操作手册管理概述

    最后更新于:

    本页面内容

    概述

    操作手册是自动化响应工作流,旨在告警触发时立即缓解安全事件。无论是禁用遭入侵的用户账户、封锁IP地址还是强制执行USB策略,操作手册都能通过智能建议和预定义操作缩短响应时间并减少人工干预。本文档阐述操作手册的工作原理、执行方法,以及如何与映射至MITRE ATT&CK框架的实际应用场景相契合。

    什么是操作手册?

    当告警触发时,通过自动化响应工作流,您可在安全事件导致网络入侵前及时缓解风险。本产品支持创建此类工作流,在检测到安全事件时自动执行禁用USB端口、关闭系统、修改防火墙规则等操作。这种提供修复建议的自动化能力即称为Playbook

    Playbook建议

    策略手册建议是针对系统中每条告警生成的智能情境感知响应方案。 产品启动后,策略手册建议引擎即在后台初始化运行。这些建议基于预定义逻辑,将特定告警类型与最佳缓解或调查工作流关联——例如对可疑登录行为禁用用户账户,或在检测到端口扫描后封锁IP地址。该系统确保更快速的引导式事件响应,并在关键安全事件中最大限度减少人工决策。

    点击告警时,引擎将处理告警的事件数据与元数据,包括事件类型、源设备、用户行为及历史响应模式等参数。基于这些上下文信息,系统评估并映射出最相关的响应工作流(以操作手册形式呈现)。

    每个适用操作手册均被赋予相关性评分,反映其与告警特征的匹配程度。评分最高的五项操作手册将显示在"运行操作手册"区域。

    工作流架构

    Playbook management overview

    操作手册如何执行?

    执行策略手册有两种方式:

    A. 策略手册关联至告警配置文件时

    当事件触发告警且该告警配置文件关联了操作手册时,操作手册将自动运行。简而言之:事件引发告警,告警触发关联的操作手册。

    请参阅本文档了解如何将操作手册关联至告警配置文件。

    B. 按需执行策略手册

    当检测到事件发生时,您可手动执行策略——既可通过产品控制台的"告警"选项卡中提供的"推荐策略"列表执行,也可从"其他策略"列表中选择执行。

    以下是手动执行操作手册的分步指南。

    1. 在产品控制台中,导航至"告警"选项卡。系统为每个生成的告警提供"运行操作手册"选项。点击与目标告警关联的"运行操作手册"选项即可执行操作手册。
      Playbook management overview
      图1:告警配置文件中告警的运行操作手册选项
    2. 包含该告警可用建议的运行操作手册框将滑入显示。如图所示,点击您希望执行的任意建议选项对应的"运行操作手册"按钮。
      Playbook management overview
    3. 建议项将展开为如下所示的字段。
      Playbook management overview
    4. 不同操作手册建议的字段内容各异。完成所有必要输入后点击"运行"按钮。操作手册执行完毕后,将弹出如下提示窗口。
      Playbook management overview

    操作手册历史记录

    您可通过以下方式访问并查看迄今使用的操作手册列表:

    1. 在"告警"选项卡中,点击所需告警配置文件所在行任意位置。
      Playbook management overview
      图2:通过告警选项卡执行剧本修复措施
    2. 点击告警名称后,将显示告警详情及相关剧本。在"修复"部分可查看该告警迄今为止使用过的所有剧本历史记录。
      Playbook management overview
      图3:从修复措施查看操作手册历史记录

    预定义操作手册

    产品提供6个预定义操作手册,用于快速响应常见安全事件。这些即用型手册可执行USB端口封锁、计算机禁用、进程终止或用户注销等操作。虽然无法编辑或删除,但您可按需运行、将其关联至告警配置文件,或作为创建自定义操作手册的模板。以下是全部6个预定义操作手册及其描述:

    Playbook management overview
    图4:产品中可用的预定义操作手册列表
    策略集名称 描述
    阻止USB 此操作手册将封锁潜在受感染设备上的USB端口,并向管理员发送状态邮件。
    禁用计算机 此操作手册禁用可能已遭入侵的计算机,并将状态通过电子邮件发送给管理员。
    终止进程 此操作手册终止受感染设备上的进程,并将状态通过电子邮件发送给管理员。
    注销并禁用用户 此操作手册注销并禁用潜在受损用户账户,并将状态通过电子邮件发送给管理员。
    弹出告警 此操作手册在受影响设备上显示弹出告警,并将状态通过电子邮件发送给管理员。
    停止服务 此操作手册将停止受潜在威胁设备上的服务,并通过电子邮件向管理员发送状态报表。

    使用场景

    1. 终端环境中的实时勒索软件隔离

    使用场景

    勒索软件攻击通常始于终端设备上的可疑文件活动或未经授权的加密进程。

    借助操作手册

    当检测到潜在勒索软件攻击企图时,操作手册可协助实施有效的修复策略。您可在检测后的数秒内自动触发操作手册,执行以下操作:禁用USB端口、关闭受感染系统、通过防火墙规则阻止横向移动,并通知安全运营中心团队。这有助于缩小攻击影响范围,同时确保业务连续性。

    MITRE映射

    战术:影响(TA0040)、执行(TA0002)

    技术:数据加密以产生影响(T1486),命令与脚本解释器(T1059)

    2. 针对新兴威胁的自适应防火墙规则自动化

    应用场景

    当威胁情报源识别出恶意IP或域名等入侵指标(IoCs)后,快速响应至关重要。

    借助操作手册

    告警匹配可触发防火墙配置的即时自动化更新,例如为Cisco ASA、FortiGate、PaloAlto、SophosXG等设备禁用入站/出站规则,并有效将恶意终端列入黑名单,无需手动输入规则即可确保边界设备快速响应。

    MITRE映射

    战术:规避防御(TA0005)、命令与控制(TA0011)

    技术:入侵工具传输(T1105),应用层协议:Web 协议(T1071.001)

    3. 暴力破解攻击期间自动锁定用户账户

    使用场景

    用户账户在暴力登录尝试和密码喷洒等恶意攻击中成为目标。

    借助操作手册

    当触发多次登录失败告警时,经过精心配置的Playbook可立即禁用相关账户,在防火墙中封锁源IP地址,并通过告警通知管理员。这确保在攻击者成功认证前实现即时缓解。

    MITRE 映射

    战术:凭证访问(TA0006)

    技术:暴力破解(T1110)、密码喷射攻击(T1110.003)

    4. 通过终端管理中心智能修复漏洞

    使用场景

    未打补丁的系统极易成为攻击者的入侵入口。在大型组织中,与IT团队协调补丁部署常面临延迟或耗时问题。

    借助操作手册

    当检测到漏洞时,操作手册可自动批准补丁并通过终端管理平台启动部署,全程无需人工干预。此流程比任何手动操作更快速地修复关键漏洞。

    MITRE映射

    战术:初始访问(TA0001)、持久化(TA0003)

    技术:利用面向公众的应用程序(T1190),利用漏洞实现权限提升(T1068)

    5. 恶意设备检测与网络隔离

    使用场景

    未知设备可能突然出现在网络中,常表现异常或绕过关键资产清点。

    使用操作手册

    当可疑设备活动触发告警时,系统将同步执行路由追踪与ping测试以评估网络路径,随后禁用该设备在AD中的账户,并在防火墙创建访问拒绝规则。此举既能即时隔离可疑资产,又能同步保留取证证据。

    MITRE映射

    战术:侦察(TA0007)、横向移动(TA0008)

    技术:远程系统侦察(T1018),远程服务利用(T1210)

    6. USB安全策略集中化执行

    使用场景

    高风险系统上的未受管USB端口可能成为数据泄露攻击的入口点

    使用操作手册

    可在操作手册中配置优化方案,对检测到异常行为或违反策略的系统自动禁用USB端口。此举确保即使在分布式终端环境中也能实现零信任策略执行。

    MITRE映射

    战术:信息收集(TA0009)、数据外泄(TA0010)

    技术:数据暂存(T1074),物理介质外泄(T1052)

    延伸阅读

    本文档涵盖操作手册的功能、执行方法及使用场景。有关增强安全协调与响应的相关功能,请参阅