SOAR技术文章 SOAR 百问千答-02 期(雾帜智能)

wuzhi · 2020年08月02日 · 166 次阅读

我们将以 “AI 人机协同 +SOAR” 产品 HoneyGuide 的身份持续连载与 SOAR(Security Orchestration, Automation and Response 安全编排、自动化和响应)相关的系列问题和解答。

为了不耽误您的时间,SOAR 百问千答活动所有回答尽量做到言简意赅,减少赘述。希望你喜欢这个风格:)

HoneyGuide#SOAR-FAQ-03 问:SOAR 交付成本是不是很高?

答:

首先,交付一架战斗机和一架民航客机完全是两回事。相比较 IDS、防病毒等系统,SOAR 交付过程中的确有一部分人工工作量;但是一旦部署成功,其产生的价值产出也是巨大的。

其次,SOAR 交付的主要工作量在于:

  • 客户网内暂不支持的安全设备需要做适配开发
  • 应用能力对接完成后,需要为客户定制安全策略剧本

除了标准产品交付过程中的服务外,雾帜智能还使用了如下方法进行成本缩减:

  • 集中开发,实现对一批市场主流安全产品或能力的支持,目前 HoneyGuide 支持100+ 国内网主流安全产品、网络设备、IT 系统、SaaS 服务的能力对接,未来还会开发更多;

  • 提供专门用于应用对接开发的编程 SDK(支持 Java 和 Python)和辅助工具(图形化操作自动生成目标应用包),供厂商、客户和合作伙伴使用。通常对接一款目标设备的开发时间是 0.5~3 天,具体取决于要对接的产品复杂度、要对接的功能点数以及对应用可靠性的要求(持续优化);

  • 提供初始的30 个通用的安全场景剧本模板,加速剧本落地,同时鼓励用户参考和修改后根据自身流程定义安全剧本;

  • 提供标准化的用户操作手册开发指导手册以及视频培训资料等;

  • 在已用项目案例基础上,增强经验积累,优化从 PoC 开始到最终项目交付过程中的环节,提升效率

  • 持续为合作伙伴赋能,由合作伙伴参与应用能力开发对接,减少产品厂商资源投入

HoneyGuide 外部能力支持清单

注:时间成本投入与具体的产品形态有关,其收入产出也是。

HoneyGuide#SOAR-FAQ-04 问:SOAR 产品的核心技术有哪些?

答:

标准 SOAR 产品核心技术主要涉及剧本编排引擎剧本前置引擎剧本调度引擎动作执行引擎规则引擎

SOAR 产品核心技术

  • 安全剧本编排引擎:

提供可视化的图形界面,允许用户使用拖拽的方式实现安全响应流程的编排;不同产品在细节上实现不一样,雾帜智能 HoneyGuide 支持在剧本编排过程中插入动作判断(基于规则)审批虚拟动作等节点,更支持循环异步等待、嵌套剧本上下文共享等高级功能。

  • 安全剧本前置引擎:

接收来自 SIME、SOC、态势感知等系统发来的安全事件,根据前置规则对安全事件类型进行识别,然后启动执行对应的应急响应剧本。

  • 安全剧本调度引擎:

安全事件(主动或被动)发生后,启动执行编排好的安全剧本,并实施跟踪剧本执行状态,完成剧本任务调度。同样还需要识别超时、异常等状态的剧本,并予以修复。

  • 动作执行引擎:

安全剧本启动后,执行到每个节点会调用相应的动作。动作执行引擎负责与外部安全设备/系统的对接,完成状态获取,数据查询和命令下发,如:调用防火墙封禁一个 IP、重启一个交换机设备、启动一个 Web 安全扫描任务。

  • 规则引擎:

剧本编排过程中涉及到不同节点的输入、输出信息,也包括上下文信息。这些信息是否满足特定条件,需要通过规则引擎去判断,如:

  • 字符串是否为 IP
  • 输出的 IP 是否在某个白名单
  • 国家名称是否等于 “中国”
  • 发送结果是否为成功
  • 漏洞数量是否大于零
  • 扫描结果是否包含 mysql
  • 某个字符串是否以 CVE 开头
  • 用户名是否符合某个特定正则表达式
  • ……

凡此种种,都离不开强有力的规则引擎。

注:雾帜智能 HoneyGuide 不仅仅是一个 SOAR 产品,更是一款以 AI 人机协同 +SOAR 编排自动化为核心的协同作战平台。

好了,本期就到这里。如果您有任何 SOAR 方面的问题,请给我们留言,HoneyGuide 一定会认真答复。

关于雾帜智能

雾帜智能:

2019年4月10日,上海雾帜智能科技有限公司正式成立;公司专注于将人工智能技术和现实应用场景结合,通过显著提升自动化能力助力企业解放生产力。

HoneyGuide:

2019年8月21日,上海雾帜智能科技有限公司在北京望京凯悦酒店举行主办了 “智无界.AI 无极 雾帜智能风险决策平台发布会”。一款以 SOAR+AI 作战室为核心的安全应急响应类产品 HoneyGuide 正式面世:

  • 用 “AI 机器人” 和 “安全作战室” ,解决人人、人机的协同问题;
  • 用 “安全剧本” 将应急响应中的各个单点动作串联起来,实现流程自动化,解决安全事件响应中严重依赖人工操作的问题。

HoneyGuide 在 “自然语言交互”、“安全动作推荐” 和 “安全剧本智能优化” 等方面了引入了人工智能因素。通过在关键环节使用 AI 技术,产品大幅提高了企业安全应急响应速度,全面降低企业安全运营的成本。

往期参考:

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册