SOAR如何編排指引細粒度的端點處置威脅框架：細粒度對抗威脅框架：細粒度對抗CONTENTS01面臨的挑戰02什么是SOAR03安天SOAR案例04安天SOAR架構05安天SOAR特點威脅框架：細粒度對抗威脅框架：細粒度對抗面臨的挑戰面臨的挑戰Page4威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗什么是SOAR什么是SOAR（通過與其它技術的集成）并自動執行以達成預期結果，譬如分診管理，事件響應，威脅情報，合規性管理和威脅獵捕。SOARaresolutionsthataddmachineassistancetohumansecurityoperatorsbytakinginputsfromtechnologies)andautomatedtoachieveadesiredoutcome,suchastriagemanagement,incidentresponders,threatintelligence,compliancemanagers,andthreathunting.來源：Page6威脅框架：細粒度對抗威脅框架：細粒度對抗Page7安天對SOAR的認知威脅框架：細粒度對抗威脅框架：細粒度對抗安天SOAR案例1324案例一內網Emotet傳播事件：攻擊過程還原1324應急響應人員排查后發現這是一起利用COVID-19為誘餌分發釣魚郵件傳播Emotet惡意代碼的安全DoWhileGetObject(winmgmtS:win32_Procreate("Powershell-whidden-enJABBAHAGoAaAB6AGcAYQB1AG0AaQBnAD0AJwBOAHYAeABkAHgAZwBjAGMAYgBATgBuAHkAagB0AGgAYwByAHoAagBvAHkAdgAgAD0AIAAnADkAMwA3ACcAOwAkAEkAaMAZgBwAHMAbQA9ACcAUgBeQB2AGUAJwA7ACQARQBrAHgAaABsAA來源《利用疫情傳播Emotet銀行木馬攻擊事件梳理Page9威脅框架：細粒度對抗威脅框架：細粒度對抗案例一內網Emotet傳播事件：態勢感知系統威脅告警Page10威脅框架：細粒度對抗威脅框架：細粒度對抗案例一內網Emotet傳播事件：系統自動分析基于ATT&CK框架融合分析Page11威脅框架：細粒度對抗威脅框架：細粒度對抗案例一內網Emotet傳播事件：處置流程的精細化編排Page12威脅框架：細粒度對抗威脅框架：細粒度對抗I案例一內網Emotet傳播事件：處置流程的精細化編排Page13威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗Page14威脅框架：細粒度對抗案例一內網Emotet傳播事件：處置腳本編輯器(4)、腳本(5)、其他(5+)等共25+種操作原語Page15安天ARR(AntiyResponseRule)開放式處置規則定義ARRARR（AntiyResponseRule）的部分指令集1.創建注冊表項/值[Reg_Create] 2.修改注冊表項/值[Reg_Modify] 3.刪除注冊表項/值[Reg_Delete] 4.重命名注冊表項/值[Reg_Rename]5.刪除注冊表值[Reg_Delete_Value]1.創建計劃任務[Task_Create]2.修改計劃任務[Task_Modify]3.刪除計劃任務[Task_Delete]1.創建文件[File_Create]2.修改文件[File_Modify]3.刪除文件[File_Delete]4.重命名文件[File_Rename]5.修改文件屬性[File_Attribute]6.刪除文件指定內容[File_DelText]7.MBR修復[File_repairMbr]1.創建進程[Proc_Create] 2.掛起/恢復進程[Proc_Modify] 3.結束進程[Proc_Terminate]4.掛起指定模塊線程[Proc_Module_Threads]1.下發bat腳本并運行[Script_Bat]2.下發shell腳本并運行[Script_Shell]3.下發vbs腳本并運行[Script_Vbs]4.下發powershell腳本并運行[Script_PWL]5.下載文件并運行[Script_File]1.外設彈出/規則[Other_Device]2.斷網處置[Other_NetOff]3.禁用端口[Other_Disabled_Port]3.禁用ip[Other_Disabled_Ip]4.補丁修復[Other_Fix_patch]5.創建互斥免疫[Other_Create_Mutex]6.創建掃描并自動處置[Other_QuickScan]二、計劃任務（可配自動處置規則）一、注冊表（可配自動處置規則）三、文件（可配自動處置規則）四、進程（可配自動處置規則）五、腳本六、其他安天ARR開放式處置規則定義是安天為實現細粒度端點響應策略而定義的一組指令集合，包括了對扇區、注冊表、文件、驅動、進程等進行相關操作的動作定義，并可以執行包括磁盤遍歷，特征匹配搜索等邏輯動作。可以用于處理策略編排、專殺腳本生成，以執行細粒度的處置動作。安天SOAR提供ARR編輯器，并可以在部分場景中自動生成處置腳本供網管審核。ARR處置規則支持判定條件，用于觸發相應處置:案例一內網Emotet傳播事件：生成處置包置包派發至相關設備，并將操作記錄留存Page16威脅框架：細粒度對抗威脅框架：細粒度對抗案例二CVE-2019-11043漏洞告警Page17威脅框架：細粒度對抗威脅框架：細粒度對抗案例二CVE-2019-11043漏洞處置?根據資產所屬業務屬性選擇緩解措施緩解腳本?修改Nginx配置文件增加SecRuleREQUEST_URI\?重載NginxPage18威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗威脅框架：細粒度對抗安天SOAR架構Page20SOAR功能架構終端探針流量探針網絡設備安全設備資產運維其他系統威脅情報上下文識別實體關聯事件歸類分析工具案件報告流程處理關聯分析劇本應用線索管理效能評估AVLPK專殺統數據平臺場景劇本匹配劇本管理劇本驗證劇本審核加密簽名版本管理劇本庫驗證系統自動響應核對資源管理指令集管理控制臺簽名驗證指令下發威脅情報上下文識別實體關聯事件歸類分析工具案件報告流程處理關聯分析劇本應用線索管理效能評估AVLPK專殺統數據平臺場景劇本匹配劇本管理劇本驗證劇本審核加密簽名版本管理劇本庫驗證系統自動響應核對資源管理指令集管理控制臺簽名驗證指令下發指令編輯指令編輯可視化編排腳本編譯Page21 威脅情報 態勢感知 SOAR部署結構 威脅情報 態勢感知 威脅框架：細粒度對抗威脅框架：細粒度對抗安天SOAR特點安全運營能力特點安天SOAR的能力安全運營能力特點安全能力編排化效能可評估效果可驗證腳本編輯可視化關聯分析流程化響應處置自動化Page24安天SOAR的價值統籌與協調智能化關聯智能化分析威脅行為體活動的上下文信息關聯匯總相似、相關事件統籌