介绍Shuffle一个开源SOAR平台第1部分
介绍Shuffle一个开源SOAR平台第1部分
所有的蓝队和信息安全部门都有两个共同的问题:警报疲劳和缺乏发展。_如果你不给安全专家难题来解决,而是给他们救火,而环境停滞不前,这最终将导致人员流动。_这是事件响应团队的一个常见主题,Shuffle正在寻求解决它。然而,如何解决这些问题呢?继续读下去,我将向您介绍开源的魔力。
Shuffle是大约一年前(2019年年中)作为一个业余项目启动的。我一遍又一遍地为胶带系统编写相同的代码,这对于30多个系统来说是相当乏味的。我知道有更好的方法,而且作为一名开发人员和安全专家,我看到了对更好结构的需求,最终导致了混乱。我最初计划把它变成一个SaaS平台,但在看到对开源SOAR平台的需求后,我决定免费提供它。
一、SOAR是什么?
SOAR(安全编配、自动化和响应)已经存在几年了,它是最近信息安全行业一些大型需求的一部分。SOAR平台的重点是端到端的处理事件——在事件发生之前、期间和之后进行自动化处理。
在单一平台中,端到端的一个问题是视图很杂乱,而且很难使用,因为它们试图撒网太广。这通常以威胁情报、ticket、漏洞管理、电子邮件分析、云安全等形式存在。仅仅因为可以做,并不意味着应该做。
一、什么是Shuffle?
Shuffle是对SOAR的开源解释。它的目标是通过即插即用的应用程序,在整个企业中提供所有必要的数据传输功能,让每个人都能实现自动化。它应该消除团队中对程序员的需求(我仍然建议至少有一名程序员),通过能够在几分钟内部署新的、复杂(或简单)的工作流程,而不是几小时或几天的时间,赋予每个人力量。
Shuffle是如何做到的呢?通过工作流和应用程序。您可能对这两个词都很熟悉,前者是自动化剧本,后者是集成。
二、集成是如何工作的?
要使Shuffle可访问,它需要有现成的集成。拥有一个由支持者和创造者组成的社区是件好事,但我们想得更远。Shuffle使用OpenAPI和现有的Web API标准,让你访问一个构建器来动态创建应用,如左图所示。
如果您查看这个现有的集成网站,它显示了11.000多个带有OpenAPI定义的端点。这意味着您将在几分钟内就拥有产品的现有集成,而不是几天的开发时间。
在OpenAPI之上,我们采用了_WALKOFF的集成方法和结构_,这意味着他们的应用程序也能与Shuffle一起工作。
三、工作流程是什么?
工作流是Shuffle的一部分,所有的东西都汇集在一起。使用应用程序、触发器和变量,Shuffle让你能够访问所有你需要的工具,让你的平台相互交流。下面是一个使用这三种方法的基本例子。
Hello world example in Shuffle with Triggers, Actions and Variables
如前一节所述,一个应用程序有多个动作,而这些动作又有多个参数。“Hello world”(左下角)是动作“Repeat back to me”运行应用程序“Testing”。
" Repeat back to me “有一个参数,在这里是变量” Hello world Variable "
如果有人发送一个POST请求到触发器“Webhook”,这个工作流将被执行。它也可以手动执行。
动作、webhook和参数可以重用、复制和组合在一起来创建任何你能想到的东西。此外,工作流是用JSON定义的,这种格式可以通过编程来理解。这意味着,将来会有一个值得注意的现成工作流库可供选择。
四、为什么要使用Shuffle?
该平台具有自动化、报告、共享和打包任何信息的能力,本质上是为任何从事运营安全工作的人构建的。可以通过OpenAPI等现有标准轻松实现自动化,通过执行视图获得更多乐趣,最后但并非最不重要的是,还可以提高效率。
选择开源意味着它可以快速发展,只要基线是稳定和安全的。它目前处于测试阶段,有几个测试人员正在生产中,如果你也想测试它,我们将非常感激。联系或查看安装指南。
五、Shuffle的下一步是什么
由于采纳是一个关键因素,所以这只是一篇介绍性的文章,没有多少深度。我想要Shuffle来激发蓝队的激情,因为红队感觉有持续的发展,而蓝队似乎缺乏。为了进一步推进这个议程,我将在未来几周发布一系列帖子,涵盖从安装到集成和应用程序构建的所有内容。
(1)介绍Shuffle(这篇博文)
(2)Shuffle入门
(3)整合了Shuffle, Virustotal和hive
(4)使用Shuffle实时执行TheHive和MISP
(5)高级工作流程演练
(6)Shuffle的(不那么遥远的)未来(Mitre att&ck,动态仪表板,资产管理,KPI等)