国内SOAR领域首个Top 10安全剧本最佳实践
2022-4-20 14:40:13 Author: www.aqniu.com(查看原文) 阅读量:23 收藏

国内SOAR领域首个Top 10安全剧本最佳实践

日期:2022年04月20日 阅:83

作为国产SOAR领域的先行者,雾帜智能对过往两年多的SOAR实战经验进行总结,与同行、伙伴和客户共同碰撞,最终输出了国内SOAR领域首个Top 10安全剧本最佳实践

本次发布的Top 10 SOAR安全剧本针对每个剧本场景做了内容描述,并给出了推荐理由、效果和收益等说明,具体可以关注雾帜智能公众号回复“TOP 10”获取完整版

 Top 10 SOAR安全剧本

No.1    阶梯式自动化响应剧本(集成联动型)

剧本描述

这是个比较典型的自动化响应剧本,也是比较典型的阶梯式封禁剧本,SOAR接收到上游的SIEM和态势感知等发送的特定类型的事件或者IP列表后,会自动触发该类剧本。

推荐指数: ★★★★★

主要对接设备/系统:SIEM/态势感知/SoC 、WAF/FW/IPS/ADS、IP归属地数据库/威胁情报系统

No.2    恶意软件事件预处置剧本(集成联动型)

剧本描述

这个剧本集成联动了HIDS服务器、防病毒服务器和资产管理系统。通过HIDS服务器/防病毒服务器主动将客户端更新、发起扫描等任务推送给客户端;并通过内部的资产管理系统(剧本中为CMDB)查找对应的资产负责人,并将结果通过邮件反馈给资产负责人/所有者/资产组管理员。

推荐指数: ★★★★★

主要对接设备/系统:SIEM/态势感知/SoC 、HIDS服务端、杀毒软件服务端

No.3    资产漏洞扫描管理(日常事务型)

剧本描述

该剧本的逻辑比较简单,通过SOAR剧本调用扫描器对主机进行漏洞扫描,扫描结束后,如果存在中高危漏洞,则启动相应流程(该剧本通过创建一个Teambition的特定任务来启动,实际应用中可以对接内部OA系统代替Teambition)并通知安全运营人员。

推荐指数: ★★★★

主要对接设备/系统:漏洞扫描器(Tenable等支持多任务、资产组的扫描器)、任务/流程管理系统(Teambition或OA等)

No.4     临时策略自动化管理(日常事务型)

剧本描述

该剧本上游连接了一个OA系统,OA系统有新的指定类型工单审批通过后,由OA系统调用SOAR的API,将工单信息打包成一条事件发送给SOAR。该剧本被事件触发后会从事件中提取与策略相关的参数如IP、端口、策略时效等,在目标防火墙上创建相关的策略。在策略时效到期后,再次调用防火墙关闭相关策略。

推荐指数: ★★★★

主要对接设备/系统:SIEM/态势感知/SoC 、WAF/FW/IPS/ADS、IP归属地数据库/威胁情报系统

No.5     可疑邮件分析处置剧本(集成联动型+综合工具型)

剧本描述

这是一个借助SOAR的强大编排能力,重构的可一键执行的工具。可用于自动分析邮件提取关键信息和恶意内容,并联动了威胁情报系统进行自动研判;也可用于自动处置恶意邮件本身(发件人、发件域名等)以及与其关联的恶意内容(URL、域名等)。有些客户将这个工具与邮件网关协同工作(需要去除部分审批节点),扩展邮件网关的能力。如将首次出现的陌生发件人的邮件、包含特定关键字的邮件或者包含附件的邮件转给SOAR进行分析,由SOAR自动决策是否需要对该邮件进行拦截等 。有些客户则设置SOAR去监听一个公共邮箱(需要调整部分节点),使得公司内所有人员都可以直接提交可疑邮件进行分析,并得到几乎实时的结果反馈,这让这个工具变成了一项7*24小时可用的公共安全服务,即减少了安全运营团队的工作,又提升了内部客户的满意度,可谓一举数得。

推荐指数: ★★★★★

主要对接设备/系统:邮件网关、威胁情报系统、DNS服务器、出口防火墙

No.6     IP/域名多维信息查询剧本(综合工具型)

剧本描述

这是个典型的综合工具型剧本。一个剧本即覆盖了域名、Shodan情报、多源威胁情报以及资产信息等多维信息的查询。另外,还使用了一个后置节点生成了PDF。在实际应用中,并不是每次查询都能成功,尤其是从外部查询信息时经常会遭遇失败,因此该剧本设计了一个后置节点来调用PDF工具,以生成信息汇总报告。这样使得即使部分查询节点失败了,也不影响报告的输出。整个剧本只有一个判断节点,主要是为减少对CMDB的调用。

推荐指数: ★★★★★

主要对接设备/系统:内/外部情报源、whois工具/服务、CMDB等

No.7     恶意Web请求分析和响应(集成联动型+综合工具型)

剧本描述

这是复合型剧本,把漏洞扫描器、蜜罐、封禁设备(WAF、防火墙)等多个系统关联协作的剧本。只需输入一个Web请求的文本(支持大多数WAF设备的日志或tcpdump解析的结果)或是包含Web请求完整HTTP头的事件,就可用完成对Web请求的分析,如果发现异常内容,将执行一连串的响应动作。非常特殊的是会将确定存在发起过恶意请对的IP地址做请求重定向,该IP地址后续的请求都将重定到蜜罐,一方面为了方便做后续更进一步分析攻击者的意图,另一方面是为阻止起对任何真实业务发起请求或触发其他告警。

更为特殊的是,这剧本还是个递归函数,可以自己触发自己对X-Forwarded-For字段值进行递归处理。

在实际应用中,部分客户将该剧本与上游检测系统对接获取事件进行自动响应。而其他用户更倾向于作为一个工具使用,对部分事件或IP进行分析和处置;因为涉及系统较多,如果上游产生的事件过多,很容易拖垮剧本内联动的设备。

推荐指数: ★★★★★

主要对接设备/系统:SIEM/态势感知/SoC 、WAF/FW/IPS/ADS、IP归属地数据库/威胁情报系统、漏洞扫描器

No.8   混合云环境响应剧本(集成联动型)

剧本描述

这个剧本主要运用于混合云安全运营的场景。该剧本对私有云和公有云安全策略在统一白名单的同时分别应用不同的封禁策略。共有云因其支持几乎无限长度的策略地址表/黑名单,因此对中危及其以上都直接进行封禁处理。而私有云内的设备只支持有限长度的策略地址表/黑名单,需要更严格地控制,防止超出设备容量。该剧本的主要特色是对不同云环境使用相同的安全策略,但同时根据不同云环境的特点使用不同的封禁策略。

推荐指数: ★★★★

主要对接设备/系统:SIEM/态势感知/SoC 、WAF/FW/IPS/ADS、IP归属地数据库/威胁情报系统

No.9    Web页面信息泄露事件响应(应急预案型)

剧本描述

这是个预案型的剧本,其特点是通过OA和邮件,把一个紧急事件的响应流程通过剧本来推动。并在流程开始前,自动收集必要信息,供法务等流程相关人员参考。该剧本主要针对的是一些企业自营的公开Web站点发生信息泄露事件的响应工作。

推荐指数: ★★★

主要对接设备/系统:工单系统(OA等)、WAF/NGFW、邮件系统、泄密预警系统(可选)

No.10     通用紧急呼叫剧本(应急预案型)

剧本描述

这个剧本是个通用剧本,不仅适用于发生紧急安全事件的场景,也适用于其他需要紧急呼叫相关人员的场景,如发生重大网络故障,需要紧急联系网络运维人员等。该剧本包含了发起语音呼叫和语音留言的动作。语音留言需要TTS(Text To Sound,文本转声音 )服务和具备语音留言的功能语音网关支持。TTS不是安全运营场景中常用的工具,但如今已有众多基于深度学习实现的开放服务,已经非常容易获得。剧本逻辑较为简单,可根据实际情况很方便地进行调整。

推荐指数: ★★★

主要对接设备/系统:语音网关、IM工具、TTS服务(可选)、联系人Excel文件

 总结

企业所处行业不同、规模不同、安全体系建设进度不同、安全管理策略不同,所需要的自动化安全运营需求也不尽相同。因此,优先部署符合企业当前安全运营需求的剧本才是适合SOAR安全剧本实践的最佳策略;剧本应当随着企业自身安全体系的不断完善进行更新迭代,只要能以较低的成本最大程度提升安全运营团队效率和加固企业安全防御体系的剧本,就是企业自身的最佳实践SOAR剧本。

具体可以关注雾帜智能公众号回复“TOP 10”获取完整版。


文章来源: https://www.aqniu.com/vendor/82715.html
如有侵权请联系:admin#unsafe.sh