用TheHive实现SOAR
一、介绍
SOAR代表“安全编排、自动化和响应”,指的是一种解决方案,用于威胁领域,以更好地监控和响应安全监控工具和技术检测到的事件。随着探测恶意活动的更先进技术的发展,大多数机构正转向使用SOAR,利用自动化来有效地分析、升级和响应 analyse, escalate and respond 安全威胁。
检测方法:
安全运营中心(Security Operations Centres)也被称为SOC,它们有监控和保护关键资产的系统。这些系统有复杂的规则,以及不断运行的先进机器学习算法,以检测任何可能被归类为恶意的活动。一旦检测发生,下一步是将信息发送到SOC,供安全分析师进行调查。这个信息通常以告警Alert的形式发送进来。SOC团队然后尝试根据SLA(服务水平协议)在固定的时间内解决告警。
分析:
安全分析师将分析告警以验证潜在的攻击,确定实际发生了什么,并评估事件的影响。基于此,安全运营团队可以执行响应操作来减轻威胁参与者。
“如果分析师试图证明一项告警是有效的,他们要比试图证明它是无效的多花三分之二的时间。”
克里斯·森德斯——调查理论
响应:
通常,安全分析人员必须执行一些任务来解决告警。其中一些任务非常复杂,需要网络安全专家来完成。然而,安全分析人员也会遇到平凡而重复的任务。当分析人员接触到具有相同或重复任务的大量告警时,他们往往会出现告警疲劳,这可能导致性能降低和响应时间延长。这就是SOAR来救援的地方!
SOAR:
SOAR强调自动化,以帮助安全团队增加带宽,专注于解决安全问题。与分析师接收警报类似,SOAR解决方案也将接收警报并对其执行一些分析。根据分析结果,将有一个响应操作来减轻威胁参与者。
二、TheHive——安全事件响应
TheHive是一个可扩展的四合一开源和免费的安全事件响应平台。这4个是TheHive, Cortex, TheHive4py (TheHive的python API)和MISP。TheHive的设计是为了让soc、csirt、cert和任何信息安全从业者在处理需要迅速调查和采取行动的安全事件时生活得更轻松。简单地说,TheHive作为SOC的前端应用程序,在三个基本阶段(检测、分析和响应)以及从创建到关闭的案例/告警管理中提供帮助。
三、Cortex-强大的可观察分析和反应
Cortex是另一款由TheHive同一团队开发并与TheHive紧密合作的软件。TheHive和Cortex可以一起使用,使SOC的生活更容易。在这样的解决方案中,任何可以帮助减轻威胁行为者的破坏指标(Indicator of Compromise, IoC)或取证数据片段都被列为可观察对象 observable。Cortex是一个强大的可观察分析和主动响应引擎。它有有助于分析这些观测数据的分析器。分析者还帮助用有价值的信息丰富TheHive的告警。利用这些有价值的信息,分析人员可以运行Cortex上的Responders,轻松地自动解决安全告警。
Cortex提供了一个web界面,用于分析IP、电子邮件地址、url、域名、文件或恶意软件的哈希值。然而,这两个应用程序可以集成在一起,使用REST API进行通信,而不是在web界面之间切换。Cortex配备了分析仪和响应器,以协助安全操作的自动化。这些分析器和响应器是可以用Linux支持的任何编程语言(如Python、Ruby、Perl等)编写的自动化脚本。在我写这篇博文的时候,大约有160个analyser和24个Responders默认安装了Cortex。然而,你可以选择编写自己的分析器和响应器,并将其放在指定的目录中供Cortex使用。
TheHive & Cortex完全由StrangeBee开发和维护。
四、MISP -开源威胁Intel共享
恶意软件信息共享平台是一种开源软件解决方案,用于收集、存储、分发和共享网络安全指标、网络安全事件威胁和恶意软件分析。这是由CIRCL开发和维护的。除了MISP的许多用途之外,这个解决方案可以利用的一个主要用途是订阅许多开源威胁情报源。当TheHive与Cortex和MISP整合在一起时,它的真正力量就会显现出来。这三种工具共同作用,形成安全行动中心事件分析/响应和案例管理的全面解决方案。
每一个需要调查的安全事件都会作为警报进入TheHive。MISP有一些世界级的威胁情报供分析师或安全团队使用。因此,每当有一些新的威胁信息添加到MISP,它将自动填充到TheHive上进行分类,分析和响应。此外,除了从MISP接收事件外,还可以将解决方案配置为向MISP发送事件。因此,SOC可以将发现的威胁信息反馈给MISP,以帮助更广泛的社区领先黑客一步。
一幅画胜过千言万语!
五、剧本Playbooks-工作流自动化
在安全运营领域,分析师将致力于解决非常复杂的安全告警。这些任务中的大多数都非常复杂,需要安全专业知识。然而,对于安全专家来说,要查看生成的每一条信息,有些任务可能是平凡而耗时的。像这样的任务,有更高的人为错误的机会,这是自动化可以帮助的地方。自动化旨在减少人为干预和人为错误的可能性。
在前面的小节中,我们已经看到了如何利用开源工具的强大功能来为SOC创建一个独特的解决方案。下一步是增加一个额外的层,这将有助于自动执行一些平凡和重复的任务,以提高网络安全团队的效率。
Thehive和Cortex都有外部工具的API来利用它们的功能。TheHive有一个webhook功能,它可以在发生任何更改或事件时通知其他工具。这些强大的功能使自动化成为可能。
剧本Playbooks:
剧本是在任何事件发生时应以特定方式执行的一系列步骤。
自动化:
安全分析师可以设计和开发剧本来自动化安全告警分析和响应。有了TheHive和Cortex中可用的API和Webhook功能,它们的功能可以通过任何工作流自动化工具来创建这些脚本。
在我写这篇博客的时候,开源社区使用了一些工具。其中包括n8n、nodered、shuffle和tines。
n8n的示例脚本如下所示。
结论
我们已经看到了如何使用开源工具构建一个完全自动化和自由的SOAR解决方案。使用开源工具的好处在于,开发人员可以很容易地修改它们以满足您的需求。此外,还有一个使用、改进和支持这些工具的开源社区。
因为这个解决方案是开源和灵活的;这意味着它可以与其他解决方案集成。最有价值的集成之一是与Elastic SIEM的集成。Elastic SIEM为从所有设备中提取、转换和加载(ETL)日志和机器数据到Elasticsearch (Elastic堆栈的核心)提供了一种增强和简化的解决方案。然后,Elastic可以使用解析和充实技术来添加元数据,并使用最先进的机器学习(ML)来增强威胁分析和恶意行为检测。一个检测可以被发送到TheHive作为告警,并可能有一个全自动的解决方案来处理告警直至关闭。