剧本最佳实践 Top 10 SOAR 安全剧本最佳实践 By 庄庆华@雾帜智能 2022 04/12 TOP 10 SOAR 安全剧本最佳实践 TOP 10 SOAR 安全剧本最佳实践 主编:庄庆华(雾帜智能剧本专家) 2022/04/12 前言 在SOAR系统当中,剧本承载的是结合人、工具、安全设备和工作流的数字化安全过程,是 安全自动化和数字化的核心元素。 SOAR总的发展历程较短,真正开始起步的时间应该是2017年Gartner对其命名的确定,即安 全编排自动化与响应(Security Orchestration Automation and Response)。因此,可以从公开 领域获取的实践案例剧本数量非常有限,国内企业的实践剧本更是寥寥无几。 值得庆祝的是过去3年,随着国产SOAR产品的不断成熟,越来越多的国内企业也开始践行将 SOAR平台作为安全基础架构的核心部分,帮助解决安全运营中的“安全、成本和效率”的三体问 题,即在兼顾安全的情况下,平衡安全运营成本和效率。 我们邀请过去3年中部分已经部署或即将部署雾帜SOAR(HoneyGuide)的客户进行了一对 一的访谈。在本次访谈中,我们一共收集了将近400个在用剧本。我们的专家团队对这400个剧本 和我们已有的剧本仓库中的100多个剧本模板,总计约500个剧本进行了统计、分析和评估。最 终,我们从中整理了10个被认为通用且最有价值的优秀剧本,借本次产品发布会的机会分享给大 家。这些剧本涵盖事件响应、漏洞管理和应急预案等多个方面,希望能抛砖引玉,与大家探讨 SOAR剧本的最佳实践。 剧本最佳实践 什么样的剧本是好剧本? 目前来说,这尚未有标准。结合我们客户的访谈反馈和分析结果,我们认为一个好的剧本至 少具备以下特征中的一个: 集成联动型:这类剧本自动化调用多种安全设备/系统,实现自动化或半自动化的安全响应。 可以在不增加或不更换设备的情况下,提升企业整体防御的安全性。 日常事务型:用于辅助处理如漏洞管理、威胁情报管理等日常运营事务的剧本。这类剧本融 入到安全运营人员的日常事务和企业流程当中,或是能大大简化流程,或是能减少人工操 作,以大幅减少运营人员的日常琐事。 综合工具型:这类剧本旨在简化某一种或多种工具的操作;一般是集合了多种技术的剧本。 帮助安全人员以较低的学习成本,使用一种或多种复杂的技术,也帮助解决在实际运营中专 家人手不足时,人员补位的痛点。 © 上海雾帜智能科技有限公司 2022 TOP 10 SOAR 安全剧本最佳实践 应急预案型:这类剧本通常是冷剧本,需要手动执行,用于推动一个或多个工作流的执行。 帮助团队应对突发的紧急情况。 另外,我们把一个剧本的使用频率和通用性也纳入了考量当中。除了“应急预案型”的剧本, 如果一个剧本在部署落地后,几乎没有被使用,那么我们可以认为该剧本没有达到它需要实现的 目标或是实现的是一个伪需求。 当然,因实际客户的业务差异,相同的剧本在不同的环境的需求是不同的。如有部分开箱即 用的剧本在A客户处完全没有被使用,但在B客户那却被频繁地使用。因此,我们尽可能地挑选通 用性较高的剧本,至少是有一定的用户量的剧本。 本次分享的剧本都已经做了脱敏,并删除或替换了一些调用非通用或客户自研设备/系统的 节点。我们通过对比和筛选,将多个相近的剧本做了一定整合,并进行了优化。 剧本列表 序号 剧本名称 特征类型 推荐指数 1 阶梯式自动化响应剧本 集成联动型 ★★★★★ 2 恶意软件事件预处置剧本 集成联动型 ★★★★★ 3 资产漏洞扫描管理 日常事务型 ★★★★ 4 临时策略自动化管理 日常事务型 ★★★★ 5 可疑邮件分析处置剧本 集成联动型+综合工具型 ★★★★★ 6 IP/域名多维信息查询剧本 综合工具型 ★★★★★ 7 恶意Web请求分析和响应 集成联动型+综合工具型 ★★★★★ 8 混合云环境响应剧本 集成联动型 ★★★★ 9 Web页面信息泄露事件响应 应急预案型 ★★★ 10 通用紧急呼叫剧本 应急预案型 ★★★ <推荐指数>说明 最高5颗星,是综合剧本在访谈对象中的部署占比、反馈评价、通用性和实施难度等得出的。 © 上海雾帜智能科技有限公司 2022 TOP 10 SOAR 安全剧本最佳实践 推荐指数 说明 ★★★★★ 强烈推荐,具备通用性,推荐优先实施 ★★★★ 非常推荐,具备通用性,实施难度不大 ★★★ 一般推荐,具备通用性,但有实施难度 ★★ 不具备通用性,且有实施难度(本次分享不包含此类剧本) ★ 不推荐,伪需求(本次分享不包含此类剧本) 本次分享的剧本当中有些用到了雾帜HoneyGuide的高级编排功能,如异步节点、后置节点 和数组循环展开等。日后,有机会给大家详细介绍。 剧本详细 No.1 阶梯式自动化响应剧本(集成联动型) 剧本描述 这是个比较典型的自动化响应剧本,也是比较典型的阶梯式封禁剧本,SOAR接收到上游的 SIEM和态势感知等发送的特定类型的事件或者IP列表后,会自动触发该类剧本。 剧本主要步骤如下: 1. 查询IP白名单;存在于白名单内的地址,只向钉钉值班群通知,不做处理。 2. 查询非白名单内地址的归属地信息;根据归属地的不同实施不同的封禁策略。 国外地址:永久封禁处理 © 上海雾帜智能科技有限公司 2022 TOP 10 SOAR 安全剧本最佳实践 国内地址:根据命中次数和黑名单命中情况,进行阶梯式封禁 24小时命中1次:封禁1小时 6小时命中2次:封禁4小时 24小时命中4次:永久封禁 命中黑名单:永久封禁(注:实际应用中,黑名单提取自威胁情报) 3. 自动解封:封禁时间到自动解封,通过延迟X小时(封禁时间)后执行解封动作实现。 实际应用中,也需要使用剧本对”永久封禁“的地址列表进行维护,大多数用户选择使用支持 定期自动任务的剧本,每3个月执行一次清理;有些客户将该剧本中的归属地查询替换成威胁情 报,通过联动威胁情报的IP分析功能,可以进一步提高封禁的准确度。当然也有些客户选择在上 游SIEM联动威胁情报,将事件进一步过滤后发送给SOAR。这两种方法各有优劣,这里就不展开 讨论了。 推荐指数: ★★★★★ 主要对接设备/系统:SIEM/态势感知/SoC 、WAF/FW/IPS/ADS、IP归属地数据库/威胁情报系统 推荐理由和效果收益 封禁IP是一种常用且有效的遏制手段,无奈实际应用中工作量大、重复枯燥,还可能意外影 响到业务。这个剧本应用阶梯式封禁和全局黑白名单, 这是一种业务友好的封禁方式,对有ACL 长度限制的封禁设备的冲击也是比较小,全程无需人工参与,可以高效且准确地对攻击方实施打 击遏制。另外,由SOAR统一维护的全局黑白名单,省去了不同设备间同步配置的麻烦;由SOAR 控制的统一封禁策略,也使得原本不具备阶梯式封禁能力的设备同样实现阶梯封禁的效果,免去 复杂配置或升级的麻烦。 © 上海雾帜智能科技有限公司 2022 TOP 10 SOAR 安全剧本最佳实践 人工方式 剧本方式 剧本效益/ 提升 时间消耗 >8小时 <0.1小时 >8000% 响应及时率 视团队人数和事件数量,及时率普遍 低于50% 100% >200% 业务误封概 率 较大机率 较小机率 精准防护 白名单 一定几率忽视 自动 准确匹配 黑名单/威胁 情报 工作量巨大,不常用 自动 准确匹配 设备配置优 化 困难低效,需要不定期手动维护ACL, 地址组等 简易高效,定期自 动维护 最优化 注:以每100条事件计算和评估;5分钟内完成响应;人工方式参与人数为1人 No.2 恶意软件事件预处置剧本(集成联动型) 剧本描述 这个剧本集成联动了HIDS服务器、防病毒服务器和资产管理系统。通过HIDS服务器/防病毒 服务器主动将客户端更新、发起扫描等任务推送给客户端;并通过内部的资产管理系统(剧本中 为CMDB)查找对应的资产负责人,并将结果通过邮件反馈给资产负责人/所有者/资产组管理 员。 剧本主要步骤如下: © 上海雾帜智能科技有限公司 2022 TOP 10 SOAR 安全剧本最佳实践 1. 查询HIDS服务器,并判断事件涉及的主机是否安装HIDS客户端或杀毒客户端 2. 查询CMDB获取资产负责人/所有者,及资产所在资产组管理员的信息(邮箱等信息) 3. 根据HIDS返回的客户端安装情况,执行相应操作: 有杀毒客户端:更新并启动杀毒 有HIDS客户端:启动后门查杀 未装任何客户端:邮件通知资产负责人/所有者/资产组管理员 4. 将异常结果通知资产负责人/所有者,如果没有查询到资产负责人/所有者,则通知资产组管 理员: 未装任何客户端 杀毒软件更新失败 杀毒或后门查杀发现了异常 推荐指数: ★★★★★ 主要对接设备/系统:SIEM/态势感知/SoC 、HIDS服务端、杀毒软件服务端 推荐理由和效果收益 这类响应工作流是处置”恶意软件事件“的初步工作,是最典型的需要自动化的工作。一方面 这类工作几乎没有技术含量,而且在主机较多的环境中,发生的频率还是非常高的;另一方面操 作步骤虽然简单但却非常繁多,需要在多个界面来回切换,还需将处置结果手工反馈给多方相关 的人员,总体上非常的耗费人力;因此,这类工作正是满足了可以自动化且应该自动化的条件。 人工方式 剧本方式 剧本效 益/提升 时间消耗 >16小时 <1.6小时 >1000% 响应启动 及时率 视团队人数和事件数量,加上需要耗时等待 查杀结果,及时率普遍低于20% 100% >500% 关联人员 通知率 约80%,受CMDB数据的完备性影响较小 约90%,受CMDB数 据的完备性影响 略有提 升 查杀通知 及时程度 不及时,一般在4小时左右,甚至更长 及时,查杀结束立 即通知 明显提 升 注:以每100条事件计算和评估;每条60分钟内启动响应;人工方式参与人数为1人;假设一次查 杀约1小时,时间消耗包含查杀时间。 © 上海雾帜智能科技有限公司 2022 TOP 10 SOAR 安全剧本最佳实践 No.3 资产漏洞扫描管理(日常事务型) 剧本描述 该剧本的逻辑比较简单,通过SOAR剧本调用扫描器对主机进行漏洞扫描,扫描结束后,如 果存在中高危漏洞,则启动相应流程(该剧
雾帜智能 TOP 10 SOAR 安全剧本最佳实践520
文档预览
中文文档
24 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共24页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-09-01 06:36:02上传分享