技术经理:Tony Ding;区域经理:Rock Long

自2017年 Gartner 首次提出“安全编排、自动化及响应”- SOAR 这个术语以来,SOAR 已经确认成为 SIEM 未来发展方向,同时也是下一代 SoC 中心必要的组成部分。

今年5月份 GTI 中国在上海举办了主题为“安全润物细无声”线下体验活动,安全工团队展示了 SOAR 实战探索和项目心得。借此机会分享给大家,衷心希望能够帮助到大家,谢谢!

特别感谢我们的用户能够给项目机会我们实践,同时也感谢Tony、Zhenglu为此所付出的辛苦劳动,感谢感谢!

尊敬的新、老朋友们,

大家早上好!

2019年已过半,自己感触颇深,各位广大朋友们都非常不容易,埋头苦干和积极创新的工作过程中所自然流露出的责任感、勇于承担的精神让我感动,也深深激励着我。还有5个月时间,我与大家一起砥砺前行,适应并把握大势,坚定不移地做好自己事情。快乐生活和快乐工作,在生活和工作中找到平衡。

当下IT运维人有两条清晰的角色进化路线:系统运维人会向容器、云、Dev/Ops、现代API等方向演变和迭代;网络运维人会向软件定义网络、网络空间安全、不同安全组件之间API联动响应、安全分析等方向衍生和发展。本期侧重介绍 GTI 安全团队在安全分析和API级别联动响应的平台 SOAR 项目实战分享。

SOAR 平台的理解和运用

一、核心概念

  • Orchestration – 编排

    与过去相比,现在的安全运营中心需要整合大量的系统,运维的复杂度也大大增加,事件的响应与处理需要应对各种各样的复杂的情况。要满足这些需求,必然需要提供丰富的事件响应与处理编排能力,可以进行流程定制,流程执行,流程监控,结果的验证与评估,流程再造。

  • Automation - 自动化

    当前安全分析师在解决安全问题时所需要的数据、分析的方法与过去相比,其工作量和内容都大大增加。数据是海量的数据,大量的数据需要使用自动化方式去处理。既可以节省时间、人力、成本,也避免人在处理大量数据的过程中带来的误差或失误。

  • 合理的KPI评估体系

    系统提供编排与自动化执行能力,也需要对流程和自动化执行的结果进行有效的评估,需要提供合理的评估方法,可量化的评估指标,根据评估结果,才可以进行流程再造,优化我们的编排内容,带来整个安全运营中心的效率提升。

一套好的SOAR平台,是能够整合不同厂家的相关产品,不管是SIEM,SOC,还是IT相关产品。而传统的SOC产品更偏重于事件的采集,分析与告警,响应在SOC中更多的是靠手动的的操作,在编排、自动化响应、KPI评估体系方面有明显的不足。

二、解决什么问题

  • 大量的安全事件,都需要安全分析师的介入。需要更少的钱,来做更多的事;

    - 安全事件的精准聚焦,同时降低安全分析师的入门门槛。

  • 安全分析师的分析时间,经常被浪费在低级别或无关紧要的事件分析上;

    - 预先定义好“安全剧本”,让机器人去完成初步分析。

  • 传统的安全响应执行流程,响应时间长,人工接入多,相关处理的过程难以定量评估;

    - 与相关设备/系统进行API级别联动,自动化完成响应。

  • 人员流动,带来运营过程的变化和运营质量的变化。老人的离职,新人入职需要培训,需要时间和经验的积累。

    - 引入Case/KPI管理系统、以及安全事件完整过程、取证/分析管理系统。

三、安全运营成熟度模型与Gartner SOAR市场指南

SOAR 已经被纳入安全运营成熟度模型中的第四级“主动防御”。我们从安全咨询项目视角来观察,大型企业、组织的高级管理层一直偏爱运用成熟度模型这个工具,通过“建标”、“对标”、“达标”、“创标”四个循环阶段对网络空间安全实施治理,安全运营成熟度模型不仅是很棒的咨询/评估工具,更是企业安全建设指引方向的灯塔。

Gartner于今年27/June发布了SOAR解决方案的市场指南,各位如有兴趣可以自行下载或者联系我。全球范围内Gartner持续跟踪SOAR市场中的28家供应商,今天我们所分享的实战经验正是其中的一家 PA - Demisto。

(Published 27/June 2019 - ID G00389446)

GTI SOAR 平台实战框架

一、平台框架介绍 - GTI 定制

SOAR是需要依赖SIEM系统,我们选择的是Elastic Stack的商业版的机器学习以及自动化功能作为基础;运用Kafka分布式消息队列为整个平台搭建消息总线,将采集层、预处理层、分析层的各个模块连接到该总线上完成整体数据流的自动化运算和处理;最后Demisto作为控制层、Elastic Stack作为展示层输出。

  • 采集层

    Windows、Linux、Citrix NetScaler/ADC、PA 防火墙、ForeScout 等,以上产品都是我们 GTI 工程师所精通的产品。

  • 预处理层

    将所采集的数据先做标准格式化处理,然后进行数据清洗,再经过脱敏,最后与威胁情报进行关联分析。我们工程师所验证过的商业化威胁情报源有3个:Cortex XDR、WildFire、AutoFocus,这3个都是来自于PA。

  • 分析层

    分析层分为2个部分,Elastic用于最终的可视化,而另一个就是SOAR PA  Demisto。

  • 展示层

    可通过Kibana、Zabbix、Grafana、Mail、微信等组件完成客户所想要的可视化大屏。

  • 控制层

    通过PA Demisto 与 PA 防火墙、Tenable漏扫、DC 域控、Mail、API 语句完成自动化响应。以上所控制的项目都得到了我们工程师的验证。

该平台为以分析师为中心的安全运营的有效工具,减轻了对用户经验的需求。GTI 安全团队帮助用户以预先构建策略(剧本),与指导性调查工作流(机器人)和自动化警报分级相结合,大幅降低安全分析师的入门门槛,无需更多经验。

二、拥有SOAR平台的安全运维

加速事件响应

通过替换低级手动任务,增加相应的自动化和安全协调,事件响应时间大幅缩短,同时也提高了准确性和分析师满足度。

标准化和流程扩展

通过逐步、可复制的工作流程、安全协调为标准化事件赋能和简化响应流程,从而提高响应的基线质量,并为规模的扩大做好准备。

统一安全基础架构

安全协调平台可以充当连接结构,贯穿迄今为止完全不同的安全产品,为分析人员提供一个中央控制台,通过它可以加快事件响应。

提高安全分析师生产力

由于低级任务是自动化的,流程是标准化的,因此分析师可以将时间花在更重要的决策上,并绘制未来的安全性改进图,而不是陷入笨拙的工作中。

利用现有投资

通过自动执行可重复操作并最大限度地减少控制台切换,安全编排使团队能够轻松协调多个产品,并从现有安全投资中获取更多价值。

改善整体安全态势

上述所有收益的总和是整体改善组织的安全态势,并相应降低安全性和业务风险。

GTI SOAR 平台实战 Demo

剧本 - Playbook(重要概念之一)

剧本(或Runbooks)是基于任务的图形工作流程,可帮助实现跨安全产品的流程可视化。 这些剧本可以完全自动化,完全手动,或介于两者之间。

集成 - Integration(重要概念之二)

产品集成(或应用程序)是安全协调平台与其他产品通信的机制。 这些集成可以通过REST API,Webhooks 和其他技术来执行。 集成可以是单向的,也可以是双向的,后者允许两个产品执行跨控制台操作。

一、Windows 帐号暴力猜解检测与响应

二、Citrix 帐号暴力猜解检测与响应

三、Demo实战过程展示

7天内,DBot(机器人按照剧本)自动化处理 57.2k 个安全事件,142个事件未分配给分析师,今天新增156个事件。

由于采用的是流式实时处理分析技术,对于基础架构的配置有一定性能的要求。需要进行实时的监控。

某安全分析师的看板,有51个安全事件需要处理,延误的处理安全事件为 0。系统管理员可以自定义该安全分析师的SLA。

可以用四个参数来度量SLA的质量:事件侦测、事件响应补救、MTTD、MTTR。

完全采用图形化拖、拉、拽等方式编程,完成某种类型攻击的自动化侦测、分析、响应、纠正、API 联动。本次实战针对Window、Citrix 帐号的暴力破解先编程好了剧本集 Palybooks,后期通过dBot机器人自动化响应。

API 联动,主要是脚本化语言。例如:Python,代码量并不大,通常几十行、几个循环与判断语句、交换一下JSON/XML数据即可实现。

14大类,263个厂商进行API 深度联动集成。

https://www.demisto.com/integrations/

Elastic Stack作为展示层输出。

声明:本文来自GTI广州科宸,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。