运 营 商 专 栏

              图2 剧本设计框架概念图                                       照关键字的不同触发不同的剧本。例如，事件中包含“类型=访
                                                                 问可疑域名”的关键字，将会触发图3中的剧本1。这是目前现
                                                                 有绝大多 数SOAR平台所支持的区分事件和触发剧本的方式。

                                                                  图3 PoC方案整体设计图






















                                                                     方案中共使用了5个主剧本和10多个子剧本，所有剧本组
                                                                 合覆盖了上游SIEM所输入的20多种不同类型的安全事件响应工
                                                                 作。其中，主剧本可以通过事件触发，在子剧本主要用于封装
                                                                 常用的工作流。主剧本的数量远少于事件类型的数量，主要是
                                                                 因为在实施环境中部分安全事件类型，可以使用相同的分析方
                                                                 法或响应计划。因此，主剧本通过复用子剧本的不同排列组
                                                                 合，实际可实现多于20种事件响应流程。
                                                                     在所有剧本所涉及的集成应用中，绝大部分是由该SOAR平
                                                                 台提供的现成应用，只有部分用于集成威胁情报、内部DNS等，
                                                                 实施环境专有的系统和设备的应用、需要开发团队开发。
                                                                     2. 应用效果
                                                                     PoC方案基于上文的设计思路设计剧本，规划事件响应计
                                                                 划。方案得益于合理的规划和设计，所依赖的剧本和集成应用
                                                                 相对简单，使得整体系统易实施、易维护。例如，剧本1中的一
                五．方案实现和效果评估                                      个用于处置恶意域名的子剧本。子剧本只包含两个节点：一个
                1. 方案实现                                          是提交一条解析记录到内部DNS将域名指向一个不可达地址；另
                概念证明（PoC）方案是基于本文的设计思路所设计。方案                      一个是提交一条封禁记录到防火墙中断所有访问该域名的会话。
            整体如图3所示。                                                 子剧本无需使用任何逻辑判断节点，同时子剧本也可用于
                实施方案的SOAR平台是一个简化后的商业SOAR产品，即只                    挖矿类、Webshell类等事件的响应部分，节约了团队在剧本实
            保留编排、集成和剧本执行等基础功能，也是现有大多数SOAR                        施上所耗费的时间。
            产品普遍实现的功能。                                               方案中对集成应用的总体需求也得到了简化，集成应用的
                方案的输入由上游SIEM提供，包含约20多种不同类型的                      平均开发耗时在1人/天以内，几乎与日常使用脚本的开发成本
            安全事件。例如，其中一类安全事件是内网主机访问了可疑域                          接近。
            名，是由SIME对多台检测设备的日志输出统计后的结果，格                             方案中事件响应流程的实现，可通过增加子剧本进行扩展
            式是“<源IP>，<目的域名>，类型=<告警类型名称>……”这                      和优化。例如，通过增加决策子剧本和获取信息类的子剧本，
            个统计结果存在一定的误报。例如，事件类型为“访问可疑域                          即可增加分析维度，提高决策准确率；通过增加响应子剧本，
            名”，包含了主机访问外网域名和内网域名两种域名的统计，                          即可扩大响应对象的覆盖范围。因此，在实际运行中，可以随
            内网域名和部分外网域名是安全域名。因此，在使用剧本对这                          时对事件响应流程优化，而不影响整体系统的运行。
            类事件响应时，需要通过图3中的APP1，从“威胁情报系统”获                           在调研了部分SOAR企业用户的自动化响应系统的实施情况
            取域名的威胁程度信息，并在剧本的决策部分对该信息进行逻                          下，发现约70%的用户没有对剧本结构、剧本类型等作合理规
            辑对比。                                                 划，导致实际运行的剧本过于复杂。这不仅增加了系统的实施
                方案中的规则路由，可以通过搜索单条事件的关键字，按                        难度，而且很容易地出现剧本的设计，脱离安全分析人员和事


            16                                        网络电信 二零二二年九，十月