更新时间:2024-07-11
预案中心通过将安全事件响应进行编排,实现对事件处置和告警像剧本一样的执行,可实现对安全事件的闭环处置,减少人员的干预和投入。安全工程师可以使用SOAR对事件、告警、脆弱性、漏洞等安全风险进行处置,并通过联动第三方应用进行流程化管理。
预案中心原理如下图所示
事件发生时,其处置流程如下:
- 用户通过“应用管理”模块安装需要应用后, 通过“剧本管理”模块配置剧本并上线。
- 当宿主机产生新事件或告警时,会通过API接口上报主动给SOAR, SOAR读取根据事件信息匹配符合的剧本,并通过“事件管理”模块将事件信息存放SOAR自身的数据库。
- 通过Kafka将匹配剧本与事件信息发送给“工作流引擎”, 引擎读取剧本配置获取待执行时的节点信息,通过Kafka发送给“任务执行引擎”。
- “任务执行引擎”接收工作节点信息,根据节点类型判断:
- 若为内置节点如审批节点,决策器等,按对应模块进行执行
- 若为动作节点则调用该应用脚本进行执行,应用执行是通过ssh/http与外部设备通信。
- 任务节点后会进行如下操作:
- 将执行结果存放到数据库,并将执行结果通过Kafka传回给“工作流引擎”
- 通过Kafka将执行结果发送给WebSocket,WebSocket将接收到上报给前端,刷新执行流程(非必须,若无主动更新需求,可去掉)
- “工作流引擎”接收节点执行信息后,作如下操作:
- 若执行成功且存在未执行节点,重复步骤3
- 若所有节点均执行完或节点执行失败,剧本终止执行,并下发结束信息给WebSocket模块(非必须)。