从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化

admin 2024年5月24日13:03:30评论13 views字数 2065阅读6分53秒阅读模式

家人们

从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化
从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化

点击上方蓝字关注我

从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化

SIEM 与 SOAR的关联

SIEM 为安全运营中心(SOCs)提供事件数据,通过整合安全事件管理(SEM)中的日志数据,并进行安全信息管理(SIM)分析,生成警报并发送给安全团队进行处理。虽然 SIEM 解决方案允许警报管理和分类,但通常这些任务由安全人员手动(或者做很多脚本)完成。

SOAR 是 SIEM 技术的进化版,两者都收集和聚合来自不同来源的威胁情报,以简化安全事件响应。然而,SOAR 通过收集更多数据、整合实时信息,并从外部和第三方获取数据,提升了数据利用率。它提供有上下文的警报和预定义的调查路径,并利用剧本进行高级自动化和机器学习。

总之,SIEM 生成警报,而 SOAR 智能管理和优先处理这些警报,提供更全面和自动化的响应。

介绍一下 Shuffle

Shuffle 一个 SOAR 平台,具有直观的无代码/低代码(很适合分析师)接口,支持多种安全工具集成。它可以通过云端和私有部署两种方式进行。云端部署提供快速部署、自动更新和弹性扩展的优势,而私有部署则确保数据控制和高度定制化,适用于需要严格数据隐私和安全控制的组织。Shuffle 的灵活性和强大的自动化能力,使其成为各种规模企业实现安全操作自动化的理想选择。本文介绍下基于云的 Shuffle 用法。

试用强大的免费版

官网:

https://shuffler.io/

直接点 Start for free,注册进去就可以用,对于中小企业来说,直接私有化部署或者用免费版就足够了,区别不大,我直接放上不同版本间差异的链接吧:

https://shuffler.io/pricing?tab=cloud

上手使用

注册完之后,进入面板即可,接下来先要理清楚几个概念。

概念解释

  1. Workflow在 Shuffle 中,workflow(工作流)指的是一系列用于处理安全事件和任务自动化步骤和操作。这些都是图形化的,允许用户通过拖放界面将不同的操作和逻辑连接起来,形成一个完整的自动化流程。包括但不限于数据收集、分析处理、响应行动、通知和报告等。

  2. Usecases:使用场景,每一个 Workflow 都对应一个或多个使用场景,例如响应场景中的封禁 IP 啊,信息收集场景中的邮件管理、SIEM to ticket、EDR to ticket 等等。

  3. Workflow Type:Trigger、Subflow 和 Standalone。Trigger是触发器,这种类型的工作流是由特定事件或条件触发的。例如,当从 SIEM 工具收到安全警报时,可以自动启动此工作流来处理该警报;Subflow 是子工作流,可以被其他工作流调用的工作流,实际工作中一般把重复性比较多的流程抽出来单独做一个Subflow;Standalone 是独立工作流,一般手动启动且不依赖于外部事件或条件的任务,比较适合突发时手动点一下的任务,例如应急响应,突发事件演练之类没法定时处理的任务。

  4. Input Fields:输入字段是工作流配置的一部分,允许用户在运行工作流时提供必要的参数和数据,这些输入字段可以使工作流更加灵活和动态,适应不同的操作需求,例如在事件响应时候输入 ID、紧急程度;或者手动启动某些工作流时候输入 IP 执行命令等。

一个 Workflow 例子:

新建一个测试工作流:

从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化

然后点进工作流内,界面差不多是这样子的:

从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化

用起来就是托托拽拽,和其他低代码平台大差不差,Shuffle 大概集成了两千个可用 App,可以理解成他们的工程师写了两千多个不同平台的接口集成进来,常用的有 AWS 的 S3、微软的 Entra ID、Cloudflare 的 API,甚至还有飞书的开放平台...假设你想用的 App Shuffle 没集成咋办呢?没关系,可以用 Python 自己写,开发者文档在这

https://shuffler.io/docs/app_creation

OK,接下来我托托拽拽,画一个粗略的流程:

从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化

用起来很方便,但我这个只是示例啊,不能这样做,包括提工单之类的流程我也没画,具体的每个节点该做啥配置也很简单,以我们用的 Palo Alto 为例:

从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化

配置很简单很人性化,配好各种 Key URL 和请求细节就能直接用,几乎不用做什么代码开发工作,而且 Shuffle 还支持飞书的 API 这是我没想到的,对于一个 Workflow 中每一个节点都可以简单配置,大大减轻了安全运营写自动化响应脚本的工作量。

最后

从上面的小例子可以看出,信息安全领域确实有很多难以落地、莫名其妙、吹得天花乱坠的概念,但 SOAR 还真不是,它是真的能帮运营减轻不停的写自动化脚本的工作量,也能尽量降低运营中的代码量,让入门的初级安全工程师也参与进事件响应流程来。

直观的无代码/低代码接口和强大的集成功能,使我们在 Shuffle 上进行安全操作自动化变得更加容易和高效。我相信,无论是通过云端部署还是私有部署,Shuffle 都能满足不同规模企业的安全需求。

点点赞 点点关注 点点文末广告 抱拳了家人

从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化
从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化

创作不易

关注一下

帮忙点点文末广告

从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化

从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化

从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化

原文始发于微信公众号(imBobby的自留地):从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月24日13:03:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从 SIEM 到 SOAR:如何通过 Shuffle 实现安全自动化http://cn-sec.com/archives/2773245.html

发表评论

匿名网友 填写信息