剧本自动化

视觉剧本编辑器

Phantom Visual Playbook 编辑器（VPE）允许开发人员和非开发人员轻松拖放即可构建和自定义复杂的 Phantom Playbook。在以图形方式构建剧本时，VPE 会在后台实时生成所有支持代码。高级用户可以使用 VPE 界面启动一个新的剧本，然后过渡到集成的 Python 剧本编辑器和调试器进行微调。

剧本画布和功能块

VPE 允许您使用功能块和连接器创建剧本，它们描述了操作顺序。创建新块时，系统会为您提供所有可能的功能块类型，作为您的剧本的下一步。您可以执行以下操作：定义安全措施以执行，过滤数据，使用编码逻辑做出决定，提示用户进行输入或确认，调用另一本剧本等等。您还可以利用我们现成的 “自定义功能” 库（或编写自己的库），并在多个剧本之间重用它们，以帮助最大化剧本的多功能性并自动执行其他安全流程。

协作，响应和管理

Phantom 调查

“ Phantom” 屏幕是用户协作和案例管理（在行业中也称为 “事件管理”）的中心。分析师可以进行协作，以查看自动化操作或剧本的输出，查看事件中提取的数据，并将数据用于实时决策。

Phantom 任务指导

作为支持安全运营分析师的智能助手，Phantom Mission Guidance 提供了一些建议，以帮助调查，遏制，消除安全事件并从中恢复。它通过将安全事件数据映射到您当前配置的 SOC 工具和手册来工作。Phantom 任务指导的建议有助于教育新的分析师采取步骤并验证更有经验的分析师的选择。

活动提要

Splunk Phantom 中的活动提要显示已对当前显示的事件起作用的所有当前和历史动作以及剧本活动。这使您可以快速查看事件的所有自动化操作的成功，正在进行的执行和结果。活动提要还提供与自动化详细信息和其他数据内联集成的团队协作功能，从而形成所有相关事件信息的记录。

案例管理

案例管理已完全集成到 Splunk Phantom 中，使您可以轻松地将经过验证的事件推广到案例。它还允许持续访问一个界面中可用的所有工具，功能和数据。案例管理支持映射到您定义的标准操作程序（SOP）的案例任务。此外，Case Management 拥有对 Phantom Automation Engine 的完全访问权限，使您可以将动作和剧本作为任务的一部分启动。

工作簿

工作簿使您可以将 SOP 编入可重用模板中。 Phantom 支持自定义和行业标准的工作簿，例如随附的用于事件响应的 NIST-800-61 模板。您可以将任务划分为多个阶段（例如，检测，分析，遏制，根除和恢复），为团队成员分配任务，记录工作等。您还可以将自动化操作和剧本直接嵌入到您定义的工作簿模板中。

How it Works

关键概念

在 Phantom 平台上学习与安全协调，自动化和响应有关的关键概念。

数据源

使用任何类型和来源的安全数据来触发 Phantom 采取行动，例如事件，威胁指示器，漏洞，电子邮件等。通过 Phantom，您可以完全访问安全数据的内容，以进行自动决策。

您可以将数据推送到 Phantom，或者从许多外部支持的 SIEM 或分析工具中提取数据。

剧本

剧本是您的安全运营（SecOps）计划的编纂。实际上，它们是 Phantom 解释以执行任务的高级 Python 脚本。剧本可连接到 Phantom 平台及其执行操作的所有功能，从而确保安全操作周围的过程可重复且可审核。

动作

动作是 Phantom 在剧本中使用的高级原语。 Phantom 集成了 300 多个应用程序和 1,900 多个 API。示例包括：

资产

资产是您与 Phantom 平台集成的安全性和基础结构资产。 示例包括：防火墙，端点产品，信誉服务，沙箱，目录服务和 SIEM。

可扩展性

使用市场上最强大的 SOAR 工具，可以最大程度地提高 SOC 效率并实现企业级可靠性。 Phantom 增强了安全自动化的可扩展性，性能和速度，每小时可处理多达 50,000 个安全事件。

文章来源：https://www.splunk.com/en_us/software/splunk-security-orchestration-and-automation/features.html