安全編排自動化響應(yīng)（SOAR）技術(shù)參考架構(gòu)

安全編排自動化響應(yīng)(SOAR)技術(shù)參考架構(gòu)本文件提出了安全編排自動化響應(yīng)(SOAR)的技術(shù)參考架構(gòu)。本文件適用于指導(dǎo)安全編排自動化響應(yīng)(S0AR)的使用方、運營方、研發(fā)方和第三方測評機構(gòu)等對安全編排自動化響應(yīng)進行設(shè)計、開發(fā)、測試、運維等。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款，其中，僅該日期對應(yīng)的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T25069界定的以及下列術(shù)語和定義適用于本文件。信息安全事態(tài)informationsecurityevent表明可能的信息安全違規(guī)或某些控制失效的發(fā)生。與可能危害組織資產(chǎn)或損害其運行相關(guān)的、單個或多個被識別的信息安全事態(tài)。針對單個或一系列安全事件進行的響應(yīng)活動。安全事件響應(yīng)活動結(jié)束后，安全事件應(yīng)極到處理和解決。將工作流程中涉及的不同系統(tǒng)或一個系統(tǒng)內(nèi)部的不同安全能力通過可編程接口(API)封裝后形成的安全能力接口、人工處理節(jié)點、邏輯判斷等各類型流程節(jié)點按照一定的邏輯組合到一起，完成某個特定安全事件響應(yīng)操作的過程的沉淀。安全劇本將人、數(shù)據(jù)、流程、工具有效的結(jié)合在一起，實現(xiàn)自動化或半自動化的處置工作流。安全劇本是安全編排的形式化表述。對安全資源所具備的安全功能的統(tǒng)稱3-—數(shù)據(jù)處理單元：可對接入的數(shù)據(jù)進行分析、處理，可將非結(jié)構(gòu)化數(shù)據(jù)解析成SOAR內(nèi)部可流轉(zhuǎn)的結(jié)構(gòu)化數(shù)據(jù)：-—響應(yīng)策略控制單元：可集中管理響應(yīng)策略配置參數(shù)，可針對不同數(shù)據(jù)實現(xiàn)響應(yīng)策略規(guī)則制定、策略解析、策略執(zhí)行 編排策略控制單元：可通過安全編排設(shè)計器對安全事件響應(yīng)流程中所需的安全能力接口、人工處理接口等資源進行管理，并實現(xiàn)編排策略的制定，可通過工作流引擎實現(xiàn)編排策略的解析、執(zhí)行； 全能力集成單元：可制定安全能力集成方式與接口對接方式，可對安全資源池進行資源集成開發(fā)后的安全應(yīng)用程序以及安全能力接口進行集中管理。5.3.1數(shù)據(jù)處理單元數(shù)據(jù)處理單元可接入第三方安全管理平臺或安全設(shè)備的消息數(shù)據(jù)，包括各類安全基礎(chǔ)資源或服務(wù)等產(chǎn)生的告警數(shù)據(jù)、文件、郵件、工單等，應(yīng)支持API接入等多種數(shù)據(jù)接入方式。數(shù)據(jù)處理單元可對接入的數(shù)據(jù)進行解析、標(biāo)準(zhǔn)化、過濾等規(guī)范化數(shù)據(jù)處理。5.3.2響應(yīng)策略控制單元響應(yīng)策略控制單元可集中管理響應(yīng)策略配置參數(shù)?？勺远x響應(yīng)策略，可通過配置響應(yīng)觸發(fā)條件實現(xiàn)安全事件的分類分級響應(yīng)。該單元支持響應(yīng)策略制定、響應(yīng)策略解析、響應(yīng)策略執(zhí)行，具體要求如下a)響應(yīng)策略制定：實現(xiàn)策略規(guī)則的制定與存儲，包括策略觸發(fā)條件、策略觸發(fā)方式、策略執(zhí)行內(nèi)容；b)響應(yīng)策略解析：實現(xiàn)策略規(guī)則的解析，以及與編排策略控制單元中工作流引擎的結(jié)合c)響應(yīng)策略執(zhí)行：針對策略觸發(fā)條件，實現(xiàn)特定工作流的執(zhí)行。5.3.3編排策略控制單元編排策略控制單元可通過安全編排設(shè)計器對安全事件響應(yīng)流程中所需的安全能力接口、人工處理接口等資源進行編排，實現(xiàn)編排策略的制定。編排策略控制單元可承接響應(yīng)策略控制單元的執(zhí)行請求，實現(xiàn)策略驅(qū)動的自動化流程閉環(huán)，并存儲編排策略清單。5.3.3.1安全編排設(shè)計器安全編排設(shè)計器可具備面向業(yè)務(wù)的、圖形化的集成開發(fā)環(huán)境，為安全運維管理者提供UI,以用戶友好的操作方式，提供無需編程就能夠建立完善的事件響應(yīng)流程的工具。安全編排設(shè)計器可對人工處理接口、安全能力接口等安全事件響應(yīng)流程中所需的能力進行編排，可將安全事件響應(yīng)過程抽象化為安全劇本，以表征編排策略和自動化響應(yīng)的處理過程，從而反映出安全編排和自動化響應(yīng)過程中的各個流程節(jié)點的執(zhí)行順序。5.3.3.2安全劇本實例管理安全編排設(shè)計器的產(chǎn)物為安全劇本實例，安全劇本是通過制定編排規(guī)則和設(shè)置流向活動組織在一起完成某項安全事件響應(yīng)流程的模板。安全劇本通過解析后可在工作流引擎中運行安全劇本實例管理單元可對安全劇本進行統(tǒng)一管理，包括劇本的增、刪、改、查等基礎(chǔ)操作5.3.3.3工作流引擎工作流引擎是編排策略控制單元的核心組件，具備以下重要組成部分：a)用于解析安全劇本的解析器：可解析待執(zhí)行安全劇本，需保證劇本執(zhí)行實例是SOAR可以理解的、能夠自動處置的；b)用于執(zhí)行安全劇本執(zhí)行器：可調(diào)用安全劇本中的安全能力接口、人工處理接口等資源：c)用于監(jiān)控安全劇本執(zhí)行情況的監(jiān)控器：通過工作流引擎解析待執(zhí)行的劇本，對劇本執(zhí)行機制進行智能管控，保證流程的持續(xù)、正確進行5.3.4安全能力集成單元4構(gòu)圖見圖2。安全能力集成單元可管理S0AR的聯(lián)動外部的資源池，SOAR編排元素與業(yè)務(wù)聯(lián)動的強大與否很大租度上取決于安全能力的規(guī)模。安全能力集成單元實現(xiàn)安全能力接口化、標(biāo)準(zhǔn)化，實現(xiàn)接口靈活調(diào)用，其架構(gòu)圖見圖2。圖2安全能力集成單元架構(gòu)圖5.3.4.1資源集成開發(fā)資源集成開發(fā)提供對接安全設(shè)備服務(wù)、資源集成服務(wù)的能力。通過資源集成可實現(xiàn)同類型資源批量聯(lián)動，減少重復(fù)聯(lián)動開發(fā)成本；實現(xiàn)安全資源服務(wù)化、安全能力接口化：具備通過南向接口調(diào)度安全資源的能力；具備通過安全能力接口對外部提供安全能力服務(wù)的能力；具備開放可擴展的應(yīng)用集成框架通過可視化界面提供資源集成開發(fā)向?qū)?；支持根?jù)業(yè)務(wù)應(yīng)用場景快速集成安全能力。5.3.4.2安全應(yīng)用程序安全應(yīng)用程序具備將各種安全資源服務(wù)化，抽象化成安全應(yīng)用程序的能力：支持對安全應(yīng)用程序服務(wù)進行統(tǒng)一管理安全應(yīng)用程序支持掛載多個安全資源實例，并對安全資源實例及其調(diào)度權(quán)限進行統(tǒng)一管理以及可用性監(jiān)控；安全應(yīng)用程序支持管理相應(yīng)的安全能力接口；安全應(yīng)用程序可靈活安裝、更新5.3.4.3安全能力接口安全能力接口可對安全資源所具備的安全能力進行封裝形成安全能力接口：安全編排可調(diào)用安全能力接口；可通過安全能力接口調(diào)用安全資源實例；安全能力接口可標(biāo)準(zhǔn)化，即對不同安全資源具備的同種安全能力進行抽象封裝；外部可調(diào)用安全能力接口。安全編排自動化響應(yīng)工作流程見圖3_6(資料性)安全編排自動化響應(yīng)(S0AR)的使用場景安全編排自動化響應(yīng)技術(shù)可應(yīng)用于多種場景，常見的使用場量有周期性病毒掃描、封禁惡意IP、釣魚郵件處置、挖礦告警處置等。其他威脅處置、資產(chǎn)管理、風(fēng)險排查等都可以使用安全編排自動化響應(yīng)技術(shù)。通過恰當(dāng)使用安全編排自動化響應(yīng)技術(shù)，并通過與不同場景下需使用的安全設(shè)備進行緊密配合使得不同場景下的安全事件響應(yīng)、分析與處置效率大幅度提升，從而大幅度減少安全運營成本，更好地服務(wù)安全運營?；诎踩幣抛詣踊憫?yīng)可以實現(xiàn)周期性自動化病毒掃描任務(wù)。通過S0AR劇本可實現(xiàn)獲取資產(chǎn)列表聯(lián)動掃描器進行病毒掃描，自動獲取掃描結(jié)果等一系列動作。通過任務(wù)策略的配置實現(xiàn)周期性病毒掃描的任務(wù)，可大大減少運營人員的重復(fù)性操作?；诎踩幣抛詣踊憫?yīng)可以實現(xiàn)惡意IP自動處置。面對日益增多的告警數(shù)量，分析師往往不能快速對惡意IP進行處置。在接入告警數(shù)據(jù)后，可通過觸發(fā)S0AR劇本對惡意IP進行分析研判，例如對于內(nèi)網(wǎng)惡意IP進行主機成脅調(diào)查，通過外網(wǎng)惡意IP進行封禁?；诎踩幣抛詣踊憫?yīng)可以實現(xiàn)威脅自動化處置。通過對接不同來源的告警數(shù)據(jù)，并針對不同類型的告警數(shù)據(jù)配置不同的響應(yīng)處置劇本。例如針對釣魚郵件威脅，目前，釣魚郵件的研判和處置存在工作量大、容易疏漏、流程不規(guī)范等困難。當(dāng)SOAR識別到釣魚郵件威脅后，會自動觸發(fā)相應(yīng)劇本，實現(xiàn)確認(rèn)釣魚郵件類型，對于恐意URL類型，自動聯(lián)動DNS中斷域名解析，并聯(lián)動防火墻阻斷域名解析IP;對于惡意附件類型，及時聯(lián)系收件人進行確認(rèn)，能夠極大簡化釣魚郵件威脅處置工作。7(資料性)安全編排自動化響應(yīng)(S0AR)的實施舉例B.1通用實施流程安全編排自動化響應(yīng)通用實施流程如下2)梳理需自動化的事件處置流程：3)梳理步驟2)中流程需聯(lián)動的安全設(shè)備；4)開發(fā)步驟3)中各類型安全設(shè)備對應(yīng)的安全應(yīng)用程序、安全能力接口：6)針對步驟2)的梳理結(jié)果，編寫流程劇本：7)接入需處置的數(shù)據(jù)：8)配置響應(yīng)策略，針對步驟7)接入的數(shù)據(jù)，綁定步驟6)編寫的劇本，并指定劇本觸發(fā)方式；其中，步驟2)-9)根據(jù)不同場景可省略個別步驟。B.2病毒掃描場景實施流程針對附錄A中的病毒掃描場景，安全編排自動化響應(yīng)系統(tǒng)的實施流程如下2)梳理病毒掃描流程，包括獲取資產(chǎn)信息、下發(fā)掃描任務(wù)、獲取掃描狀態(tài)、判斷是否掃描完成、獲取掃描結(jié)果；3)梳理步驟2)中流程需聯(lián)動的安全設(shè)備，包括終編安全管理系統(tǒng)4)梳理開發(fā)安全應(yīng)用程序，包括終端安全管理系統(tǒng)安全應(yīng)用程序；并同步開發(fā)終端安全管理系統(tǒng)安全應(yīng)用程序包含的安全能力接口，包括獲取資產(chǎn)信息，下發(fā)病毒掃描任務(wù)、獲取病毒掃措任務(wù)狀態(tài)、獲取病毒掃描任務(wù)結(jié)果等等；5)接入具體終端安全管理系統(tǒng)設(shè)備；6)針對步驟2)中的梳理結(jié)果，編寫流程劇本：8)配置響應(yīng)策略，針對步驟7)接入的數(shù)據(jù)，綁定步驟6)編寫的劇本，指定觸發(fā)劇本的方式為數(shù)據(jù)觸發(fā)；至此，實施完成8(資料性)安全編排自動化響應(yīng)(S0AR)的部署示例安全編排自動化響應(yīng)部署示意圖見圖C.1。安全編排自動化響應(yīng)部署示意圖見圖C.1。安全編排自動化響應(yīng)8圖0.1安全編排自動化響應(yīng)(S0AR)部署示意圖要保證于聯(lián)動的目標(biāo)