SOAR架构
调度引擎
工作流引擎可使用yaml编排,方便运营人员编写,及二次集成开发;
支持webhook触发器及Sensor,支持python,方便安全服务集成;
支持条件语条,fork/join等,满足安全工作流基本需求;
Sensor感应并触发事件;
Rules Engine对事件进行规则匹配,如果匹配,产生任务;
Worker执行任务,一般是调用到外部系统;
StackStorm记录审计任务执行的细节;
任务执行结果返回给Rules Engine进行进一步处理。
图形编排
安全剧本/安全组件
落地场景
高频场景
低频场景
ROADMAP
当前进展
实现了安全组件、安全剧本的代码编排以及图形化编排, 实现标准化的事件调查及响应流程,并有效缩短了MTTR。
运行效果如图 (部分内部敏感组件已隐藏)
针对移动端开发了对应小程序及群聊机器人,方便安全人员在移动端可以通过公司内部聊天软件实现ChatOPS及快速安全应急响应。群聊机器人,方便安全人员进行ChatOps。
完成移动端小程序开发,方便安全人员远程处置安全事件。
编排能力指标: 实现了35个安全组件,11个安全剧本,17个安全服务联动;
自动化能力指标: 评估每个安全剧本执行次数及人工触发执行次数;
能效指标: 目前包含自动化确认及协助调查节省的时间。
未来目标
支持更多SOAR组件,连接更多服务,保证组件复用率;
形成案件库及知识库,以便支持后续的智能分析预警,沉淀安全人员的处置经验;
更准确丰富度量指标,数据驱动决策。
通过安全编排自动化,提高事件响应和安全运营效率,并从根本上遏制和消除安全威胁。
参考
Introducing Winston — Event driven Diagnostic and Remediation Platform
傅奎: 争分夺秒——基于SOAR的应急响应加速解决方案
安全运营持续优化之路—— 基于ATT&CK+SOAR的运营实践
CyberSky-SOAR安全编排自动化与响应系统
Workflow Processing Engine Overview 2018: Airflow vs Azkaban vs Conductor vs Oozie vs Amazon Step Functions
Introducing Winston — Event driven Diagnostic and Remediation Platform
自动化响应技术如何提升事件响应效率 SOAR,为SOC插上一对隐形翅膀
也许你还想看
本文分享自微信公众号 - 爱奇艺技术产品团队(iQIYI-TP)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
来源:oschina
链接:https://my.oschina.net/u/4484233/blog/4885735