首頁 > 關于我們 > 安恒動態 > 2023 > 正文

2023年攻防演習案例丨天穹企業級安全運營中心

閱讀量：次 文章來源：安恒信息

故事背景

XX企業作為大型企業，該企業平時單日告警量少則百萬、多至千萬，資產數量眾多，告警量巨大。告警研判成員常被淹沒在海量告警中，分析效率低下且常發生漏報等情況，除此之外，告警處置組處置聯動困難，當研判分析組成員分析完畢后想要處置，只能手動導出一份表格，并人工登錄防火墻等設備進行手動封禁，聯動設備非常不方便。

安恒信息安全運營平臺的核心目標是為安全運營人員減負，通過自動化處置，提升告警分析研判與處置效率。該安全運營團隊隨即展開運營流程梳理工作，結合安全運營平臺組歷史自動化劇本經驗，沉淀出適配該企業的150+自動化處置流程劇本，并將劇本劃分為日常運營場景和重要保障場景兩大類。

#一

前期準備

1.? 平臺關系梳理與對接

現場除以安全運營平臺為核心平臺，此外還部署了安恒信息APT、日志審計、迷網系統、AiLPHA大數據分析平臺，以及某信、某盟、某安、某云等多家廠商平臺或安全設備。

匯聚了全量告警數據的AiLPHA平臺以及蜜罐等行為捕獲類設備均將告警接入至安全運營平臺；明御安全網關等防火墻類設備通過安全運營平臺的設備管理功能，統一接入并進行聯動管理。有效結合終端、網絡、邊界三層防護技術，實現防護技術統一管理與自動化調用。

產品聯動關系圖

2.? 事件協同流程線上化

事件協同流程如下，安全運營平臺在接入告警數據的同時對其進行分級分類管理：1.不同廠商負責本廠商告警所產生事件；2.本廠商負責的安全事件處理方式分為全自動化處理與半自動化處理兩大類，即可通過不同的觸發條件觸發不同的處理流程劇本。

事件分流與處置流程

#二

威脅監測及處置

1.? 基于已知威脅的7*24H自動化處置

安全運營平臺提取特定的原始威脅日志并進行關鍵字段篩選，基于業務模型建立定制化威脅監測處置基線，通過威脅建模制定安全規則，實現已知威脅的7*24小時自動化封禁處置，整個過程全程自動化，無需人工干預。

2.? 重要資產和靶標相關的優先級監測

針對重要資產進行重點監測，基于重要業務系統的安全告警信息（對內發起和對外發起）進行案件推送并標識，提醒安全運營高級工程師和技術專家對該類事件的處置優先級，進而提升重要業務系統的安全告警信息的關注和分析和閉環能力。

3. 弱口令自動發現、通知、整改的

專項處置管理

針對弱口令告警進行專項處置，集中整改，安全運營平臺針對Ailpha大數據分析平臺所收錄的各廠商威脅告警日志中篩選和提取弱口令相關風險告警周期性進行自動化收集整理，并生成“弱口令專項統計表”交付件，已工單形式發送給相關負責人進行整改，同時與釘釘聯動，在群內及時通知相關人員，督促起快速完成整改處置。

4.? 僵木蠕自動發現、通知、查殺的

專項處置管理

僵木蠕自動發現、通知、查殺的專項處置管理主要利用安全運營平臺完成整體安全事件流程的定制和關鍵節點的自動化聯動，涉及終端防病毒、流量威脅監測、網絡邊界自動化阻斷等多種防護技術。通過實施本專項處置管理，持續開展流量威脅監測、自動化識別惡意URL和惡意IP并封禁、通過樣本分析對僵木蠕程序普殺通殺，利用安全運營平臺實現安全能力自動化調用及靈活編排，實現了對僵木蠕事件從檢測、到阻斷、再到橫展清查的全鏈路有效防治。

#三

威脅情報運營管理

安全運營平臺對接安恒安全星圖平臺和微步TIP平臺，接收的的情報數據以釘釘通知形式下發至客戶側。收取來自各情報平臺情報信息，通過安全運營平臺進行下發，實現情報的快速同步和共享。

#四

自動化運維監控

1. 自動化運維巡檢

基于安全運營平臺實現安全設備自動化巡檢安全設備鏈路狀態、CPU、內存及磁盤使用率、鏈路狀態監控等信息，設置安全定制化閾值告警基線，周期性巡檢和結果提取。

當設備鏈路出現異常、設備性能指標高于閾值時將以釘釘的方式通知至相關負責人、目前已實現對接某盟WEB應用防護系統、某盟入侵防護系統、某X廠流量編排、某X廠分流器、安恒APT、日志審計、明御安全網關等安全設備，自動化巡檢告警準確率可達100%，保證日常安全運營期間安全設備運行狀態、鏈路狀態等發生異常時的第一時間發現，并快速介入處理。

2. 平臺運維保障

通過能力編排劇本實現告警結果自動匯總，實現整個安全運營期間以每小時為周期匯總及對比Ailpha告警數據、匯總工單數據及工單處置完成情況，以釘釘方式自動下發至釘釘群，與安全運營人員進行信息同步的自動化機制。

#五

成果概覽