By 庄庆华@雾帜智能 2022 04/12剧本最佳实践 Top 10 SOAR 安全剧本最佳实践 © 上海雾帜智能科技有限公司   2022TOP 10 SO AR 安全剧本最佳实践 TOP 10 SOAR 安 全 剧 本 最 佳 实 践 主编：庄庆华（雾帜智能剧本专家） 2022/04/12 前 言          在 SOAR 系统当中，剧本承载的是结合人、工具、安全设备和工作流的数字化安全过程，是 安全自动化和数字化的核心元素。         SO AR 总的发展历程较短，真正开始起步的时间应该是 2017 年 Gartner 对其命名的确定，即安 全编排自动化与响应（ Security Orchestration Automation and R esponse ）。因此，可以从公开 领域获取的实践案例剧本数量非常有限，国内企业的实践剧本更是寥寥无几。          值得庆祝的是过去 3 年，随着国产 SOAR 产品的不断成熟，越来越多的国内企业也开始践行将 SOAR 平台作为安全基础架构的核心部分，帮助解决安全运营中的 “ 安全、成本和效率 ” 的三体问 题，即在兼顾安全的情况下，平衡安全运营成本和效率。          我们邀请过去 3 年中部分已经部署或即将部署雾帜 SOAR （ HoneyGuide ）的客户进行了一对 一的访谈。在本次访谈中，我们一共收集了将近 400 个在用剧本。我们的专家团队对这 400 个剧本 和我们已有的剧本仓库中的 100 多个剧本模板，总计约 500 个剧本进行了统计、分析和评估。最 终，我们从中整理了 10 个被认为通用且最有价值的优秀剧本，借本次产品发布会的机会分享给大 家。这些剧本涵盖事件响应、漏洞管理和应急预案等多个方面，希望能抛砖引玉，与大家探讨 SOAR 剧本的最佳实践。 剧 本 最 佳 实 践          什么样的剧本是好剧本？          目前来说，这尚未有标准。结合我们客户的访谈反馈和分析结果，我们认为一个好的剧本至 少具备以下特征中的一个： 集成联动型：这类剧本自动化调用多种安全设备 / 系统，实现自动化或半自动化的安全响应。 可以在不增加或不更换设备的情况下，提升企业整体防御的安全性。 日常事务型：用于辅助处理如漏洞管理、威胁情报管理等日常运营事务的剧本。这类剧本融 入到安全运营人员的日常事务和企业流程当中，或是能大大简化流程，或是能减少人工操 作，以大幅减少运营人员的日常琐事。 综合工具型：这类剧本旨在简化某一种或多种工具的操作；一般是集合了多种技术的剧本。 帮助安全人员以较低的学习成本，使用一种或多种复杂的技术，也帮助解决在实际运营中专 家人手不足时，人员补位的痛点。 © 上海雾帜智能科技有限公司   2022TOP 10 SO AR 安全剧本最佳实践 应急预案型：这类剧本通常是冷剧本，需要手动执行，用于推动一个或多个工作流的执行。 帮助团队应对突发的紧急情况。          另外，我们把一个剧本的使用频率和通用性也纳入了考量当中。除了 “ 应急预案型 ” 的剧本， 如果一个剧本在部署落地后，几乎没有被使用，那么我们可以认为该剧本没有达到它需要实现的 目标或是实现的是一个伪需求。          当然，因实际客户的业务差异，相同的剧本在不同的环境的需求是不同的。如有部分开箱即 用的剧本在 A 客户处完全没有被使用，但在 B 客户那却被频繁地使用。因此，我们尽可能地挑选通 用性较高的剧本，至少是有一定的用户量的剧本。          本次分享的剧本都已经做了脱敏，并删除或替换了一些调用非通用或客户自研设备 / 系统的 节点。我们通过对比和筛选，将多个相近的剧本做了一定整合，并进行了优化。 剧 本 列 表 序号 剧本名称 特征类型 推荐指数 1 阶梯式自动化响应剧本 集成联动型 ★★★★★ 2 恶意软件事件预处置剧本 集成联动型 ★★★★★ 3 资产漏洞扫描管理 日常事务型 ★★★★ 4 临时策略自动化管理 日常事务型 ★★★★ 5 可疑邮件分析处置剧本 集成联动型 + 综合工具型 ★★★★★ 6 IP/ 域名多维信息查询剧本 综合工具型 ★★★★★ 7 恶意Web 请求分析和响应 集成联动型 + 综合工具型 ★★★★★ 8 混合云环境响应剧本 集成联动型 ★★★★ 9 Web 页面信息泄露事件响应 应急预案型 ★★★ 10 通用紧急呼叫剧本 应急预案型 ★★★ < 推荐指数 > 说明 最高5 颗星，是综合剧本在访谈对象中的部署占比、反馈评价、通用性和实施难度等得出的。 © 上海雾帜智能科技有限公司   2022TOP 10 SO AR 安全剧本最佳实践 推荐指数 说明 ★★★★★ 强烈推荐，具备通用性，推荐优先实施 ★★★★ 非常推荐，具备通用性，实施难度不大 ★★★ 一般推荐，具备通用性，但有实施难度 ★★ 不具备通用性，且有实施难度（本次分享不包含此类剧本） ★ 不推荐，伪需求（本次分享不包含此类剧本） 本次分享的剧本当中有些用到了雾帜 HoneyGuide 的高级编排功能，如异步节点、后置节点 和数组循环展开等。日后，有机会给大家详细介绍。 剧 本 详 细 No.1 阶 梯 式 自 动 化 响 应 剧 本 （ 集 成 联 动 型 ） 剧 本 描 述          这是个比较典型的自动化响应剧本，也是比较典型的阶梯式封禁剧本， SOAR 接收到上游的 SIEM 和态势感知等发送的特定类型的事件或者 IP 列表后，会自动触发该类剧本。 剧本主要步骤如下： 1. 查询IP 白名单；存在于白名单内的地址，只向钉钉值班群通知，不做处理。 2. 查询非白名单内地址的归属地信息；根据归属地的不同实施不同的封禁策略。 国外地址：永久封禁处理