剧本最佳实践 Top 10 SOAR 安全剧本最佳实践 By 庄庆华@雾帜智能 2022 04/12 TOP 10 SOAR 安全剧本最佳实践 TOP 10 SOAR 安全剧本最佳实践 主编：庄庆华（雾帜智能剧本专家） 2022/04/12 前言         在SOAR系统当中，剧本承载的是结合人、工具、安全设备和工作流的数字化安全过程，是 安全自动化和数字化的核心元素。         SOAR总的发展历程较短，真正开始起步的时间应该是2017年Gartner对其命名的确定，即安 全编排自动化与响应（Security Orchestration Automation and Response）。因此，可以从公开 领域获取的实践案例剧本数量非常有限，国内企业的实践剧本更是寥寥无几。         值得庆祝的是过去3年，随着国产SOAR产品的不断成熟，越来越多的国内企业也开始践行将 SOAR平台作为安全基础架构的核心部分，帮助解决安全运营中的“安全、成本和效率”的三体问 题，即在兼顾安全的情况下，平衡安全运营成本和效率。         我们邀请过去3年中部分已经部署或即将部署雾帜SOAR（HoneyGuide）的客户进行了一对 一的访谈。在本次访谈中，我们一共收集了将近400个在用剧本。我们的专家团队对这400个剧本 和我们已有的剧本仓库中的100多个剧本模板，总计约500个剧本进行了统计、分析和评估。最 终，我们从中整理了10个被认为通用且最有价值的优秀剧本，借本次产品发布会的机会分享给大 家。这些剧本涵盖事件响应、漏洞管理和应急预案等多个方面，希望能抛砖引玉，与大家探讨 SOAR剧本的最佳实践。 剧本最佳实践         什么样的剧本是好剧本？         目前来说，这尚未有标准。结合我们客户的访谈反馈和分析结果，我们认为一个好的剧本至 少具备以下特征中的一个： 集成联动型：这类剧本自动化调用多种安全设备/系统，实现自动化或半自动化的安全响应。 可以在不增加或不更换设备的情况下，提升企业整体防御的安全性。 日常事务型：用于辅助处理如漏洞管理、威胁情报管理等日常运营事务的剧本。这类剧本融 入到安全运营人员的日常事务和企业流程当中，或是能大大简化流程，或是能减少人工操 作，以大幅减少运营人员的日常琐事。 综合工具型：这类剧本旨在简化某一种或多种工具的操作；一般是集合了多种技术的剧本。 帮助安全人员以较低的学习成本，使用一种或多种复杂的技术，也帮助解决在实际运营中专 家人手不足时，人员补位的痛点。 © 上海雾帜智能科技有限公司 2022 TOP 10 SOAR 安全剧本最佳实践 应急预案型：这类剧本通常是冷剧本，需要手动执行，用于推动一个或多个工作流的执行。 帮助团队应对突发的紧急情况。         另外，我们把一个剧本的使用频率和通用性也纳入了考量当中。除了“应急预案型”的剧本， 如果一个剧本在部署落地后，几乎没有被使用，那么我们可以认为该剧本没有达到它需要实现的 目标或是实现的是一个伪需求。         当然，因实际客户的业务差异，相同的剧本在不同的环境的需求是不同的。如有部分开箱即 用的剧本在A客户处完全没有被使用，但在B客户那却被频繁地使用。因此，我们尽可能地挑选通 用性较高的剧本，至少是有一定的用户量的剧本。         本次分享的剧本都已经做了脱敏，并删除或替换了一些调用非通用或客户自研设备/系统的 节点。我们通过对比和筛选，将多个相近的剧本做了一定整合，并进行了优化。 剧本列表 序号 剧本名称 特征类型 推荐指数 1 阶梯式自动化响应剧本 集成联动型 ★★★★★ 2 恶意软件事件预处置剧本 集成联动型 ★★★★★ 3 资产漏洞扫描管理 日常事务型 ★★★★ 4 临时策略自动化管理 日常事务型 ★★★★ 5 可疑邮件分析处置剧本 集成联动型+综合工具型 ★★★★★ 6 IP/域名多维信息查询剧本 综合工具型 ★★★★★ 7 恶意Web请求分析和响应 集成联动型+综合工具型 ★★★★★ 8 混合云环境响应剧本 集成联动型 ★★★★ 9 Web页面信息泄露事件响应 应急预案型 ★★★ 10 通用紧急呼叫剧本 应急预案型 ★★★ <推荐指数>说明 最高5颗星，是综合剧本在访谈对象中的部署占比、反馈评价、通用性和实施难度等得出的。 © 上海雾帜智能科技有限公司 2022 TOP 10 SOAR 安全剧本最佳实践 推荐指数 说明 ★★★★★ 强烈推荐，具备通用性，推荐优先实施 ★★★★ 非常推荐，具备通用性，实施难度不大 ★★★ 一般推荐，具备通用性，但有实施难度 ★★ 不具备通用性，且有实施难度（本次分享不包含此类剧本） ★ 不推荐，伪需求（本次分享不包含此类剧本） 本次分享的剧本当中有些用到了雾帜HoneyGuide的高级编排功能，如异步节点、后置节点 和数组循环展开等。日后，有机会给大家详细介绍。 剧本详细 No.1 阶梯式自动化响应剧本（集成联动型） 剧本描述         这是个比较典型的自动化响应剧本，也是比较典型的阶梯式封禁剧本，SOAR接收到上游的 SIEM和态势感知等发送的特定类型的事件或者IP列表后，会自动触发该类剧本。 剧本主要步骤如下： 1. 查询IP白名单；存在于白名单内的地址，只向钉钉值班群通知，不做处理。 2. 查询非白名单内地址的归属地信息；根据归属地的不同实施不同的封禁策略。 国外地址：永久封禁处理 © 上海雾帜智能科技有限公司 2022 TOP 10 SOAR 安全剧本最佳实践 国内地址：根据命中次数和黑名单命中情况，进行阶梯式封禁 24小时命中1次：封禁1小时 6小时命中2次：封禁4小时 24小时命中4次：永久封禁 命中黑名单：永久封禁（注：实际应用中，黑名单提取自威胁情报） 3. 自动解封：封禁时间到自动解封，通过延迟X小时（封禁时间）后执行解封动作实现。         实际应用中，也需要使用剧本对”永久封禁“的地址列表进行维护，大多数用户选择使用支持 定期自动任务的剧本，每3个月执行一次清理；有些客户将该剧本中的归属地查询替换成威胁情 报，通过联动威胁情报的IP分析功能，可以进一步提高封禁的准确度。当然也有些客户选择在上 游SIEM联动威胁情报，将事件进一步过滤后发送给SOAR。这两种方法各有优劣，这里就不展开 讨论了。 推荐指数: ★★★★★ 主要对接设备/系统：SIEM/态势感知/SoC 、WAF/FW/IPS/ADS、IP归属地数据库/威胁情报系统 推荐理由和效果收益         封禁IP是一种常用且有效的遏制手段，无奈实际应用中工作量大、重复枯燥，还可能意外影 响到业务。这个剧本应用阶梯式封禁和全局黑白名单， 这是一种业务友好的封禁方式，对有ACL 长度限制的封禁设备的冲击也是比较小，全程无需人工参与，可以高效且准确地对攻击方实施打 击遏制。另外，由SOAR统一维护的全局黑白名单，省去了不同设备间同步配置的麻烦；由SOAR 控制的统一封禁策略，也使得原本不具备阶梯式封禁能力的设备同样实现阶梯封禁的效果，免去 复杂配置或升级的麻烦。 © 上海雾帜智能科技有限公司 2022 TOP 10 SOAR 安全剧本最佳实践 人工方式 剧本方式 剧本效益/ 提升 时间消耗 >8小时 <0.1小时 >8000% 响应及时率 视团队人数和事件数量，及时率普遍 低于50% 100% >200% 业务误封概 率 较大机率 较小机率 精准防护 白名单 一定几率忽视 自动 准确匹配 黑名单/威胁 情报 工作量巨大，不常用 自动 准确匹配 设备配置优 化 困难低效，需要不定期手动维护ACL, 地址组等 简易高效，定期自 动维护 最优化 注：以每100条事件计算和评估；5分钟内完成响应；人工方式参与人数为1人 No.2 恶意软件事件预处置剧本（集成联动型） 剧本描述         这个剧本集成联动了HIDS服务器、防病毒服务器和资产管理系统。通过HIDS服务器/防病毒 服务器主动将客户端更新、发起扫描等任务推送给客户端；并通过内部的资产管理系统（剧本中 为CMDB）查找对应的资产负责人，并将结果通过邮件反馈给资产负责人/所有者/资产组管理 员。 剧本主要步骤如下： © 上海雾帜智能科技有限公司 2022 TOP 10 SOAR 安全剧本最佳实践 1. 查询HIDS服务器，并判断事件涉及的主机是否安装HIDS客户端或杀毒客户端 2. 查询CMDB获取资产负责人/所有者，及资产所在资产组管理员的信息（邮箱等信息） 3. 根据HIDS返回的客户端安装情况，执行相应操作： 有杀毒客户端：更新并启动杀毒 有HIDS客户端：启动后门查杀 未装任何客户端：邮件通知资产负责人/所有者/资产组管理员 4. 将异常结果通知资产负责人/所有者，如果没有查询到资产负责人/所有者，则通知资产组管 理员： 未装任何客户端 杀毒软件更新失败 杀毒或后门查杀发现了异常 推荐指数: ★★★★★ 主要对接设备/系统：SIEM/态势感知/SoC 、HIDS服务端、杀毒软件服务端 推荐理由和效果收益         这类响应工作流是处置”恶意软件事件“的初步工作，是最典型的需要自动化的工作。一方面 这类工作几乎没有技术含量，而且在主机较多的环境中，发生的频率还是非常高的；另一方面操 作步骤虽然简单但却非常繁多，需要在多个界面来回切换，还需将处置结果手工反馈给多方相关 的人员，总体上非常的耗费人力；因此，这类工作正是满足了可以自动化且应该自动化的条件。 人工方式 剧本方式 剧本效 益/提升 时间消耗 >16小时 <1.6小时 >1000% 响应启动 及时率 视团队人数和事件数量，加上需要耗时等待 查杀结果，及时率普遍低于20% 100% >500% 关联人员 通知率 约80%，受CMDB数据的完备性影响较小 约90%，受CMDB数 据的完备性影响 略有提 升 查杀通知 及时程度 不及时，一般在4小时左右，甚至更长 及时，查杀结束立 即通知 明显提 升 注：以每100条事件计算和评估；每条60分钟内启动响应；人工方式参与人数为1人；假设一次查 杀约1小时，时间消耗包含查杀时间。 © 上海雾帜智能科技有限公司 2022 TOP 10 SOAR 安全剧本最佳实践 No.3 资产漏洞扫描管理（日常事务型） 剧本描述         该剧本的逻辑比较简单，通过SOAR剧本调用扫描器对主机进行漏洞扫描，扫描结束后，如 果存在中高危漏洞，则启动相应流程（该剧