安全運(yùn)營迎來 SOAR 時代 智能編排 自動運(yùn)營奇安信

安全運(yùn)營迎來SOAR時代智能編排自動運(yùn)營人員不足、技能有限工作太多、忙不過來響應(yīng)時間太長、手工操作太多難以及時止損大量告警，處理不過來孰輕孰重？產(chǎn)生“告警疲勞”運(yùn)行工具碎片化人、工具、流程三者之間缺乏協(xié)同整合協(xié)作運(yùn)行工具碎片化人、工具、流程三者之間缺乏協(xié)同運(yùn)行知識都在個人腦子里難以傳承，無法積累運(yùn)行知識都在個人腦子里難以傳承，無法積累奇安信SOAR是一個將安全運(yùn)營相關(guān)的團(tuán)隊(duì)、工具和流程通過編排和自起的，有序處理多源數(shù)據(jù)，持續(xù)進(jìn)行安全告警分診與調(diào)查、案例處置、協(xié)同作戰(zhàn)、事件響應(yīng)，并最置實(shí)現(xiàn)聯(lián)防聯(lián)控特殊運(yùn)維期間，每天所有堡壘機(jī)帳號會強(qiáng)制停用關(guān)閉，需要運(yùn)維人員在工單系統(tǒng)當(dāng)中提出申請，申請通過之后，由安全運(yùn)維人員，根據(jù)工單的要求，激活相應(yīng)的運(yùn)維帳號，然后運(yùn)維人員才能開始當(dāng)天運(yùn)維工作。此類操作標(biāo)準(zhǔn)化程度高、重復(fù)性高、費(fèi)時費(fèi)力而且容易出錯。常規(guī)運(yùn)維流程設(shè)計(jì)如下：?填寫工單，申請權(quán)限(5分鐘)；?拷貝工單中的賬號，在堡壘機(jī)中激活申請的賬號（3分鐘）；?登錄HAC堡壘機(jī)（5分鐘）；?開通賬號（5分鐘）；?更改賬號狀態(tài)（1分鐘）；?郵件通知賬號使用者賬號已激活（3分鐘）。每次用時：22分鐘頻率：準(zhǔn)實(shí)時步驟（自動化）：?從工單中獲取要激活的賬號（<5s?從堡壘機(jī)中提取用戶賬號(<5s)；?無需激活時，直接郵件通知堡壘機(jī)管理員(<5s)；?激活堡壘機(jī)的用戶賬號(<5s)；?將賬號激活結(jié)果郵件通知管理員和賬號所有者(<5s)。每次用時：1分鐘頻率：實(shí)時 郵件通知郵件通知開通賬號開通賬號總時長開始-結(jié)束獲取堡壘機(jī)賬號（工單<1分鐘<1分鐘態(tài)服務(wù)器發(fā)現(xiàn)惡意文件產(chǎn)生告警，安全分析人員只能根據(jù)很有限的信息進(jìn)行判斷，無法對具體的文件內(nèi)容進(jìn)行判斷，需要找到惡意文件，進(jìn)行文件級別的分析和判斷，最終關(guān)閉告警事件，常規(guī)運(yùn)維流程設(shè)計(jì)如下：）：?從NGSOC中發(fā)現(xiàn)惡意文件告警（2分鐘?轉(zhuǎn)到EDR（椒圖）中，找到該告警對應(yīng)的惡意文件的下載地址（5分鐘）；?將惡意文件下載到本地并壓縮加密（避免惡意文件被誤運(yùn)行）（3分鐘）；?將本地的惡意文件上傳到沙箱（錫安）（2分鐘）；?上傳后，沙箱（錫安）會進(jìn)行惡意文件的相關(guān)檢測，并查看檢測報告（3分鐘）。每次用時：15分鐘頻率：準(zhǔn)實(shí)時步驟（自動化）：?從惡意文件告警中自動獲取告警信息（<5s?從告警信息中獲取文件存放路徑(<5s)；?從椒圖中自動下載惡意文件到本地并自動壓縮加密(<10s)；?將惡意文件上傳到錫安平臺（自動解密解壓）(<10s)；?上傳完成后，SOAR可通過報告地址查看檢測報告(<10s)。每次用時：1分鐘頻率：實(shí)時上傳文件到沙箱上傳文件到沙箱總時長開始-結(jié)束查看檢測報告下載文件總時長開始-結(jié)束查看檢測報告下載文件信息來源查找文件鏈接<1分鐘HW時，攻防主動出擊，守方被動防守。攻防通常會使用自動化的偵查、攻擊等手段進(jìn)行高強(qiáng)度的滲透；在這個過程中，會使用大量的IP地址。對于守方來說，如果僅通過人工來進(jìn)行分析研判，基本上是不可能應(yīng)付得了的。因此，我們可通過對這些攻擊進(jìn)行初步的分析并歸類，然后針對這些IP直接封禁。常規(guī)運(yùn)維流程設(shè)計(jì)如下：步驟（人工）：HW時會分為監(jiān)測組、研判組、處置組、業(yè)務(wù)組；?告警監(jiān)測組通過SOC或SIEM等進(jìn)行告警綜合監(jiān)控，初步篩選后提交告警研判組(10分鐘)；?告警研判組拿到告警后，結(jié)合情報等工具進(jìn)行核驗(yàn)，將確認(rèn)為攻擊的外部源IP交給告警處置組進(jìn)行封禁；將失陷的設(shè)備交由業(yè)務(wù)主管審批，下線或者消除威脅（20分鐘）；?告警處置組進(jìn)行封禁（5分鐘）。每次用時：35分鐘頻率：隨時/HW期間步驟（自動化）：?檢查源IP是否在白名單內(nèi)，是則下一步，否則結(jié)束劇本（<5s）?檢查源IP是否在封禁列表，是則結(jié)束劇本，不是則下一步（<5s）?微步在線核驗(yàn)，是則協(xié)同防火墻封禁，否則走下一步（<5s）?威脅情報核驗(yàn)，是則協(xié)同防火墻封禁，否則結(jié)束劇本（<5s）?將源IP加入封禁列表（<5s）?郵件通知管理員（<5s）每次用時：1分鐘頻率：實(shí)時 設(shè)備設(shè)備設(shè)備設(shè)備設(shè)