YD-T 4966-2024 安全编排自动化响应 SOAR 技术参考架构

- ICS 35.030 CCS M 10 YD 中华人民共和国通信行业标准 YD/T XXXXX—XXXX 安全编排自动化响应 (SOAR)技术参考架构 Technical reference architecture of security orchestration, automation and response （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施中华人民共和国工业和信息化部发布 YD/T XXXXX—XXXX I目次前言 ............................................................................ II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 缩略语 ............................................................................... 2 5 安全编排自动化响应技术参考架构 ....................................................... 2 5.1 概述 ............................................................................. 2 5.2 参考架构 ......................................................................... 2 5.3 主要功能单元描述 ................................................................. 3 5.4 工作流程 ......................................................................... 4 附录 A （资料性）安全编排自动化响应（ SOAR)的使用场景 .............................. 6 附录 B （资料性）安全编排自动化响应（ SOAR)的实施举例 .............................. 7 附录 C （资料性）安全编排自动化响应（ SOAR)的部署示例 .............................. 8 参考文献 ......................................................................... 9 YD/T XXXXX—XXXX II 前言本文件按照 GB/T 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国通信标准化协会提出并归口。本文件起草单位：杭州安恒信息技术股份有限公司 ,中国信息通信研究院、华为技术有限公司 ,中国电信集团有限公司 ,中兴通讯股份有限公司、北京启明星辰信息安全技术有限公司、北京天融信网络安全技术有限公司。本文件主要起草人：刘博、孟楠、戴方芳、谈修竹、王雪薇、田丽丹、林明峰、李强、薄明霞、林兆骥、胡毅勋、霍纪中、罗家强、陈星、柏雪、张光明、樊宁、田甜、宋磊、王龑。 YD/T XXXXX—XXXX 1 安全编排自动化响应 (SOAR)技术参考架构 1　范围本文件提出了安全编排自动化响应（ SOAR）的技术参考架构。本文件适用于指导安全编排自动化响应（SOAR）的使用方、运营方、研发方和第三方测评机构等对安全编排自动化响应进行设计、开发、测试、运维等。 2　规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 信息安全技术术语 3　术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。 3.1　信息安全事态 information security event 表明可能的信息安全违规或某些控制失效的发生。 [来源：GB/T 25069-2022,3.686 ] 3.2　信息安全事件 information security incident 与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态。 [来源：GB/T 25069-2022,3.684] 3.3　安全事件响应 security incident response 针对单个或一系列安全事件进行的响应活动。安全事件响应活动结束后，安全事件应极大程度上得到处理和解决。 3.4　安全编排 security orchestration 将工作流程中涉及的不同系统或一个系统内部的不同安全能力通过可编程接口（ API）封装后形成的安全能力接口、人工处理节点、逻辑判断等各类型流程节点按照一定的逻辑组合到一起，完成某个特定安全事件响应操作的过程。 3.5　安全剧本 security playbook 针对不同信息安全事件、不同场景制定的标准化工作流程，可长期留存在 SOAR系统中实现知识经验的沉淀。安全剧本将人、数据、流程、工具有效的结合在一起，实现自动化或半自动化的处置工作流。安全剧本是安全编排的形式化表述。 3.6　安全能力 security capability 对安全资源所具备的安全功能的统称。示例：防火墙类安全资源具备的阻断功能，即可被称为阻断安全能力。 3.7　安全能力接口 security capability API YD/T XXXXX—XXXX 2对安全资源所具备安全能力的封装，即将安全资源的安全能力封装成标准含义的、独立的 API对外提供服务，支持用于安全编排。 3.8　资源集成开发 resource integration development 针对某类安全设备进行服务化开发的过程。 3.9　工作流引擎 workflow engine 剧本执行实例化引擎，将待执行的安全剧本解析成机器可理解的工作流语言，并自动化执行剧本。工作流引擎通过定义良好的接口和契约将流程节点联系起来，对流程的流向、状态等进行管理。 4　缩略语下列缩略语适用于本文件。 API：应用编程接口（ Application Programming Interface ） SIEM：安全信息和事件管理（Security information and event management ） SOAR：安全编排自动化响应（ Security Orchestration, Automation and Response ） SOC：安全运营中心（ Security Operations Center） UI：用户界面（ User Interface ） 5　安全编排自动化响应技术参考架构 5.1　概述安全编排自动化响应技术是一种为安全运营人员在其团队中执行某些任务的过程中提供机器协助的解决方案。随着网络安全策略的不断演进，系统安全从简单防范方法的组合向融合检测、响应、预防的全新安全防护体系转变。 SOAR技术可用于增强组织在面临威胁时预测、防御、检测和响应等能力。 SOAR技术使用场景见附录 A，具体实施流程详见附录 B，部署方案详见附录 C。 5.2　参考架构安全编排自动化响应参考架构如图 1所示：图1　安全编排自动化响应（ SOAR)参考架构安全编排自动化响应参考架构应至少包括数据处理单元、响应策略控制单元、编排策略控制单元、安全能力集成单元。 YD/T XXXXX—XXXX 3—— 数据处理单元：可对接入的数据进行分析、处理，可将非结构化数据解析成 SOAR内部可流转的结构化数据； —— 响应策略控制单元：可集中管理响应策略配置参数，可针对不同数据实现响应策略规则制定、策略解析、策略执行； —— 编排策略控制单元：可通过安全编排设计器对安全事件响应流程中所需的安全能力接口、人工处理接口等资源进行管理，并实现编排策略的制定，可通过工作流引擎实现编排策略的解析、执行； —— 安全能力集成单元：可制定安全能力集成方式与接口对接方式