全部產品
Search
文件中心

Security Center:響應編排

更新時間:Dec 27, 2024

威脅分析與響應服務響應編排SOAR (Security Orchestration, Automation and Response) 是一種綜合性的安全解決方案,通過將不同的系統或服務按照一定的邏輯進行編排串連,實現安全營運的自動化編排和快速響應,旨在加強企業安全防禦,提高安全事件響應效率。本文介紹如何使用響應編排功能。

背景資訊

在基礎安全領域,安全專家有大量日常瑣碎的簡單工作,如安全性稽核、木馬和挖礦軟體處理等。這些工作佔用了進階安全專家的大量精力。熟悉企業內部環境、瞭解對手資訊、具備研究攻擊者行為模式的安全專家,沒有辦法投入更多精力到重要的網路對抗和安全研究等工作中。

而響應編排的目標是將日常工作自動化、流程化,提升安全響應速度,將安全專家從日常繁重瑣碎的工作中解放出來,集中精力對抗進階持續攻擊(APT)。日常工作流程也可作為可解釋、可執行檔規範沉澱在產品內,更利於經驗的傳承。

基本概念

開始使用響應編排之前,您需要先瞭解以下概念:

概念

解釋

劇本(PlayBook)

劇本是一個預定義的、結構化的響應計劃,用於處理特定類型的事件或威脅。劇本詳細列出了在某些觸發條件(如檢測到特定安全事件)下應採取的步驟和操作。

劇本可作為自動響應規則的規則動作,實現對警示和事件的自動化處置。

一個劇本中有且僅有一個流程。在劇本中可對流程進資料列版本設定、輸入輸出測試、運行次數和結果統計等操作。

流程(Process)

流程是一系列順序執行的任務或操作,通過預定義的步驟實現某個特定的目標或功能。

編寫一個自動化流程與繪製一個標準流程圖相同,包括開始、判斷、動作和結束節點。您可以建立自動通知、自動止血等多種類型的自動化流程。流程由多個相串連的組件構成。流程定義完成後可被外部觸發,例如,當新工單產生時自動觸發自動審核工單流程

您可以通過可視化流程編輯畫布,定義每個節點的組件動作,例如,定義終端管理組件的禁用網路動作。

組件(Component)

組件對應一個外部的系統或服務,例如WAF、防火牆、工單系統、資料庫或通知服務。通過向外延展群組件的方式豐富產品能力。組件可以理解為是一個串連外部服務的連接器(Connector),組件自身不承擔複雜邏輯,複雜邏輯都是由元件連線的系統或服務提供。選擇組件後,您還需要選擇組件對應的資產和動作。

組件包含流程編排組件、基礎編排組件和安全應用組件。

資源執行個體(Resource Instance)

資產可以理解為是外部服務的串連資訊。以MySQL組件為例,企業內部可能存在多套MySQL系統,您首先需要確定串連到哪個資料庫中。

動作(Action)

動作是組件提供的能力,一個組件可以有多個動作。以終端管理軟體為例,會有禁用帳號、隔離網路、推播通知等動作。

步驟一:新增劇本

劇本是指預先定義好的邏輯流程或指令碼,用於對安全事件進行識別、分類、判斷和響應。劇本包括一系列步驟,用於執行特定的操作,以確定是否存在安全威脅,如何響應和緩解威脅。劇本可以根據不同的安全事件類型和層級進行定製和配置,以適應不同的安全需求。通過使用劇本,響應編排可以協助您提高安全響應的效率和一致性。

  1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

  2. 在左側導覽列,選擇威脅分析與響應 > 響應編排

  3. 自訂劇本頁簽,單擊新增劇本

  4. 新增劇本面板,輸入劇本名稱和描述資訊,然後單擊確定

  5. 劇本編輯頁面,根據需求編排劇本。

    劇本編輯

    序號

    說明

    1

    功能表列,顯示操作按鈕。

    • 保存:在畫布中編輯劇本後,單擊保存,將當前的劇本儲存為草稿版。

      草稿版為短期狀態,使用正式版復原後,可能會覆蓋已儲存的草稿版。如果需要將劇本持久化儲存,請單擊儲存並發布

    • 檢測:檢查劇本流程是否異常,僅當檢測無異常時才可發布劇本。

    • 儲存並發布:儲存劇本,並將劇本發布為正式版。發布後的劇本才可被添加到自動響應規則中使用。

      您可以在劇本的詳情頁面查看劇本的版本資訊。具體操作,請參見相關操作

    • 調試:單擊調試,在頁面下方的調試地區輸入參數,可調試當前劇本能否正常運行。

      斷點調試:在畫布編輯組件時,您可以選中組件後單擊斷點調試表徵圖,為該組件添加斷點,此時運行調試時,系統僅執行至該節點的上遊節點。

    • 查看線上:查看當前劇本最新發行的正式版。

    • 更多:單擊更多,可進行儲存為XML、匯入XML、儲存為圖片、撤銷、刪除等操作。

    2

    劇本組件,包括開始、結束、條件網關、多路匯聚、子劇本節點。每個流程必須有一個開始節點作為起始點,可以有多個結束節點。

    說明

    您可以將滑鼠移動到節點表徵圖上,查看元件節點的使用介紹。

    3

    基礎編排組件,包含IT類萬用群組件,例如寫入資料庫、向SLS寫入資料、調用Python 3.0進行指令碼處理等。

    說明

    Python 3.0代碼運行在歸屬於當前阿里雲帳號的容器環境中。

    4

    安全處置組件,包含阿里雲安全產品的組件,例如Server Guard結束進程、阿里雲防火牆封鎖組件等。

    5

    畫布地區,您可以將需要添加的組件拖動至畫布地區,在畫布中根據組件之間的邏輯關係進行串連。

    • 在畫布地區雙擊開始節點(開始節點表徵圖),可設定開始節點的基本資料以及流程的輸入方式和觸發方式。

    • 在畫布地區雙擊基礎編排組件或安全處置元件節點,可設定組件的基本資料、執行條件、執行動作等資訊。

    • 在畫布地區雙擊結束節點(結束節點表徵圖),可設定結束節點的基本資料。

    6

    調試地區,單擊調試或者右下角的展開表徵圖,展開調試地區,可調試劇本能否正常運行。

    • 輸入參數(調試):在該頁簽下,輸入調試參數,然後單擊運行

      調試參數僅支援標準JSON格式。您可以單擊查看輸入範例,查看輸入的參數樣本。

    • 執行日誌:運行劇本後,可單擊執行日誌,查看劇本的運行結果、詳情等資訊。

    • 歷史調試記錄:查看歷史調試記錄。

  6. 調試並且檢測流程無誤後,單擊儲存並發布

  7. 在彈出的發布說明對話方塊,輸入劇本的發布資訊,然後單擊確定

    如果您當前的版本不是首次發布,單擊儲存並發布後,您可以查看目前的版本與最新發行版本的對比結果以及檢測結果,您需要在確認版本資訊準確後,單擊確定

步驟二:配置自動響應規則

自動響應規則用於在觸發警示或事件時自動執行預定的響應動作。自動響應規則可以基於特定的安全事件類型(例如惡意軟體感染、入侵嘗試等)或執行特定的響應動作(例如將惡意軟體檔案隔離、中止網路連接等)。

新增自動響應規則後,威脅分析與響應會根據您根據設定的規則策略匹配新增的安全事件,匹配成功後,威脅分析與響應會執行預設的規則動作,協助您更快地響應和緩解安全威脅。

  1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

  2. 在左側導覽列,選擇威脅分析與響應 > 響應編排

  3. 自動響應規則頁簽,單擊新增規則

  4. 建立自動響應規則面板,配置自動響應規則,然後單擊確定

    配置項

    說明

    基本資訊

    設定自動響應規則的規則名稱和規則的執行方式。規則的執行方式即規則的生效時間,支援以下執行方式:

    • 警示觸發:通過匹配警示特徵欄位和規則策略欄位,當匹配成功時,對觸發警示的處置實體(IP、檔案或進程)執行自動響應規則動作。

    • 事件觸發:通過匹配事件特徵欄位和規則策略欄位,當匹配成功時,對觸發事件的處置實體(IP、檔案或進程)執行自動響應規則動作。

    規則原則設定

    您可以單擊+ 新增字段,添加多條策略。如果您同時添加了多條策略,僅當所有策略都匹配成功後,才會觸發執行規則動作。

    說明

    選擇不同執行方式時,需要配置的特徵欄位不同,請根據實際情況配置。

    規則動作

    設定警示或事件命中自動響應規則策略時,針對處置實體執行動作。

    單擊新增,設定需要執行的動作。執行方式為警示觸發時,僅支援設定為運行劇本;執行方式為事件觸發時,支援設定為運行劇本修改事件狀態修改威脅等級

    • 運行劇本:命中規則策略時,自動執行選中的劇本流程。

      重要

      自動響應規則只能關聯已配置固定格式入參的劇本,支援選擇的劇本必須在開始節點設定了以下入參類型:請求IP、主機處理序、主機檔案、主機或為雲賬戶。

    • 修改事件狀態:命中規則策略時,自動修改事件的狀態為已處理

    • 修改威脅等級:命中規則策略時,自動修改事件的威脅等級為高危、中危或低危。

    您可以單擊+ 新增字段,添加多條規則動作。如果您添加了多條規則動作,當命中規則策略後,威脅分析與響應會同時執行所有規則動作。

  5. 自動響應規則頁簽,單擊自動響應規則的開關表徵圖表徵圖,開啟自動響應規則。

相關操作

管理劇本

預定義劇本僅支援複製和查看詳情。新增自訂劇本後,您可以在自訂劇本頁簽查看劇本的詳細資料、編輯劇本等。

  • 查看劇本詳情

    在劇本列表,單擊劇本ID或者详情,進入劇本詳情頁面,查看劇本的基礎資訊、劇本詳情和歷史執行記錄。在劇本詳情頁面,您可以進行以下操作:

    • 在劇本詳情頁面左上方,單擊劇本名稱右側的下拉表徵圖,選擇查看其他劇本詳情。

    • 基本資訊頁簽,您可以查看劇本的基礎資訊、啟用或停用劇本、查看劇本的歷史版本等。

      重要

      執行版本復原後,您在劇本編輯頁面儲存但未發布的草稿版將會被覆蓋,並且無法找回,請謹慎操作。

      • 發布歷史地區,單擊復原並發布,將目前的版本覆蓋到編輯頁面的草稿版,並發布上線。

      • 發布歷史地區,單擊復原到編輯,將目前的版本覆蓋到編輯頁面的草稿版。

    • 劇本頁簽,您可以查看不同版本的劇本流程、運行某個版本的劇本、進入劇本編輯頁面等。

    • 歷史執行記錄頁簽,您可以通過版本號碼、執行結果、執行時間來查詢劇本的歷史執行記錄。

  • 複製劇本

    在劇本列表,單擊目標劇本操作列的複製,填寫劇本名稱劇本描述,並單擊確定,即可快速建立一個和目標劇本相同的劇本。您可以對複製的劇本進行調整,完成快速自訂劇本。

  • 編輯劇本

    在劇本列表,單擊劇本對應的編輯,進入劇本編輯頁面,您可以修改劇本資訊。

  • 刪除劇本

    在劇本列表,單擊劇本對應的刪除,可刪除劇本。

    說明

    系統預定義的劇本不允許刪除。

管理自動響應規則

新增自動響應規則後,您可以在自動響應規則頁簽查看規則的詳細資料、編輯規則等。

  • 編輯自動響應規則

    在自動響應規則列表,單擊規則對應的編輯,進入劇本編輯頁面,可修改規則資訊。

  • 刪除自動響應規則

    在自動響應規則列表,單擊規則對應的刪除,可刪除規則。