如何配置響應編排規則 - Security Center

威脅分析與響應服務響應編排SOAR (Security Orchestration, Automation and Response) 是一種綜合性的安全解決方案，通過將不同的系統或服務按照一定的邏輯進行編排串連，實現安全警示和事件的自動化營運，旨在加強企業安全防禦，提高安全事件響應效率。

背景資訊

在基礎安全領域，安全專家有大量日常瑣碎的簡單工作，如安全性稽核、木馬和挖礦軟體處理等。這些工作佔用了進階安全專家的大量精力。熟悉企業內部環境、瞭解對手資訊、具備研究攻擊者行為模式的安全專家，沒有辦法投入更多精力到重要的網路對抗和安全研究等工作中。

而響應編排的目標是將日常工作自動化、流程化，提升安全響應速度，將安全專家從日常繁重瑣碎的工作中解放出來，集中精力對抗進階持續攻擊（APT）。日常工作流程也可作為可解釋、可執行檔規範沉澱在產品內，更利於經驗的傳承。

基本概念

開始使用響應編排之前，您需要先瞭解以下概念：

概念	說明
劇本（PlayBook）	劇本是一個預定義的、結構化的響應計劃，用於處理特定類型的事件或威脅。劇本詳細列出了在某些觸發條件（如檢測到特定安全事件）下應採取的步驟和操作。劇本可作為自動響應規則的規則動作，實現對警示和事件的自動化處置。一個劇本中有且僅有一個流程。在劇本中可對流程進資料列版本設定、輸入輸出測試、運行次數和結果統計等操作。劇本類型：預定義劇本：系統根據常見雲安全威脅情境，預定義了一些劇本處理流程，可直接在安全事件處理、自動響應規中使用，降低了使用者使用難度。例如：內建阿里雲安全性群組封鎖入方向高危IP。自訂劇本：使用者可根據實際的情境，選擇不同的組件靈活設定。適用於複雜邏輯或特定情境。
流程（Process）	流程是一系列順序執行的任務或操作，通過預定義的步驟實現某個特定的目標或功能。您可以建立自動通知、自動止血等多種類型的自動化流程。編寫一個自動化流程與繪製一個標準流程圖相同，包括開始、判斷、動作和結束節點。流程由多個相串連的組件構成，您可以通過可視化流程編輯畫布，定義每個節點的組件動作，例如，定義終端管理組件的禁用網路動作。流程定義完成後可被外部觸發，例如，當新工單產生時自動觸發自動審核工單流程。
組件（Component）	組件對應一個外部的系統或服務，例如WAF、防火牆、工單系統、資料庫或通知服務。組件可以理解為是一個串連外部服務的連接器（Connector），組件自身不承擔複雜邏輯，複雜邏輯都是由元件連線的系統或服務提供。選擇組件後，您還需要選擇組件對應的資產和動作。組件包含流程編排組件、基礎編排組件和安全處置組件。
資源執行個體（Resource Instance）	資產可以理解為是外部服務的串連資訊。以MySQL組件為例，企業內部可能存在多套MySQL系統，您首先需要確定串連到哪個資料庫中。
動作（Action）	動作是組件提供的能力，一個組件可以有多個動作。以終端管理軟體為例，會有禁用帳號、隔離網路、推播通知等動作。

Security Center：響應編排

背景資訊

基本概念

使用流程圖