Skip to content

zrf-rocket/openSOAR

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

5 Commits
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Repository files navigation

网络安全编排与自动化响应(SOAR)

关于我们

我们的技术文章和产品概述欢迎浏览我们的门户。

  • 公众号:CTO Plus

最新的动态欢迎关注我们官方唯一公众号。

微信公众号

  • 作者QQ

更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。

我的QQ

  • QQ群

我们官方组建的QQ群,如果您有兴趣也可以加入我们。

QQ群

  • 请喝咖啡

如果感兴趣,也可以请我喝杯咖啡

请我喝咖啡

产品核心功能模块

网络安全编排与自动化响应(SOAR)是企业网络安全运营中心的核心枢纽。能够帮助企业安全运营中心(SOC)高效解决面临告警疲劳、响应滞后、人员技能缺口及多工具协同复杂等问题,SOAR让编排像呼吸一样自然,让响应像流水线一样可靠,同时保持足够的灵活性以适应每个企业独特的流程与文化。

接下来,这里我将为大家介绍下我们自研的 网络安全编排与自动化响应(SOAR) 系统的核心功能与特性。下面我将简称为SOAR


一、SOAR定义与价值定位

SOAR并非单一技术,而是**人(People)、流程(Process)、技术(Technology)**三者的集成框架。其核心价值在于:

  • 提升响应速度:将分钟级甚至小时级的手动响应压缩至秒级自动化执行。
  • 降低运营成本:替代70%以上重复性、低判断难度的告警分析及处置工作。
  • 固化专家经验:将顶尖安全分析师的调查与响应路径转化为可复用的自动化剧本。
  • 打破工具孤岛:统一协调防火墙、EDR、SIEM、威胁情报等数十种安全产品。

二、核心功能模块详解

1. 安全编排与自动化(Security Orchestration & Automation) — 引擎核心

子功能 说明
可视化剧本设计器 拖拽式画布,支持条件分支、并行执行、循环、等待、人工审批节点。内置调试模式,可模拟运行并查看变量流转。
动作原子与集成框架 将各安全产品的API封装为“动作原子”(如封禁IP、隔离终端、查询威胁情报)。提供预集成连接器库,支持常见SIEM、EDR、防火墙、工单系统等。
触发器与调度 支持多种触发方式:来自SIEM/日志管理系统的告警、定时任务(如每天凌晨扫描失陷指标)、API Webhook触发、工单系统事件触发等。
变量与上下文传递 支持剧本内部变量、全局环境变量、从上一动作提取字段作为下一动作输入。实现告警→调查→处置全链路的上下文无损传递。

2. 告警管理与富化(Alert Management & Enrichment) — 降噪中心

  • 告警归一化与去重:将不同来源的异构告警转换为统一数据模型,基于指纹规则(时间+源目IP+告警类型)智能合并同类告警,减少告警风暴。
  • 告警优先级智能评分:结合资产重要性(CMDB)、漏洞信息、用户行为基线、威胁情报置信度,动态计算告警优先级(如0-100分),避免一刀切。
  • 自动化富化:触发剧本后,自动调用威胁情报(VirusTotal、微步等)、资产数据库(谁拥有该IP)、身份系统(该用户是否为管理员)为告警补充决策上下文。
  • 告警分组与事件化:将同一攻击链的多个相关告警聚类为“安全事件”,支持事件视角的全生命周期管理。

3. 案件管理(Case Management) — 人机协作枢纽

  • 案件生命周期:创建→调查→响应→关闭→回溯,支持状态流转(待分派、处理中、待复核、已关闭)。
  • 证据链与时间线:自动记录所有告警、调查动作、人工笔记、执行结果,形成不可篡改的审计时间线。
  • 协作与评论:支持分析师@提及同事、添加内部标签、上传外部证据文件。内置任务分配机制,可指定负责人与SLA。
  • 指标化与SLA监控:案件关联响应时长(MTTD、MTTR)、处置率、误报率等指标,支持SLA逾期告警。

4. 威胁情报生命周期管理(Threat Intelligence Management) — 决策弹药

  • 多源情报聚合:支持结构化情报(STIX/TAXII)、开源情报、商业情报、行业ISAC情报的集中接入。
  • 可机读情报自动化:将IOC(IP、域名、哈希)自动推送至防火墙、EDR、WAF等执行设备,实现“情报→防御”的闭环。
  • 情报置信度评估:基于情报源信誉、多源交叉验证、历史命中率等因子,为每条情报打分,剧本可据此调整响应动作强度。
  • 情报生命周期管理:支持IOC过期标记、撤销推送、自定义有效期。

5. 监测与仪表板(Monitoring & Dashboards) — 运营视图

  • 实时剧本执行监控:展示运行中剧本数量、成功/失败率、各步骤耗时瓶颈,支持快速定位失败动作并重试。
  • 安全运营态势大屏:可配置组件包括:告警趋势、TOP攻击类型、平均响应时长、人工干预率、最繁忙集成应用等。
  • 合规与报告:自动生成周/月度报告(处置概览、SLA达成率、高频剧本排行),支持导出PDF/Excel并嵌入企业Logo。

6. 工单系统集成与ITSM对接 — 流程延伸

  • 双向同步:创建安全案件时自动生成ITSM工单(ServiceNow、Jira等);工单状态变更时反向同步案件状态。
  • 升降级联动:当研判为真实攻击且风险极高时,SOAR可触发ITSM的P1级变更流程(如紧急封网);反之,误报案件可自动关闭对应工单。

三、关键特性(非功能性能力)

1. 可扩展集成架构

  • 开放API优先:提供RESTful API用于剧本触发、案件读写、动作执行,支持被第三方编排。
  • 无代码/低代码连接器开发:允许安全运维人员通过Web表单(填写API URL、认证方式、请求体模板)快速接入未预集成的应用。
  • 连接器市场:官方及社区分享的数百个预建连接器,缩短实施周期。

2. 高可用与弹性伸缩

  • 集群部署:支持主-主模式,节点故障自动漂移任务。
  • 动作队列与限流:针对响应时延敏感型设备(如防火墙),提供优先队列;同时对第三方API请求实施限流保护,避免击穿。
  • 断点续跑:剧本执行因网络抖动或下游系统超时而失败时,支持手动/自动从失败节点重试,而非从头执行。

3. 企业级权限与审计

  • 细粒度RBAC:按角色(分析师、审核员、管理员)区分访问权限,精确到单个剧本的编辑/执行/仅查看。
  • 双人复核:高危动作(如批量删除虚拟机、全网封锁IP段)可配置为“需经过指定角色的审批人批准后才真正执行”。
  • 操作审计:记录每一次剧本触发、手动动作、配置变更,满足ISO 27001、SOC2等合规要求。

4. 可观测性与韧性

  • 剧本执行追踪:分布式追踪ID贯穿整个调用链,一键查看某告警从触发到关闭经历的所有步骤及耗时。
  • 动作超时与熔断:每个动作可设置超时阈值;连续失败超过阈值时自动熔断,避免资源耗尽。
  • 沙箱试运行:提供“干运行”模式,仅输出预期动作日志而不真实下发命令,用于测试剧本逻辑。

5. 持续优化与机器学习辅助

  • 剧本分析器:识别长时间未使用的剧本、高频失败步骤、频繁触发人工干预的节点,给出优化建议。
  • 智能告警推荐:基于历史案件处置结果,提示“此类告警通常关联资产X,推荐执行剧本Y”。
  • 动态阈值调整:分析剧本执行历史,自动调整条件分支中的阈值(例如将“疑似失陷阈值”从5个IOC命中下调至3个)。

其他功能特性

等级 特征 关键能力体现
L1 - 任务自动化 简单脚本替代手工操作 预置数十个动作原子,支持基于告警类型的简单if-then规则。
L2 - 流程编排 多步骤、多系统顺序/并行执行 可视化剧本设计器,支持分支、循环、人工节点;具备案件管理与证据链。
L3 - 自适应响应 根据上下文动态调整路径 集成CMDB与UEBA,根据资产角色、用户风险评分动态选择处置力度;支持A/B测试剧本版本。
L4 - 主动防御 预测并提前阻断威胁 结合欺骗防御(蜜罐)数据,主动生成诱饵IOC;基于MITRE ATT&CK框架,针对TTP编排事前缓解动作。

四、应用场景

这里列举下我们SOAR系统的部分企业应用场景

场景 手动流程痛点 SOAR自动化方案 成效
钓鱼邮件响应 分析师手动登录邮件网关、EDR、AD、沙箱等多系统,耗时15-30分钟。 用户点击“报告钓鱼”按钮 → 触发剧本:提取附件哈希查询沙箱 → 若恶意,则EDR隔离终端、AD禁用账户、邮件网关删除全站邮件。 < 2分钟自动完成
漏洞管理闭环 扫描器报告→人工录入Jira→开发修复→再次扫描验证,流程割裂。 扫描器告警触发剧本:创建Jira工单并指派 → 等待14天后自动触发重扫 → 验证未修复则升级至变更管理流程。 全自动跟踪SLA
夜间告警研判 夜间告警无人看管,或值班人员疲于应对低风险扫描行为。 告警触发 → 富化资产信息与威胁情报 → 若资产非核心且情报置信度<30%,自动关闭案件;否则创建高优先级案件并发送语音电话给值班经理。 降低95%误报打扰

最后

  1. 流程梳理先行:切勿将混乱的手动流程直接“自动化”。需对高频响应场景(如勒索软件、数据泄露)绘制精确的流程图。
  2. API就绪性评估:现有安全产品是否提供稳定、全功能的API?若某设备无API,则需考虑通过RPA或半自动人工节点过渡。
  3. 剧本数量≠价值:一个覆盖80%钓鱼事件的剧本,远胜于20个处理边缘告警的剧本。建议从“低风险、高重复、高收益”场景切入。
  4. 变更管理与文化:安全分析师可能担心被SOAR取代。应强调SOAR处理脏活累活,人类专注于狩猎和高级分析。建立“剧本贡献榜”激励机制。

在选购或自研SOAR时,请永远记住:自动化只是手段,缩短风险暴露窗口、提升安全运营的确定性才是终极目的。


本文由 http://www.mdrsec.com 官方出品,如需转载或深度讨论,请联系作者。 更多需求问题、功能特性和定制化开发欢迎联系我们咨询。

产品清单

企业网络安全运营中心产品

  • 资产安全配置管理系统(SCMDB)
  • 终端侦测与响应系统(EDR)
  • 网络侦测与响应系统(NDR)
  • 企业网络资产攻击面管理系统(CAASM)
  • 资产暴露面管理系统(AEMS)
  • 网络安全蜜罐管理系统(HoneyPot)
  • 安全事件收集与告警管理系统(SIEM)
  • 扩展侦测与响应系统(XDR)
  • 多引擎脆弱性扫描系统(VAS)
  • 多源日志审计监测系统(LAS)
  • 网络安全威胁情报中心(TIS)
  • 网络安全漏洞库管理系统(VDBS)
  • 网络安全编排与自动化响应(SOAR)
  • 威胁狩猎系统(THS)
  • 数据库安全审计系统(DSAS)
  • AI智能体安全态势管理系统(AISPM)
  • Web防火墙(WAF)
  • 网站安全监测平台(WSM)
  • 网络安全态势感知平台(SSAP)
  • 网络安全自动化应急响应工具系统(NSRT)
  • 企业网络安全运维工具系统(SecTools)
  • 网络安全自动化等保测评系统(ASES)
  • 浏览器安全监测防护系统(BSMPS)
  • 网络安全用户实体行为分析系统(UEBA)
  • 互联网电信诈骗预警防护系统(TPFWS)
  • 云原生安全管理平台(CNAPP)
  • 自动化渗透测试系统(PTS)
  • 工业企业信息安全监测中心(IoT SOC)
  • 企业智能安全运营中心(AISOC)

企业自动化运维产品

  • 运维智能监控告警管理平台(AIMAMS)
  • 企业网络工具系统(NTools)
  • 自动化测试系统(AutoTest)
  • 自动化运维系统(AutoOps)
  • 企业运维工具系统(OpsTools)
  • 物联网管理系统(IoTS)
  • 软件开发生命周期管理系统(SDLC)
  • IT流程管理系统(ITSM)

企业数字化运营资源管理系统产品

  • 制造执行管理系统(MES)
  • 运输管理系统(TMS)
  • 跨境电商企业资源管理系统(ERP)
  • 企业客户关系管理系统(CRM)
  • 跨境电商仓库管理系统(WMS)
  • 企业财务管理系统(FMS)
  • 企业质量管理系统(QMS)
  • 精准营销管理系统(PMS)
  • 智能生产管理系统(SPMS)
  • 电商BI系统(BI)
  • 智能互联网分布式爬虫系统(AISpider)

ABOUT

【关于我们】

CTO Plus 🥰

【代码工程系列】

【产品系列】

安全运营中心(SOC)-安全编排与自动化响应(SOAR)

About

No description, website, or topics provided.

Resources

Stars

0 stars

Watchers

0 watching

Forks

Releases

No releases published

Packages

 
 
 

Contributors