日志易SOAR解决方案.pptx

日志易SOAR解决方案2022年01月@日志易Security安全产品总监施泽寰

目录CataloguePart1:日志易SOAR架构与功能介绍介绍SOAR架构与流程，以及主要功能Part2:日志易SOAR应用场景介绍主要介绍关于自动化封禁与DNS网络取证分析场景的使用

日志易SOAR整体架构图威胁情报Threatintelligence商业威胁情报开源威胁情报(OSINT)日志易NTA网络层Network日志易Agent端点层Endpoint日志易SIEM威胁处置资产管理漏洞中心调查取证情报管理工单管理日志易SOAR流程编排数据丰富自动响应MISPShodanVirustotalOTX……IP_black_listDomain_black_listURL_black_list……检测能力分析能力响应能力安全设备IT系统联动联动防火墙WAFIDS/IPSEDR防病毒系统邮件网关准入系统上网行为管理系统终端安全管理系统ActiveDirectotyEmailHTTPDNSKerberosSMBRDPSSH……防火墙WAFIPSAnti-virusEDR注册表变更父子进程监控账户活动网络通讯敏感命令新增文件……告警……

日志易SOAR简要流程图其他数据源SIEM/SOC/态势感知自动化Automation自动化策略人工介入任务创建活动记录人工审核时间线剧本通用组件应用组件自定义组件应用APPs资产设备/系统

SOAR功能介绍：组件与剧本管理01组件能力日志易SOAR剧本中，可引用通用组件与应用组件进行剧本编排。通用组件为通用逻辑内容，如过滤、判断、格式化等；应用组件为对接外部第三方系统的组件，如对接威胁情报、抗D/防火墙/WAF等安全设备或系统；自定义组件为通过Python的方式，提供自定义开发组件的能力。???01剧本编排能力针对不同的安全事件/漏洞事件，基于响应流程，将不同组件以可视化的方式编排起来，降低自动化流程开发成本，形成标准化流程，并针对某类事件关联预先定义的剧本，实现自动化响应01任务管理能力在接到安全事件/漏洞事件后可自动形成响应任务，并在不同任务详情中，针对每笔安全事件的处置过程进行记录，将中间不同组件的执行内容作为输出进行展示。针对不同的任务流程可以细化为不同的子任务，并指定分配给不同的责任人，同时提供安全事件调查的能力，并可多人协同处置

No.剧本组件类型组件名称描述1通用组件过滤组件对上游组件的输出数据，根据条件进行过滤，再输出给下游组件判断组件对上游组件的输出数据，基于不同的判断（if，else，elseif），对应不同的输出（对接不同的下游组件）格式化组件对上游组件的输出数据进行格式化，比如重构数据格式等人工审核组件对上游组件的结果进行人工审核，根据人工审核结果，进入下一个流程的判断2应用组件威胁情报/抗D设备/防火墙/WAF/HIDS/EDR/堡垒机/漏洞扫描器/…对接国内外主流设备/系统，实现查询IP/域名信誉，查询可疑文件HASH，对接沙箱，对IP地址的封禁与解封，对资产信息的查询，Kill进程，隔离文件，可疑账户的锁定，实现对主机扫描的发起，并获取扫描结果等能力3自定义组件Python组件通过开发Python脚本等方式，形成与第三方设备或系统对接的组件，定义好输入参数与输出字段日志易SOAR组件介绍

SOAR功能介绍-任务管理04自动创建/响应可以根据安全事件/漏洞事件匹配的剧本，在执行剧本同时，创建对应的任务，将自动化处理的安全事件/漏洞事件关联到具体任务中??05记录流程操作剧本每个组件的执行结果都会进行记录展示，以便于查看分析人工审核剧本中出现需要人工确认/批准的组件，则需要在任务管理中进行审核任务协同可人工在任务中分解为多个不同阶段，以及阶段中分解为不同的子任务进行协同处理手动执行剧本在针对具体任务中的告警与漏洞，可人工培植一个或者多个剧本，并人工执行剧本

日志易SOAR应用场景介绍：自动化封禁获取告警信息从SIEM中获取告警信息设定解封时间如在1小时后解封；如在24小时后解封。判断告警情况获取告警的源地址，并判断是否属于内网地址查询威胁情报属于恶意IP标签的，如C2，傀儡机等，则封禁24小时；属于私有地址的，则不进行封禁，并结束流程；属于其他标签的，如IDC等，则封禁1小时。获取恶意IP风险分值来自于SIEM的规则模型所计算出的结果）判断风险分值如风险值大于等于0，则进入下游组件【查询威胁情报】，如告警分类为“失陷破坏”（也可以定义其他类型），则联动安全设备，封禁该IP地址24小时，并结束流程；如风险值为其他情况，则结束流程；

日志易SOAR应用场景介绍：异常DNS请求自动化分析1:获取DNS告警信息2:获取DNS相关响应信息3:丰富上下文数据查询HTTP