上游（态势感知、SIEM等事件汇聚的系统或其他攻击检测                       图1 角色关系概念图
            系统）往往会输出多种不同类型的安全事件，组织也会根据其
            自身的安全策略和需求，对不同类型的安全事件应用不同的事
            件响应流程。一个自动化响应系统的实现，则可以看出是一个
            包含了多个这样的事件响应流程的系统，每个事件响应流程对
            应一个自动化响应流程。
                与人在执行事件响应流程中的角色类似，自动化响应系统
            本身不是信息源，也不是流程的终点。在执行单个事件响应流
            程时，两者都需要从事件或其他外部系统中获取信息，决策后
            把响应指令（决策后的结果）发送到外部目标系统。最终，由
            目标系统成功执行指令，才算完成整个事件响应流程。
                结合对自动化响应本质的分析，一套自动化响应系统的主
            要功能应包括三方面内容：
                （1）可以接收一个或多个事件源的输入，并区分不同的安
            全事件；
                （2）包含多个自动化响应流程，并可以根据不同的输入触
            发不同的响应流程；                                            化响应系统的核心。剧本的设计需要与输入相匹配，同时也需
                （3）  可以与外部安全设备或系统互操作，可以从外部获                      要与组织期望的输出相匹配。
            取信息和下发响应指令给外部。                                           如图1所示，分析人员和响应人员作为剧本编排的主要参与
                                                                 人员，不仅需要依据自身团队的日常工作需求和实际输入的事
                三．安全编排和自动化                                       件进行剧本设计，还需要与监测人员、开发人员、运维人员等
                SOAR平台的主要目的是通过编排为自动化提供动力。SOAR                    做好协同工作。其中，包括协同监测人员做好规划输入，如输
            的功能主要分为集成和编排。现有的大多数SOAR供应商能提供                        入类型、输入的字段等规划。在剧本规划和设计确定后，向开
            200~300个集成应用。用户可以通过集成应用将其现网的开源                       发和运维人员提供相应的集成需求，以及在系统投入使用后，
            的、商业的和私有的系统（或工具）集成到SOAR平台。SOAR平                      协同监测人员根据响应监测结果对事件响应流程优化。
            台以统一的数据格式，实现这些系统与系统之间、系统与SOAR                            根据自动化响应流程的特征，把剧本划分成获取信息、决
            平台之间的互操作。                                            策和响应三个部分，如图2所示。这样，每个部分可以由不同的
                SOAR编排是人工专家将安全流程或事件响应流程当中，原                      角色独立设计，并降低设计难度。同时，单个部分或单个分支
            来由人工执行的一组动作和决策逻辑编排成剧本的过程。SOAR                        可以封装到一个独立剧本当中，有利于剧本的复用和扩展。在
            剧本是包含指令和决策逻辑的可执行流程。SOAR平台可以通过                        这种框架下，获取信息部分和响应部分几乎不需要包含的逻辑
            执行剧本指令调用集成应用，从而实现代替人工操作集成应用                          判断；决策部分的逻辑判断可以使用多个互相独立的小分支，
            所对应的系统或工具。                                           对不同的信息进行简单逻辑比较，即可实现决策。
                如果某个剧本包含一个事件响应流程中的所有动作和决策逻辑，                         剧本依赖于集成应用获取外部信息和下发响应指令。剧本
            那么这个剧本是可以实现全自动化执行，而不需要任何人工参与。                        的质量，在很大程度上取决于集成应用的质量。一个设计合理
                由此可见，SOAR平台的集成和编排功能，恰好满足了自动                      的应用，尽量以分析和响应过程的需求为参照，减少不相关的
            化响应系统的实现需求。现有的大多数SOAR平台的集成应用，                        中间值（不是分析或响应时所必须的值）的输出，可以明显地
            与安全团队所使用的脚本的开发周期和难度非常接近。同时，                          减少剧本所要的节点数量和复杂度，让剧本的设计难度明显地
            SOAR的剧本编排方式，通常也是可视化的，这明显地缩短了事                        降低。但是，如果过度封装，屏蔽所有中间值会让剧本失去可
            件响应流程编排为剧本的周期，并降低了编排难度，让相关人                          扩展性，剧本中微小的改动需求都需要修改应用才能实现。
            员更加专注于事件响应流程本身。                                          为此，本文的设计框架对不同部分的输出作了一定规范。
                                                                     决策信息：由获取信息部分从环境和事件中获取。例如，
                四．主要设计思路                                         某个输入只提供了IP信息，但决策部分的某个分支需要用到某
                自动化响应系统通常需要基于现网已有安全防御体系、安                        个资产负责人信息，那该获取信息部分就需要从资产管理系统
            全策略和业务结构等部署。在设计时，需要各相关部门紧密合                          获取该IP相关的资产信息，作为决策信息输入到决策部分。
            作，尤其是在设计事件响应流程时，需要充分考虑环境和各部                              响应信息：这是决策后的结果，设计为空或响应对象中的
            门的需求。如果缺乏全面的规划设计，可能会在某些环节导致                          一种。例如，响应需要对某台主机进行漏洞修复，那么响应信
            概念重叠。为了解决这个问题，提供了一个基于SOAR平台设计                        息需要包含主机的地址、登录方式等。反之，如果不需要进行
            的角色关系概念，用于指示自动化响应系统在设计和运行阶段                          任何操作，则响应信息为空。
            不同关键角色的作用和角色间的关系。如图1所示。                                  输出：这些信息是由响应部分输出响应结果的汇总组成，
                剧本是事件响应流程在  SOAR平台中的载体，也是整个自动                    用于对响应的监测。

                                                      网络电信 二零二二年九，十月                                           15