SOAR如何编排指引细粒度的端点处置

SOAR如何编排指引细粒度的端点处置威胁框架：细粒度对抗威胁框架：细粒度对抗CONTENTS01面临的挑战02什么是SOAR03安天SOAR案例04安天SOAR架构05安天SOAR特点威胁框架：细粒度对抗威胁框架：细粒度对抗面临的挑战面临的挑战Page4威胁框架：细粒度对抗威胁框架：细粒度对抗威胁框架：细粒度对抗威胁框架：细粒度对抗什么是SOAR什么是SOAR（通过与其它技术的集成）并自动执行以达成预期结果，譬如分诊管理，事件响应，威胁情报，合规性管理和威胁猎捕。SOARaresolutionsthataddmachineassistancetohumansecurityoperatorsbytakinginputsfromtechnologies)andautomatedtoachieveadesiredoutcome,suchastriagemanagement,incidentresponders,threatintelligence,compliancemanagers,andthreathunting.来源：Page6威胁框架：细粒度对抗威胁框架：细粒度对抗Page7安天对SOAR的认知威胁框架：细粒度对抗威胁框架：细粒度对抗安天SOAR案例1324案例一内网Emotet传播事件：攻击过程还原1324应急响应人员排查后发现这是一起利用COVID-19为诱饵分发钓鱼邮件传播Emotet恶意代码的安全DoWhileGetObject(winmgmtS:win32_Procreate("Powershell-whidden-enJABBAHAGoAaAB6AGcAYQB1AG0AaQBnAD0AJwBOAHYAeABkAHgAZwBjAGMAYgBATgBuAHkAagB0AGgAYwByAHoAagBvAHkAdgAgAD0AIAAnADkAMwA3ACcAOwAkAEkAaMAZgBwAHMAbQA9ACcAUgBeQB2AGUAJwA7ACQARQBrAHgAaABsAA来源《利用疫情传播Emotet银行木马攻击事件梳理Page9威胁框架：细粒度对抗威胁框架：细粒度对抗案例一内网Emotet传播事件：态势感知系统威胁告警Page10威胁框架：细粒度对抗威胁框架：细粒度对抗案例一内网Emotet传播事件：系统自动分析基于ATT&CK框架融合分析Page11威胁框架：细粒度对抗威胁框架：细粒度对抗案例一内网Emotet传播事件：处置流程的精细化编排Page12威胁框架：细粒度对抗威胁框架：细粒度对抗I案例一内网Emotet传播事件：处置流程的精细化编排Page13威胁框架：细粒度对抗威胁框架：细粒度对抗威胁框架：细粒度对抗Page14威胁框架：细粒度对抗案例一内网Emotet传播事件：处置脚本编辑器(4)、脚本(5)、其他(5+)等共25+种操作原语Page15安天ARR(AntiyResponseRule)开放式处置规则定义ARRARR（AntiyResponseRule）的部分指令集1.创建注册表项/值[Reg_Create] 2.修改注册表项/值[Reg_Modify] 3.删除注册表项/值[Reg_Delete] 4.重命名注册表项/值[Reg_Rename]5.删除注册表值[Reg_Delete_Value]1.创建计划任务[Task_Create]2.修改计划任务[Task_Modify]3.删除计划任务[Task_Delete]1.创建文件[File_Create]2.修改文件[File_Modify]3.删除文件[File_Delete]4.重命名文件[File_Rename]5.修改文件属性[File_Attribute]6.删除文件指定内容[File_DelText]7.MBR修复[File_repairMbr]1.创建进程[Proc_Create] 2.挂起/恢复进程[Proc_Modify] 3.结束进程[Proc_Terminate]4.挂起指定模块线程[Proc_Module_Threads]1.下发bat脚本并运行[Script_Bat]2.下发shell脚本并运行[Script_Shell]3.下发vbs脚本并运行[Script_Vbs]4.下发powershell脚本并运行[Script_PWL]5.下载文件并运行[Script_File]1.外设弹出/规则[Other_Device]2.断网处置[Other_NetOff]3.禁用端口[Other_Disabled_Port]3.禁用ip[Other_Disabled_Ip]4.补丁修复[Other_Fix_patch]5.创建互斥免疫[Other_Create_Mutex]6.创建扫描并自动处置[Other_QuickScan]二、计划任务（可配自动处置规则）一、注册表（可配自动处置规则）三、文件（可配自动处置规则）四、进程（可配自动处置规则）五、脚本六、其他安天ARR开放式处置规则定义是安天为实现细粒度端点响应策略而定义的一组指令集合，包括了对扇区、注册表、文件、驱动、进程等进行相关操作的动作定义，并可以执行包括磁盘遍历，特征匹配搜索等逻辑动作。可以用于处理策略编排、专杀脚本生成，以执行细粒度的处置动作。安天SOAR提供ARR编辑器，并可以在部分场景中自动生成处置脚本供网管审核。ARR处置规则支持判定条件，用于触发相应处置:案例一内网Emotet传播事件：生成处置包置包派发至相关设备，并将操作记录留存Page16威胁框架：细粒度对抗威胁框架：细粒度对抗案例二CVE-2019-11043漏洞告警Page17威胁框架：细粒度对抗威胁框架：细粒度对抗案例二CVE-2019-11043漏洞处置•根据资产所属业务属性选择缓解措施缓解脚本•修改Nginx配置文件增加SecRuleREQUEST_URI\•重载NginxPage18威胁框架：细粒度对抗威胁框架：细粒度对抗威胁框架：细粒度对抗威胁框架：细粒度对抗安天SOAR架构Page20SOAR功能架构终端探针流量探针网络设备安全设备资产运维其他系统威胁情报上下文识别实体关联事件归类分析工具案件报告流程处理关联分析剧本应用线索管理效能评估AVLPK专杀统数据平台场景剧本匹配剧本管理剧本验证剧本审核加密签名版本管理剧本库验证系统自动响应核对资源管理指令集管理控制台签名验证指令下发威胁情报上下文识别实体关联事件归类分析工具案件报告流程处理关联分析剧本应用线索管理效能评估AVLPK专杀统数据平台场景剧本匹配剧本管理剧本验证剧本审核加密签名版本管理剧本库验证系统自动响应核对资源管理指令集管理控制台签名验证指令下发指令编辑指令编辑可视化编排脚本编译Page21 威胁情报 态势感知 SOAR部署结构 威胁情报 态势感知 威胁框架：细粒度对抗威胁框架：细粒度对抗安天SOAR特点安全运营能力特点安天SOAR的能力安全运营能力特点安全能力编排化效能可评估效果可验证脚本编辑可视化关联分析流程化响应处置自动化Page24安天SOAR的价值统筹与协调智能化关联智能化分析威胁行为体活动的上下文信息关联汇总相似、相关事件统筹