。

②　过滤掉包含在白名单内的事件，并发出告警通知。

③　从受攻击资产所在单位（A 子公司）角度，按照外对内、内对外、内对内 3 个攻击方向，设计事件处置流程。

-1) 外对内： a.互联网攻击 A 子公司。处置方式：结合威胁情报相信，国外 IP 直接封禁，国内 IP 根据攻击频率和攻击时间进行阶梯封禁。 b.公司内部非 A 子公司攻击 A 子公司。处置方式：对攻击 IP 归属地信息，受攻击资产信息、攻击类型库比对、攻击频率等条件研判，进行封禁、整改通告、整改复核等处置操作。

-2) 内对外：

a.A 子公司攻击互联网（目的地址是互联网 IP）。处置方式：结合威胁情报、国外 IP 直接封禁、国内 IP 根据攻击频率和攻击时间进行阶梯封禁。 b.A 子公司攻击其他子公司。处置方式：以告警提醒，配合人工审批封禁封禁 IP 为主。审批不通过的，加白处理。

-3) 内对内： a.A 子公司内部攻击事件。处置方式：获取攻击 IP 地址资产信息，通知整改、自动复核。

注：蓝色节点为 “整改复核流程” 这个流程中包含误报处置逻辑。

2、挖矿、僵木蠕、恶意程序事件处置剧本

①　接收挖矿、僵木蠕、恶意程序告警事件后，获取威胁情报信息、封禁恶意域名 ②　判断受攻击资产设备类型、告警类型： 1) 如果是服务器、且攻击类型为恶意软件。处置方式为，告警通知、人工整改、整改复核。如果为木马、挖矿类事件，先查杀病毒，复核不通过，再人工介入。2) 如果是 PC，先封禁。后续处置操作与服务器类似。3) 最后将封禁的 PC 执行解封操作，并关闭工单。

注：蓝色节点为 “整改复核流程” 这个流程中包含误报处置逻辑。

3、弱口令事件处置剧本

①　获取弱口令告警事件后，找到受攻击资产信息，通过工单系统、作战室通知整改。 ②　复核通过后关闭工单。

注：蓝色节点为 “整改复核流程” 这个流程中包含误报处置逻辑。

4、钓鱼事件处置等告警事件进行封禁、通告等处置。 本场景包含 2 个钓鱼邮件处置场景：

①　钓鱼邮件事件处置 -- 整改： -1) 人工导入点击邮件人员 IP 后，自动获取 iP 对应人员信息，封禁 IP；同事发送至二级单位接口人（接口人告知 IP 对应人员进行安全培训、参加考核），SOAR 定期从考核系统上获取 “考核通过” 的信息后，解封 IP。

②　钓鱼邮件事件处置 -- 核实： -1) 人工上传钓鱼邮件内容后，解析邮件内容，判断钓鱼类型是附件钓鱼还是 url 钓鱼。 -2) 附件钓鱼，获取文件进行沙箱分析，查询威胁情报，判断有无风险，有风险添加 DNS 黑洞和防火墙黑名单。 -3) url 钓鱼，判断是否在白名单，如果不在，查询威胁情报，判断有无风险，有风险添加 DNS 黑洞和防火墙黑名单。

5、其他剧本：

5.1【子剧本】整改复核

5.2【子剧本】误报告警处置

方案效果

（1）综合提高安全运营能力：实现了对安全事件、安全人员、安全设备、安全策略和安全流程的集中运营，降低了沟通成本，目前已可以自动完成日常安全运营中 30%+ 的安全事件处置工作，能够帮助安全防御体系、运营质量等综合能力提升。

（2）全面加快应急处置的速度：以 SOAR 为核心的安全编排能力，通过自动化响应剧本实现对安全设备能力的组合调度，实现安全事件自动响应，降低了对人员的严重依赖，系统处理效率是以往人工处置的 30 倍以上，应急响应速度和水平得到了质的提升。

（3）大幅节约安全运营人员投入成本：对安全事件的自动化响应、处置，减少人工干预，降低对人力资源的依赖，减轻了安全团队的工作负担。从长远来可以减少人员投入，实现降本增效的科学化安全运营。