01自动化安全事件运营--雷春.pdf

1、自动化安全事件运营Author：雷 春company：度小满Research：安全检测/应急响应/红蓝对抗等ID：lcamryNG-SIEM架构的缺陷 输出的结果是什么？（是事件吗）能直接响应处置吗？(准确性、富化度)处理需要多久？（手动、多人）ROI：实用性、时效性、复用性等举个安全事件例子是真实的告警吗？为什么会产生这个告警？机器上什么应用发出的请求？应用的漏洞点是什么？纯内网的机器为什么会被控？横向攻击路径有哪些？攻击者的开始路径是哪里？。如何快速切断攻击者的控制？如何加固当前的场景？如何挖掘攻击者的痕迹？如何清理掉所有被控的点？如何挖掘攻击者的身份？。为什么只有这么简单的告警？为什么不

2、可以做富化的告警？为什么会有大量的手工工作？为什么一线运营人员无法挖掘？为什么止损耗时那么久？为什么同类问题频频发生？举个安全事件例子威胁发现分析研判响应溯源甲方安全事件运营流程海量数据关联分析的计算能力不足（join等）信息富化（资产属性、ti、相关payload）多平台之间的调用（hive等）安全能力的调用（沙箱等）泛报警的分析研判能够有辅助指示（相关case归并）数据的二次定向挖掘安全分析能力的调用（ti、内存分析、沙箱等）事件影响面&损失评估，进行定级自动化处置（微隔离、sdw、蜜罐牵引、流量延时、样本库自动迭代等）环境加固反向溯源（数据调查、社工库等）业务需求（备案、通知等）任务调度

3、平台安全事件处置平台（研判+响应）SOARSecurity Orchestration,Automation and ResponseGartner对SOAR定义：将事件响应、编排和自动化以及威胁情报平台管理功能结合在单一解决方案中。Soa理念是否能用在非Response场景中呢？数据类的安全能力调用soa对于威胁发现，是一个检索引擎的升级功能威胁发现中的SOA准检测 攻击特征（解码&解密）攻击有效性确认（回包关联&多包关联）泛检测（行为规则、数理统计、机器学习、模式识别）警报疲劳（关联分析）自动化调整策略关联检测 海量数据下的任务拆分 跨平台数据关联 攻击链条还原（依赖资产链条、payloa

4、d、时间序列等）信息富化 资产信息（资产链条挖掘）信息补充（owner、属性等）关联情报数据非数据类的安全能力调用数据直接导入数仓 全量分析，消耗资源用时调用接口 需具备api调用能力soa对于威胁发现，也是一个安全能力聚合的方式威胁发现中的SOA安全能力IDSURL分析OCR二维码病毒引擎sandbox商业采买的安全能力 支持灵活调用、数据的全量输出自研的安全能力 基于开源的二开 根据业务场景的纯自研判断决策失陷情报匹配到异常告警DGA模型输出的异常告警暴力破解的阈值触发告警存在异常id用户VPN异常时间节点登录等等soa对于分析研判来说，更像一个运营工程师的工具库(NG哆啦A梦)分析研判中

5、的SOA高级告警攻击路径调查影响面评估&定损 泛检测的告警告警量可能超过人工能处置的范畴运营一段时间后，发现都是误报（没有安全事件），没有成果 辅助判断（信息富化、二次定向手工分析、历史数据）；反馈完善检测攻击路径很难被完整的定义出来（ATT&CK）复杂环境下极高的数据完备性要求 排查思路推荐：历史使用的方法、固定场景的sop 排查小工具的自动化执行 自动评估影响面（受影响资产统计等、资损量统计等）响应溯源中的SOA（SOAR的补充）自动化处置（hvv和非hvv的不同策略）防火墙封禁微隔离SDW-蜜罐牵引流量延时样本库自动迭代等 环境加固热补丁漏洞修复数据备份细致策略调整（u盘封禁等）反向溯源

6、（hvv和非hvv的不同打法）jsonp大数据社工库gr等 业务需求IM及时通知业务特殊情况进行备案业务特殊需求（冻结账户等）等SOA数据能力平台数据的丰富程度数据的检索能力安全能力丰富程度安全能力的复用性平台的标准化能力平台的智能化助力 SOA并不适配于所有的场景，合适的固化场景可转化为playbook；不局限不乱扩。SOA只是一种能力；可以作为单独的一个平台，也可以集成到SIEM、sirp等平台。并不是侧重于一键止损，而是优化运营的各个流程，减少运营同学手工操作，同时达到