首页 > 关于我们 > 安恒动态 > 2023 > 正文

2023年攻防演习案例丨天穹企业级安全运营中心

阅读量：次 文章来源：2024新奥门资料

故事背景

XX企业作为大型企业，该企业平时单日告警量少则百万、多至千万，资产数量众多，告警量巨大。告警研判成员常被淹没在海量告警中，分析效率低下且常发生漏报等情况，除此之外，告警处置组处置联动困难，当研判分析组成员分析完毕后想要处置，只能手动导出一份表格，并人工登录防火墙等设备进行手动封禁，联动设备非常不方便。

2024新奥门资料安全运营平台的核心目标是为安全运营人员减负，通过自动化处置，提升告警分析研判与处置效率。该安全运营团队随即展开运营流程梳理工作，结合安全运营平台组历史自动化剧本经验，沉淀出适配该企业的150+自动化处置流程剧本，并将剧本划分为日常运营场景和重要保障场景两大类。

#一

前期准备

1. 平台关系梳理与对接

现场除以安全运营平台为核心平台，此外还部署了2024新奥门资料APT、日志审计、迷网系统、AiLPHA大数据分析平台，以及某信、某盟、某安、某云等多家厂商平台或安全设备。

汇聚了全量告警数据的AiLPHA平台以及蜜罐等行为捕获类设备均将告警接入至安全运营平台；明御安全网关等防火墙类设备通过安全运营平台的设备管理功能，统一接入并进行联动管理。有效结合终端、网络、边界三层防护技术，实现防护技术统一管理与自动化调用。

产品联动关系图

2. 事件协同流程线上化

事件协同流程如下，安全运营平台在接入告警数据的同时对其进行分级分类管理：1.不同厂商负责本厂商告警所产生事件；2.本厂商负责的安全事件处理方式分为全自动化处理与半自动化处理两大类，即可通过不同的触发条件触发不同的处理流程剧本。

事件分流与处置流程

#二

威胁监测及处置

1. 基于已知威胁的7*24H自动化处置

安全运营平台提取特定的原始威胁日志并进行关键字段筛选，基于业务模型建立定制化威胁监测处置基线，通过威胁建模制定安全规则，实现已知威胁的7*24小时自动化封禁处置，整个过程全程自动化，无需人工干预。

2. 重要资产和靶标相关的优先级监测

针对重要资产进行重点监测，基于重要业务系统的安全告警信息（对内发起和对外发起）进行案件推送并标识，提醒安全运营高级工程师和技术专家对该类事件的处置优先级，进而提升重要业务系统的安全告警信息的关注和分析和闭环能力。

3. 弱口令自动发现、通知、整改的

专项处置管理

针对弱口令告警进行专项处置，集中整改，安全运营平台针对Ailpha大数据分析平台所收录的各厂商威胁告警日志中筛选和提取弱口令相关风险告警周期性进行自动化收集整理，并生成“弱口令专项统计表”交付件，已工单形式发送给相关负责人进行整改，同时与钉钉联动，在群内及时通知相关人员，督促起快速完成整改处置。

4. 僵木蠕自动发现、通知、查杀的

专项处置管理

僵木蠕自动发现、通知、查杀的专项处置管理主要利用安全运营平台完成整体安全事件流程的定制和关键节点的自动化联动，涉及终端防病毒、流量威胁监测、网络边界自动化阻断等多种防护技术。通过实施本专项处置管理，持续开展流量威胁监测、自动化识别恶意URL和恶意IP并封禁、通过样本分析对僵木蠕程序普杀通杀，利用安全运营平台实现安全能力自动化调用及灵活编排，实现了对僵木蠕事件从检测、到阻断、再到横展清查的全链路有效防治。

#三

威胁情报运营管理

安全运营平台对接安恒安全星图平台和微步TIP平台，接收的的情报数据以钉钉通知形式下发至客户侧。收取来自各情报平台情报信息，通过安全运营平台进行下发，实现情报的快速同步和共享。

#四

自动化运维监控

1. 自动化运维巡检

基于安全运营平台实现安全设备自动化巡检安全设备链路状态、CPU、内存及磁盘使用率、链路状态监控等信息，设置安全定制化阈值告警基线，周期性巡检和结果提取。

当设备链路出现异常、设备性能指标高于阈值时将以钉钉的方式通知至相关负责人、目前已实现对接某盟WEB应用防护系统、某盟入侵防护系统、某X厂流量编排、某X厂分流器、安恒APT、日志审计、明御安全网关等安全设备，自动化巡检告警准确率可达100%，保证日常安全运营期间安全设备运行状态、链路状态等发生异常时的第一时间发现，并快速介入处理。

2. 平台运维保障

通过能力编排剧本实现告警结果自动汇总，实现整个安全运营期间以每小时为周期汇总及对比Ailpha告警数据、汇总工单数据及工单处置完成情况，以钉钉方式自动下发至钉钉群，与安全运营人员进行信息同步的自动化机制。

#五

成果概览