攻防演练 | 安全编排自动化响应SOAR项目记录

2024-05-09 631 0

闲谈

每次攻防演练,连续的工作、紧张和休息不好搞的身心疲劳,这次有了SOAR,怎么发挥安全编排响应特点,把这半年积累的日常运营处置思路、剧本应用到攻防演练场景中,能让大家少熬个夜、轻松一点,是个让人振奋的事情。

本着充分发挥,有了锤子看什么全是钉子的精神,锤他!

小目标

之前SOAR主要在内部几个安全人员使用,攻防演练期间,涉及到多个部门、多个厂商、几十个伙伴。希望攻防演练期间,能在更省人力的情况下,更快速的遏制攻击、完成溯源。

现状

1、目前公司网络环境建设有态势感知、防火墙、漏扫、威胁情报、WAF、主机安全等系统,具备对安全事件进行事前防护、事中检测和处置能力,有完整的事件处置流程。

攻防演练中监控组、分析研判组、溯源组、处置组的分工,处置流程如下:

2、在攻防演练期间安全事件至少是日常的2-3倍,需要改进如下问题:

  • 在攻防演练中,各安全组之间协同、衔接工作多,大量安全事件需要各组进行配合、处置。
  • 目前SOAR已经异构安全设备联动起来。在事件多、时间紧的时候,还是会出现分析、研判时间不够的情况,只能采用从严处理的办法,先封禁再分析,对于业务存在一定影响。
  • 外部支持人员虽然对所操作设备熟悉,因对部分设备具有读\写权限,在紧张、疲劳的氛围下存在误操作风险。

解决办法

解决思路

借助SOAR,将挖矿、僵木蠕等可以准确告警的事件,由剧本自动完成处置工作;对于需要人工介入、分析研判的事件,将安全处置组工作进行编排,加速事件响应。按攻防演练要求,调整现有剧本逻辑:

(1)建立处置模型,将各安全组之间的协同流程进行SOAR编排,解决流转过程自动化。Ps:这里的“模型”是SOAR产品


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论