SOAR技术文章 安全编排自动化响应 SOAR 实践总结 -- 方案篇

lhylrry · 2024年04月20日 · 742 次阅读

背景

A 公司设有 1 个总部、多个二、三级单位,其中个别二单位跨省设在异地;总部设有安全组 5 人、各二级单位设有安全岗 1 人(兼职);多年安全建设已具备基础安全能力,安全相关设备包括态势感知、防火墙、漏扫、威胁情报、蜜罐、WAF、VPN、堡垒机、IPS 等;每天告警数量达 6500+,;日常工作中,特别关注处置挖矿、僵木蠕、恶意软件、弱口令、钓鱼、扫描事件。

项目需求场景

PS:SOAR 安全编排自动化响应工作是一个循序渐进的过程,1 次无法穷举所有安全场景进行自动化。通常在运营过程中,需要逐步实现对各类安全事件处置工作进行加速、提效,优先将最重要、核心关注的事件处置场景实现自动化处置。(当然首先要具备 SOAR 的能力,上 SOAR 系统、或是自研 )

(调研、沟通过程略.....)

场景 1、对挖矿、僵木蠕、恶意程序、弱口令、钓鱼事件处置等告警事件自动研判、封禁、通告等处置动作。

场景 2、对需求 1 告警外的高可信告警事件自动处置。

场景设计思路

1、针对上述两类需求,梳理自动化编排的场景。在设计剧本时,需要考虑,接入 SOAR 系统的事件包含真实攻击事件、误报事件、攻击失败事件三类,为了确保事件处置准确性、和效率,剧本需要对这三类事件进行设计:

1)真实攻击事件:① 这部分告警可信度高,结合少量研判条件,可以直接自动完成处置操作。② 对单位时间内,出现符合特征的重复告警事件,需要自动合并为一条告警事件,并进行自动封禁、通告等处置操作。其中,特征可以自定义,比如攻击源、攻击类型相同的告警;源、攻击目的地址相同的告警等。

注:实操中这部分告警相对来说,还是比较容易处理的。

2)误报事件: ① 误报事件辅助研判:收集与事件相关的资产、威胁情报、白名单、Playload 等信息,对于事件相关的多个情报交叉印证;并与现有安全系统告警事件、信息碰撞,研判为非误报事件自动处置。 ② 自动过滤掉已经加白的告警事件。这部分考虑是,在各安全设备上报给态势感知的日志,存在没有区分加白的告警,直接全部发给态感。 ③ 将疑似误报告警自动发送安全人员研判,过滤掉安全设备规则库中逻辑错误的误报;不能排除的、可能与业务相关的误报,自动收集与事件有关的业务人员信息,并告知安全人员,便于共同研判。 ④ 将研判为误报事件,一键自动获取 IOC 规则、域名并加白,自动记录误报事件,供后续优化检查规则。

3)攻击失败: ① 对单位时间内出现的低危探测行为,且标记为攻击失败的事件进行自动统计、通告,并关闭事件。 ② 中、低危告警,根据攻击频率、结合攻击类型库黑名单自动处置。

2、梳理事件处置流程,流程相同的告警共用一套剧本。

结合需求场景,主要设计剧本逻辑如下: 1、安全事件处置主剧本

① 先对接收的、特征相同的告警事件合并。

② 过滤掉包含在白名单内的事件,并发出告警通知。

③ 从受攻击资产所在单位(A 子公司)角度,按照外对内、内对外、内对内 3 个攻击方向,设计事件处置流程。

-1) 外对内: a.互联网攻击 A 子公司。处置方式:结合威胁情报相信,国外 IP 直接封禁,国内 IP 根据攻击频率和攻击时间进行阶梯封禁。 b.公司内部非 A 子公司攻击 A 子公司。处置方式:对攻击 IP 归属地信息,受攻击资产信息、攻击类型库比对、攻击频率等条件研判,进行封禁、整改通告、整改复核等处置操作。

-2) 内对外:

a.A 子公司攻击互联网(目的地址是互联网 IP)。处置方式:结合威胁情报、国外 IP 直接封禁、国内 IP 根据攻击频率和攻击时间进行阶梯封禁。 b.A 子公司攻击其他子公司。处置方式:以告警提醒,配合人工审批封禁封禁 IP 为主。审批不通过的,加白处理。

-3) 内对内: a.A 子公司内部攻击事件。处置方式:获取攻击 IP 地址资产信息,通知整改、自动复核。

注:蓝色节点为 “整改复核流程” 这个流程中包含误报处置逻辑。

2、挖矿、僵木蠕、恶意程序事件处置剧本

① 接收挖矿、僵木蠕、恶意程序告警事件后,获取威胁情报信息、封禁恶意域名 ② 判断受攻击资产设备类型、告警类型: 1) 如果是服务器、且攻击类型为恶意软件。处置方式为,告警通知、人工整改、整改复核。如果为木马、挖矿类事件,先查杀病毒,复核不通过,再人工介入。2) 如果是 PC,先封禁。后续处置操作与服务器类似。3) 最后将封禁的 PC 执行解封操作,并关闭工单。

注:蓝色节点为 “整改复核流程” 这个流程中包含误报处置逻辑。

3、弱口令事件处置剧本

① 获取弱口令告警事件后,找到受攻击资产信息,通过工单系统、作战室通知整改。 ② 复核通过后关闭工单。

注:蓝色节点为 “整改复核流程” 这个流程中包含误报处置逻辑。

4、钓鱼事件处置等告警事件进行封禁、通告等处置。 本场景包含 2 个钓鱼邮件处置场景:

① 钓鱼邮件事件处置 -- 整改: -1) 人工导入点击邮件人员 IP 后,自动获取 iP 对应人员信息,封禁 IP;同事发送至二级单位接口人(接口人告知 IP 对应人员进行安全培训、参加考核),SOAR 定期从考核系统上获取 “考核通过” 的信息后,解封 IP。

② 钓鱼邮件事件处置 -- 核实: -1) 人工上传钓鱼邮件内容后,解析邮件内容,判断钓鱼类型是附件钓鱼还是 url 钓鱼。 -2) 附件钓鱼,获取文件进行沙箱分析,查询威胁情报,判断有无风险,有风险添加 DNS 黑洞和防火墙黑名单。 -3) url 钓鱼,判断是否在白名单,如果不在,查询威胁情报,判断有无风险,有风险添加 DNS 黑洞和防火墙黑名单。

5、其他剧本:

5.1【子剧本】整改复核

5.2【子剧本】误报告警处置

方案效果

(1)综合提高安全运营能力:实现了对安全事件、安全人员、安全设备、安全策略和安全流程的集中运营,降低了沟通成本,目前已可以自动完成日常安全运营中 30%+ 的安全事件处置工作,能够帮助安全防御体系、运营质量等综合能力提升。

(2)全面加快应急处置的速度:以 SOAR 为核心的安全编排能力,通过自动化响应剧本实现对安全设备能力的组合调度,实现安全事件自动响应,降低了对人员的严重依赖,系统处理效率是以往人工处置的 30 倍以上,应急响应速度和水平得到了质的提升。

(3)大幅节约安全运营人员投入成本:对安全事件的自动化响应、处置,减少人工干预,降低对人力资源的依赖,减轻了安全团队的工作负担。从长远来可以减少人员投入,实现降本增效的科学化安全运营。

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册