闲谈
每次攻防演练,连续的工作、紧张和休息不好搞的身心疲劳,这次有了SOAR,怎么发挥安全编排响应特点,把这半年积累的日常运营处置思路、剧本应用到攻防演练场景中,能让大家少熬个夜、轻松一点,是个让人振奋的事情。
本着充分发挥,有了锤子看什么全是钉子的精神,锤他!
小目标
之前SOAR主要在内部几个安全人员使用,攻防演练期间,涉及到多个部门、多个厂商、几十个伙伴。希望攻防演练期间,能在更省人力的情况下,更快速的遏制攻击、完成溯源。
现状
1、目前公司网络环境建设有态势感知、防火墙、漏扫、威胁情报、WAF、主机安全等系统,具备对安全事件进行事前防护、事中检测和处置能力,有完整的事件处置流程。
攻防演练中监控组、分析研判组、溯源组、处置组的分工,处置流程如下:
2、在攻防演练期间安全事件至少是日常的2-3倍,需要改进如下问题:
-
在攻防演练中,各安全组之间协同、衔接工作多,大量安全事件需要各组进行配合、处置。
-
目前SOAR已经异构安全设备联动起来。在事件多、时间紧的时候,还是会出现分析、研判时间不够的情况,只能采用从严处理的办法,先封禁再分析,对于业务存在一定影响。
-
外部支持人员虽然对所操作设备熟悉,因对部分设备具有读写权限,在紧张、疲劳的氛围下存在误操作风险。
解决办法
解决思路
借助SOAR,将挖矿、僵木蠕等可以准确告警的事件,由剧本自动完成处置工作;对于需要人工介入、分析研判的事件,将安全处置组工作进行编排,加速事件响应。按攻防演练要求,调整现有剧本逻辑:
(1)建立处置模型,将各安全组之间的协同流程进行SOAR编排,解决流转过程自动化。Ps:这里的“模型”是SOAR产品自带的一个功能,不是之前说的“主剧本”啊。
(2)将监控组、分析研判组、处置组各自经常进行的工作内容进行编排,在接到事件后,做到半自动、自动化的开展响应工作。
(3)按攻防演练要求,调整、补充现有剧本逻辑,与各安全组工作内容相对应。
(4)为参与攻防演练人员创建账户,严格限制SOAR系统使用权限;
Ps:SOAR系统在工作中涉及到的设备对接、剧本等操作,之前已做过介绍,相关内容可以参考前期文稿。以下将重点阐述如何结合将剧本与各安全组的工作内容相结合,剧本逻辑只做简要说明,非剧本真实逻辑设计。
解决办法
以下结合攻防演练各组的工作职责,做了一个攻防演练模型,每个组工作内容尽可能通过剧本实现,各组之间的工作衔接由模型实现:
攻防演练模型
(1)安全事件监控
① 将上游预警系统事件接入到响应平台SOAR,先根据事件特征进行去重、归并,将解析告警信息,对确认的告警事件,自动开展处置,根据处置动作不同,由管理员审批。并告知安全管理员处置结果。
② 对新出现的、需要分析研判的安全事件,主动通知安全运营团队,自动拉事件相关处置人员入作战室,研判。
安全事件监控、解析
(2)安全事件分析、研判
① SOAR系统自动对告警事件信息进行丰富增强,获取更多情报信息:自动查威胁情报、受攻击资产信息、
② SOAR系统自动拉事件相关处置人员入,研判。
蜜罐告警事件信息增强场景
通用告警事件信息增强场景
(3)安全事件处置
该项工作由事件处置组完成,在处置时,需要在多个类别、多台封禁设备上批量封禁IP,需要考虑不同品牌设备的特性。通过SOAR,自行判断设备类型特点、判断封禁条件。
事件处置场景--IP自动封禁
Ps:上面设计的是需要人工介入、分析研判的事件处置方法。之前介绍过自动处置剧本,这里只将调整后的、与处置模型对应的、自动处置剧本列出来晒晒。注:这个剧本处置模型用不到,调整剧本的目的只是为了剧本更规范些,以后里面的子剧本可以被其他剧本调用。
安全事件自动处置
预期效果
通过soar技术将事件处置流程、各孤立的安全设备、人员进行剧本编排、将孤立防御过渡到整体防御;
通过SOAR系统,将各安全组工作,从线下搬到线上,各组在SOAR平台上完成工作指派、信息同步、信息排查、处置进度跟进,减少处置事件过程中的等待、处置时间
注:下图中标记绿色的环节,是通过SOAR进行加速、或自动化的工作环节,帮助安全人员完成重复、耗时的工作。
预期效果
原文始发于微信公众号(德斯克安全小课堂):安全编排自动化响应SOAR项目记录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论