全部产品
Search

搜索本产品

    云安全中心:响应编排

    文档中心

    云安全中心:响应编排

    更新时间:Aug 10, 2024

    威胁分析与响应服务响应编排SOAR (Security Orchestration, Automation and Response) 是一种综合性的安全解决方案,通过将不同的系统或服务按照一定的逻辑进行编排连接,实现安全运维的自动化编排和快速响应,旨在加强企业安全防御,提高安全事件响应效率。本文介绍如何使用响应编排功能。

    背景信息

    在基础安全领域,安全专家有大量日常琐碎的简单工作,如安全审核、木马和挖矿软件处理等。这些工作占用了高级安全专家的大量精力。熟悉企业内部环境、了解对手信息、具备研究攻击者行为模式的安全专家,没有办法投入更多精力到重要的网络对抗和安全研究等工作中。

    而响应编排的目标是将日常工作自动化、流程化,提升安全响应速度,将安全专家从日常繁重琐碎的工作中解放出来,集中精力对抗高级持续攻击(APT)。日常工作流程也可作为可解释、可执行的规范沉淀在产品内,更利于经验的传承。

    基本概念

    开始使用响应编排之前,您需要先了解以下概念:

    概念

    解释

    剧本(PlayBook)

    剧本是一个预定义的、结构化的响应计划,用于处理特定类型的事件或威胁。剧本详细列出了在某些触发条件(如检测到特定安全事件)下应采取的步骤和操作。

    剧本可作为自动响应规则的规则动作,实现对告警和事件的自动化处置。

    一个剧本中有且仅有一个流程。在剧本中可对流程进行版本控制、输入输出测试、运行次数和结果统计等操作。

    流程(Process)

    流程是一系列顺序执行的任务或操作,通过预定义的步骤实现某个特定的目标或功能。

    编写一个自动化流程与绘制一个标准流程图相同,包括开始、判断、动作和结束节点。您可以创建自动通知、自动止血等多种类型的自动化流程。流程由多个相连接的组件构成。流程定义完成后可被外部触发,例如,当新工单产生时自动触发自动审核工单流程

    您可以通过可视化流程编辑画布,定义每个节点的组件动作,例如,定义终端管理组件的禁用网络动作。

    组件(Component)

    组件对应一个外部的系统或服务,例如WAF、防火墙、工单系统、数据库或通知服务。通过扩展组件的方式丰富产品能力。组件可以理解为是一个连接外部服务的连接器(Connector),组件自身不承担复杂逻辑,复杂逻辑都是由组件连接的系统或服务提供。选择组件后,您还需要选择组件对应的资产和动作。

    组件包含流程编排组件、基础编排组件和安全应用组件。

    资源实例(Resource Instance)

    资产可以理解为是外部服务的连接信息。以MySQL组件为例,企业内部可能存在多套MySQL系统,您首先需要确定连接到哪个数据库中。

    动作(Action)

    动作是组件提供的能力,一个组件可以有多个动作。以终端管理软件为例,会有禁用账号、隔离网络、推送通知等动作。

    步骤一:新增剧本

    剧本是指预先定义好的逻辑流程或脚本,用于对安全事件进行识别、分类、判断和响应。剧本包括一系列步骤,用于执行特定的操作,以确定是否存在安全威胁,如何响应和缓解威胁。剧本可以根据不同的安全事件类型和级别进行定制和配置,以适应不同的安全需求。通过使用剧本,响应编排可以帮助您提高安全响应的效率和一致性。

    1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

    2. 在左侧导航栏,选择威胁分析与响应 > 响应编排

    3. 自定义剧本页签,单击新增剧本

    4. 新增剧本面板,输入剧本名称和描述信息,然后单击确定

    5. 剧本编辑页面,根据需求编排剧本。

      剧本编辑

      序号

      说明

      1

      菜单栏,显示操作按钮。

      • 保存:在画布中编辑剧本后,单击保存,将当前的剧本保存为草稿版。

        草稿版为短期状态,使用正式版回滚后,可能会覆盖已保存的草稿版。如果需要将剧本持久化保存,请单击保存并发布

      • 检测:检查剧本流程是否异常,仅当检测无异常时才可发布剧本。

      • 保存并发布:保存剧本,并将剧本发布为正式版。发布后的剧本才可被添加到自动响应规则中使用。

        您可以在剧本的详情页面查看剧本的版本信息。具体操作,请参见相关操作

      • 调试:单击调试,在页面下方的调试区域输入参数,可调试当前剧本能否正常运行。

        断点调试:在画布编辑组件时,您可以选中组件后单击断点调试图标,为该组件添加断点,此时运行调试时,系统仅执行至该节点的上游节点。

      • 查看线上:查看当前剧本最新发布的正式版。

      • 更多:单击更多,可进行保存为XML、导入XML、保存为图片、撤销、删除等操作。

      2

      剧本组件,包括开始、结束、条件网关、多路汇聚、子剧本节点。每个流程必须有一个开始节点作为起始点,可以有多个结束节点。

      说明

      您可以将鼠标移动到节点图标上,查看组件节点的使用介绍。

      3

      基础编排组件,包含IT类通用组件,例如写入数据库、向SLS写入数据、调用Python 3.0进行脚本处理等。

      说明

      Python 3.0代码运行在归属于当前阿里云账号的容器环境中。

      4

      安全处置组件,包含阿里云安全产品的组件,例如安骑士结束进程、阿里云防火墙封禁组件等。

      5

      画布区域,您可以将需要添加的组件拖动至画布区域,在画布中根据组件之间的逻辑关系进行连接。

      • 在画布区域双击开始节点(开始节点图标),可设置开始节点的基本信息以及流程的输入方式和触发方式。

      • 在画布区域双击基础编排组件或安全处置组件节点,可设置组件的基本信息、执行条件、执行动作等信息。

      • 在画布区域双击结束节点(结束节点图标),可设置结束节点的基本信息。

      6

      调试区域,单击调试或者右下角的展开图标,展开调试区域,可调试剧本能否正常运行。

      • 输入参数(调试):在该页签下,输入调试参数,然后单击运行

        调试参数仅支持标准JSON格式。您可以单击查看输入样例,查看输入的参数示例。

      • 执行日志:运行剧本后,可单击执行日志,查看剧本的运行结果、详情等信息。

      • 历史调试记录:查看历史调试记录。

    6. 调试并且检测流程无误后,单击保存并发布

    7. 在弹出的发布说明对话框,输入剧本的发布信息,然后单击确定

      如果您当前的版本不是首次发布,单击保存并发布后,您可以查看当前版本与最新发布版本的对比结果以及检测结果,您需要在确认版本信息准确后,单击确定

    步骤二:配置自动响应规则

    自动响应规则用于在触发告警或事件时自动执行预定的响应动作。自动响应规则可以基于特定的安全事件类型(例如恶意软件感染、入侵尝试等)或执行特定的响应动作(例如将恶意软件文件隔离、中止网络连接等)。

    新增自动响应规则后,威胁分析与响应会根据您根据设定的规则策略匹配新增的安全事件,匹配成功后,威胁分析与响应会执行预设的规则动作,帮助您更快地响应和缓解安全威胁。

    1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

    2. 在左侧导航栏,选择威胁分析与响应 > 响应编排

    3. 自动响应规则页签,单击新增规则

    4. 创建自动响应规则面板,配置自动响应规则,然后单击确定

      配置项

      说明

      基础信息

      设置自动响应规则的规则名称和规则的执行方式。规则的执行方式即规则的生效时间,支持以下执行方式:

      • 告警触发:通过匹配告警特征字段和规则策略字段,当匹配成功时,对触发告警的处置实体(IP、文件或进程)执行自动响应规则动作。

      • 事件触发:通过匹配事件特征字段和规则策略字段,当匹配成功时,对触发事件的处置实体(IP、文件或进程)执行自动响应规则动作。

      规则策略设置

      您可以单击+ 新增字段,添加多条策略。如果您同时添加了多条策略,仅当所有策略都匹配成功后,才会触发执行规则动作。

      说明

      选择不同执行方式时,需要配置的特征字段不同,请根据实际情况配置。

      规则动作

      设置告警或事件命中自动响应规则策略时,针对处置实体执行动作。

      单击新增,设置需要执行的动作。执行方式为告警触发时,仅支持设置为运行剧本;执行方式为事件触发时,支持设置为运行剧本修改事件状态修改威胁等级

      • 运行剧本:命中规则策略时,自动执行选中的剧本流程。

        重要

        自动响应规则只能关联已配置固定格式入参的剧本,支持选择的剧本必须在开始节点设置了以下入参类型:请求IP、主机进程、主机文件、主机或为云账户。

      • 修改事件状态:命中规则策略时,自动修改事件的状态为已处理

      • 修改威胁等级:命中规则策略时,自动修改事件的威胁等级为高危、中危或低危。

      您可以单击+ 新增字段,添加多条规则动作。如果您添加了多条规则动作,当命中规则策略后,威胁分析与响应会同时执行所有规则动作。

    5. 自动响应规则页签,单击自动响应规则的开关图标图标,开启自动响应规则。

    相关操作

    管理剧本

    预定义剧本仅支持复制和查看详情。新增自定义剧本后,您可以在自定义剧本页签查看剧本的详细信息、编辑剧本等。

    • 查看剧本详情

      在剧本列表,单击剧本ID或者详情,进入剧本详情页面,查看剧本的基础信息、剧本详情和历史执行记录。在剧本详情页面,您可以进行以下操作:

      • 在剧本详情页面左上角,单击剧本名称右侧的下拉图标,选择查看其他剧本详情。

      • 基础信息页签,您可以查看剧本的基础信息、启用或停用剧本、查看剧本的历史版本等。

        重要

        执行版本回滚后,您在剧本编辑页面保存但未发布的草稿版将会被覆盖,并且无法找回,请谨慎操作。

        • 发布历史区域,单击回滚并发布,将当前版本覆盖到编辑页面的草稿版,并发布上线。

        • 发布历史区域,单击回滚到编辑,将当前版本覆盖到编辑页面的草稿版。

      • 剧本页签,您可以查看不同版本的剧本流程、运行某个版本的剧本、进入剧本编辑页面等。

      • 历史执行记录页签,您可以通过版本号、执行结果、执行时间来查询剧本的历史执行记录。

    • 复制剧本

      在剧本列表,单击目标剧本操作列的复制,填写剧本名称剧本描述,并单击确定,即可快速创建一个和目标剧本相同的剧本。您可以对复制的剧本进行调整,完成快速自定义剧本。

    • 编辑剧本

      在剧本列表,单击剧本对应的编辑,进入剧本编辑页面,您可以修改剧本信息。

    • 删除剧本

      在剧本列表,单击剧本对应的删除,可删除剧本。

      说明

      系统预定义的剧本不允许删除。

    管理自动响应规则

    新增自动响应规则后,您可以在自动响应规则页签查看规则的详细信息、编辑规则等。

    • 编辑自动响应规则

      在自动响应规则列表,单击规则对应的编辑,进入剧本编辑页面,可修改规则信息。

    • 删除自动响应规则

      在自动响应规则列表,单击规则对应的删除,可删除规则。