劇本包如何推動可擴展的自動化

無論您的安全營運中心 (SOC) 有多先進，Splunk 預先建立的劇本包 (Playbook Pack) 都可以為分析人員提供自動化能力，以隨組織成熟度發展而擴展。Splunk Enterprise Security (ES) 的使用者可以透過 Splunk SOAR 中預先建立的 Risk Notable Playbook Pack 來實現這種可擴展的自動化。

起始點是 Splunk ES 以風險為基礎的警報 (RBA)，這項功能會產生豐富的內容相關警報，顯著減少分析人員的工作量。一個由 RBA 提出的警示事件，我們稱為 “Risk Notable” (明顯風險)，而其可能會有數百個相關的事件。也就是說，分析人員要如何將這些資料收集到一個案例中，逐一調查指標，找到相關事件以及所有受影響的實體，最終再採取行動？這就是我們將在這篇文章中深入探討的內容。我們將研究適用於 Splunk SOAR 的 Risk Notable Playbook Pack，展示它如何將案例管理、自動化和調查整合到一個流暢的工作流程中，讓任何 Splunk ES 和 Splunk SOAR 客戶都能因此受益。

以風險為基礎的案例管理
儘管在一個 Risk Notable 中已經擁有一個實體在環境中如何被攻擊利用的所有資訊，但經驗不足的分析人員通常不太知道下一步該做什麼。Splunk SOAR 提供了一個立即可用的工作流程，可指導分析人員從最初的分類一路進行到減緩攻擊。

而智慧型案例管理意味著 SOAR 會自動產生有關該次攻擊的初始報告，而所有內容都符合 MITRE ATT&CK 框架。如您在此螢幕擷取畫面中所見，它會將如 high_risk_score 事件等重要跡證標記為證據。

然後，它從該 Notable 中擷取數百個指標，透過 Splunk Intelligence Management 擴充它們，並將關鍵細節標記為證據。Splunk Intelligence Management 顯示事件中的哪些指標被評得分以及各種來源對這些指標的評價，如您在螢幕擷取畫面中所見。

使用者會看到這個資訊等待檢視，Splunk SOAR 甚至可以顯示相關事件並將它們合併到一個案例中。合併程序可以自訂，以一個欄位、多個欄位或萬用字元方式進行。調查中的值與相關事件之間的對應非常有用，可以發現分析團隊很容易忽略的事件之間的關係。說到不能忽略，讓我們看看 SOAR 如何確保您的 SOC 不會再錯過任何處理。

引導式工作流程
除了透過收集關鍵細節來幫助分析人員之外，還能透過稱為工作簿 (Workbook) 的引導式案例管理範本來呈現資訊。這些工作簿是高度可自訂的，可針對臨時調查進行調整，也可以複製或從頭開始建立，以符合組織的事件回應計畫。在以下的螢幕擷取畫面中，Risk Investigation 工作簿中包含了最佳作法，以及 Splunk 安全專家對該項 Risk Notable 建議的處理步驟。這些步驟被稱為「任務」(task)，並被組織成「階段」(phase)。Splunk SOAR 隨附了幾個可供選擇的範本。此處顯示的是 Risk Investigation 範本，其中包含一個稱為 “Initial Triage” (初步分類) 的階段。

Initial Triage 階段會引導分析人員檢視警報詳細資訊、取得調查的所有權、檢視初始擴充資訊，然後將調查結果與其他 Risk Notable 合併，然後做出判定。此階段的最後一個互動點稱為 “render_verdict”，會輸出如下結果。

“render_verdict” 會提示分析人員選擇回應計畫。此時將根據系統可用的內容自動選擇回應計畫。在上面的螢幕擷取畫面中，目前選擇了 risk_notable_mitigate，它將指導分析人員完成調查的減緩階段。一旦分析人員按下 “Complete”，Splunk SOAR 將新增下一個名為 “Risk Response” 的工作簿。讓我們看看自動化如何與分析人員一起工作，以遏制和減緩實體受到的影響。

可擴展的自動化
在 Risk Response 工作簿中，SOAR 使用從 Splunk Intelligence Management 收集的資訊和您的擴充手冊來列出應該立即採取行動的項目。這種作法能省下逐一調查的寶貴時間，否則就得耗時篩選潛在的數百個指標。

在對這些指標採取行動時，Splunk SOAR 將確保資料會和正確的劇本配對，視您所有可用的連接器而定。當您匯入新的自動化劇本或使用 Visual Playbook Editor (VPE) 開發自己的自動化劇本時，它們會被註冊到 Risk Notable Playbook Pack，以便在未來的所有調查中自動使用。這種模組化和可擴展的方法，可確保您在處理網路釣魚和惡意軟體回應等情況時可以重複使用這些相同的劇本。對於那些想要完全控制一切的自動化工程師，VPE 支援以多種方式與事件中的資料進行互動，並可以根據您的需要進行精細和彈性的處理。此處是一個範例劇本，它利用 VMware Carbon Black 來阻擋上一個螢幕擷取畫面中的一個指標。

顯然，擋下危害指標很重要，在攻擊發生期間，您還要確保自動化功能可以適當保護資產和身分。為此，您如何知道何時要停用帳戶並重置密碼，並且它不是關鍵的服務帳戶？這就是智能圍堵 (Smart Containment) 功能上場的時機。

智能圍堵
Splunk SOAR 將會掃描主機、使用者、電子郵件帳戶和 IP 地址等所有跡證，然後將其與 Splunk ES 收集的資產和身分資訊配對。然後，事件回應人員將可獲得他們需要的相關內容，以明智地判斷可以立即安全地隔離哪些實體。

如果沒有需要圍堵的整合功能，Splunk SOAR 也會讓使用者知道。它還將回報哪些使用者和哪些資產被路由到哪些工具，並將所有這些資訊儲存到現有調查結果中。我們是否說過這些資料都可以即時同步到 Splunk？想像一下，可以即時回報某一地點上的每個指標、每個動作和每個注意事項有多棒。

入門
如果您現在就是 Splunk SOAR 使用者並有使用 Splunk ES，請在您的自動化和案例管理策略中使用 Risk Notable Playbook Pack。您可在此處的 Splunk 文件找到實作的詳細資訊。如果您不熟悉 Splunk SOAR 或仍在開發適用於您的環境的 SOAR，請瀏覽 https://splunk.com/soar 了解可以怎麼做。在這個頁面上，您還可以找到註冊我們免費 Community 版本的連結。如果您希望看到 Risk Notable Playbook Pack 的實際應用，請觀看我們在 .conf21 上的示範「SEC1590C - 使用以風險為基礎的分析和 Splunk SOAR 來強化案例管理」。您還可以查看 .conf22 中 Splunk SOAR 和 Splunk ES 主題的議程列表。

我們在這裡討論了很多使用自動化來強化案例管理的作法，但這還只是開始。在某些風險高的情況下，您需要一個能夠在情況失控之前立即對受影響實體採取行動的自動化平台。採取此類行動的一個絕佳範例就是零信任 (Zero Trust)，您可以在此處了解更多資訊：跨零信任架構 (ZTA) 實現自動化。我期待在未來發布更多我們的劇本包的資訊。

本文由 Splunk 的 SOAR 資深產品行銷經理 Dane Disimino 合著。

作者
Kelby Shelton
Kelby Shelton 的大半職業生涯都是擔任事件回應者，為大型和小型公司進行過警示分類、威脅分析和事件報告。在此期間，他開發出多項偵測功能，建立了 SOC 回應計畫，並利用自動化對新出現的威脅做出快速回應。他現在指導全球企業如何在整個安全生命週期中有效地使用 Splunk 產品。