Shuffle SOAR?
1. 基礎操作與配置
1.1 環境搭建與系統要求
1.1.1 硬件與操作系統要求
Shuffle SOAR 平臺作為一款開源的安全編排、自動化與響應(SOAR)工具,其部署方式靈活,支持云端和自托管兩種模式。對于自托管部署,官方推薦使用容器化技術,以確保環境的隔離性和可移植性。根據官方文檔和社區實踐,部署 Shuffle 的推薦操作系統為 Ubuntu Server 22.04 LTS 。選擇 Ubuntu Server 作為基礎操作系統,主要基于其廣泛的社區支持、穩定的性能以及對 Docker 等容器化技術的良好兼容性。在硬件配置方面,雖然官方并未提供詳細的最低硬件要求,但考慮到 Shuffle 需要運行多個容器服務(包括后端數據庫、前端應用、調度器等),建議至少分配 4GB 的內存和 2 個 CPU 核心。對于生產環境或需要處理大量并發工作流的場景,應根據實際負載情況,適當增加硬件資源,例如分配 8GB 或更多的內存,以及更多的 CPU 核心,以保證平臺的穩定運行和高效響應。存儲空間方面,除了操作系統本身占用的空間外,還需要為 Docker 鏡像、容器日志、數據庫文件以及工作流執行過程中產生的臨時文件預留足夠的空間,建議至少準備 50GB 的可用磁盤空間。
1.1.2 軟件依賴:Docker 與 Docker Compose
Shuffle SOAR 的自托管部署完全依賴于 Docker 和 Docker Compose。Docker 是一種開源的容器化平臺,它允許開發者將應用程序及其所有依賴項打包到一個輕量級、可移植的容器中,從而實現快速、可靠的應用部署。Docker Compose 則是一個用于定義和運行多容器 Docker 應用程序的工具。通過使用 YAML 文件來配置應用程序的服務,用戶可以使用單個命令來創建和啟動所有服務。在部署 Shuffle 之前,必須先在目標服務器上安裝 Docker 和 Docker Compose。安裝過程相對簡單,可以通過官方提供的腳本或包管理器(如 apt)來完成。例如,在 Ubuntu 系統上,可以使用以下命令來安裝 Docker:
sudo apt update sudo apt install docker.io
安裝完成后,還需要將當前用戶添加到 docker 組,以便無需使用 sudo 即可運行 Docker 命令:
sudo usermod -aG docker $USER
對于 Docker Compose,可以從其官方 GitHub 倉庫下載最新版本的二進制文件,并將其放置在系統的 PATH 中。安裝完成后,可以通過運行 docker --version 和 docker-compose --version 命令來驗證安裝是否成功。這些軟件依賴是 Shuffle 平臺正常運行的基礎,確保了其各個組件(如數據庫、后端 API、前端界面)能夠在隔離的環境中協同工作,同時也簡化了部署和管理的復雜性。
1.1.3 安裝步驟:通過 Docker Compose 部署
Shuffle SOAR 的自托管部署過程主要通過 Docker Compose 來完成,這大大簡化了安裝和配置的復雜性。首先,需要從 Shuffle 的官方 GitHub 倉庫克隆最新的代碼庫。可以使用 git clone 命令來完成這一操作:
git clone https://github.com/Shuffle/Shuffle.git
克隆完成后,進入 Shuffle 目錄,該目錄中包含了部署所需的所有文件,包括 docker-compose.yml 文件。在啟動服務之前,需要進行一些必要的配置。一個重要的步驟是修復數據庫的權限問題,以避免在啟動過程中出現錯誤。具體來說,需要更改 shuffle-database 目錄的所有權和權限。可以使用以下命令來完成:
sudo chown -R 1000:1000 shuffle-database
這個命令將 shuffle-database 目錄的所有者和所屬組更改為 1000:1000,這是 Docker 容器中運行數據庫服務的用戶 ID 和組 ID。完成權限設置后,就可以使用 Docker Compose 來啟動所有服務了。在 Shuffle 目錄中,運行以下命令:
docker-compose up -d
這個命令會根據 docker-compose.yml 文件中的定義,下載所需的 Docker 鏡像,并以后臺模式啟動所有容器服務,包括數據庫、后端 API、前端界面和調度器等。啟動過程可能需要一些時間,具體取決于網絡速度和服務器性能。啟動完成后,可以通過訪問服務器的 IP 地址和指定的端口(默認為 80 或 443)來訪問 Shuffle 的 Web 界面。整個部署過程充分利用了 Docker Compose 的便利性,將復雜的依賴關系和環境配置封裝在 YAML 文件中,使得用戶可以快速、一致地部署 Shuffle 平臺。
1.1.4 配置方法:使用 .env 文件進行配置
Shuffle 平臺的配置主要通過一個名為 .env 的環境變量文件來完成。這個文件位于 Shuffle 項目的根目錄下,包含了各種用于自定義平臺行為的配置項。當使用 Docker Compose 啟動服務時,它會自動讀取 .env 文件中的變量,并將其傳遞給相應的容器。這種配置方式非常靈活,允許用戶在不修改核心代碼或 Docker Compose 文件的情況下,輕松地調整平臺的各項設置。官方配置文檔指出,.env 文件可以用于設置默認的環境變量、數據庫位置、端口轉發、GitHub 倉庫地址等多種參數 。
雖然對于初次部署的用戶來說,使用默認的 .env 文件通常已經足夠,但在某些情況下,用戶可能需要根據自己的環境進行修改。例如,如果服務器上的 3001 端口已被其他服務占用,用戶可以在 .env 文件中修改 FRONTEND_PORT 變量來指定一個不同的端口。同樣,如果需要連接到外部的數據庫或使用特定的代理服務器,也可以通過修改 .env 文件中的相應變量來實現。在部署指南中提到,修改 .env 文件是可選的,但對于需要進行高級配置的用戶來說,這是一個非常重要的步驟 。通過編輯這個文件,用戶可以精細地控制 Shuffle 平臺的各個方面,以滿足其特定的安全和網絡要求。
1.2 用戶管理與基本設置
1.2.1 用戶賬戶創建與管理
Shuffle SOAR 平臺提供了完善的用戶管理和多租戶功能,使其能夠滿足不同規模組織的需求,特別是對于 MSSP(托管安全服務提供商)等需要為多個客戶提供獨立環境的場景 。在首次訪問 Shuffle 的 Web 界面時,系統會引導用戶進行初始設置,包括創建管理員賬戶。管理員賬戶擁有最高權限,可以管理整個平臺的配置、用戶、工作流和應用。在管理員賬戶創建完成后,可以通過管理界面來創建和管理其他用戶賬戶。在創建新用戶時,可以為其分配不同的角色和權限,以控制其對平臺資源的訪問范圍。例如,可以創建只讀用戶,他們只能查看工作流和執行結果,但不能進行修改;也可以創建具有特定工作流編輯權限的用戶。此外,Shuffle 還支持組織和子組織的概念,允許管理員將用戶和資源進行邏輯分組,實現更精細的權限控制。每個組織都可以擁有自己的一套工作流、應用和用戶,彼此之間相互隔離,確保了數據的安全性和隱私性。這種多租戶架構使得 Shuffle 能夠靈活地適應各種復雜的組織架構和安全管理需求。
1.2.2 基本系統設置與配置
Shuffle SOAR 平臺的基本系統設置和配置主要通過其 Web 界面來完成。在管理員登錄后,可以訪問設置頁面,對平臺的各項參數進行配置。這些設置包括但不限于:
系統信息:可以查看和修改平臺的名稱、描述等基本信息。
用戶管理:如前所述,可以在這里創建、編輯和刪除用戶賬戶,并管理其角色和權限。
組織管理:可以創建和管理組織及子組織,并為用戶分配相應的組織。
應用管理:Shuffle 提供了豐富的應用庫,用戶可以在這里瀏覽、安裝和配置各種應用。每個應用都代表一個可以與外部系統(如 SIEM、EDR、威脅情報平臺)集成的連接器。在配置應用時,通常需要提供目標系統的 API 密鑰、URL 等認證信息。
密鑰管理:Shuffle 支持與外部密鑰管理服務(KMS)集成,以安全地存儲和管理 API 密鑰等敏感信息 。這避免了將密鑰硬編碼在工作流中,提高了安全性。
通知設置:可以配置平臺的通知方式,例如通過電子郵件或 Slack 等渠道發送工作流執行結果或告警信息。
通過這些基本設置,管理員可以根據組織的實際需求,對 Shuffle 平臺進行個性化定制,確保其能夠與現有的安全工具和工作流程無縫集成,并滿足特定的安全和合規要求。
2. 核心功能與高級特性
2.1 工作流設計(Workflows)
2.1.1 工作流核心概念與構成
在 Shuffle SOAR 平臺中,工作流(Workflow)是實現安全自動化和編排的核心單元。一個工作流本質上是一系列預定義的、相互關聯的步驟,用于完成特定的安全任務,例如事件響應、威脅情報查詢或漏洞管理 。工作流的設計基于無代碼/低代碼的理念,使得不具備編程背景的安全分析師也能夠通過直觀的圖形化界面來創建和修改復雜的自動化流程。一個典型的工作流由以下幾個核心部分構成:
觸發器(Trigger) :工作流的起點,定義了何時啟動工作流。觸發器可以是多種類型,例如接收到來自 SIEM 的告警(通過 Webhook)、定時任務(Schedule)或手動啟動(User Input)。
動作(Action) :工作流的基本執行單元,代表一個具體的操作。每個動作都與一個特定的應用(App)相關聯,例如查詢威脅情報、發送郵件、創建工單或在防火墻中封禁 IP。
條件(Condition) :用于在工作流中實現邏輯分支。可以根據前一個動作的輸出結果或特定的條件判斷,來決定下一步執行哪個動作。這使得工作流能夠根據不同的場景做出不同的響應。
循環(Loop) :用于重復執行一系列動作,直到滿足某個條件為止。例如,可以循環查詢一個 IP 地址的信譽,直到獲得結果或達到最大重試次數。
變量(Variable) :用于在工作流的各個步驟之間傳遞數據。例如,可以將一個動作的輸出結果存儲在變量中,然后在后續的動作中引用該變量。
通過這些核心組件的組合,用戶可以構建出功能強大且靈活的自動化劇本,以應對各種復雜的安全場景。
2.1.2 無代碼/低代碼拖拽式界面
Shuffle SOAR 平臺最顯著的特點之一是其直觀、易用的無代碼/低代碼拖拽式工作流編輯器 。這個編輯器是平臺的核心,它極大地降低了安全自動化的門檻,使得安全分析師無需編寫復雜的代碼,就能設計和實現復雜的自動化流程。在工作流編輯器中,用戶可以像搭積木一樣,通過簡單的拖拽操作,將各種預定義的動作(Actions)和邏輯組件(如條件、循環)連接起來,構建出完整的工作流。每個動作都以一個可視化的節點表示,節點之間通過連線來表示數據的流向和執行的順序。用戶可以通過點擊節點來配置其參數,例如,在“查詢威脅情報”這個動作中,可以輸入要查詢的 IP 地址或域名。這種可視化的設計方式不僅使得工作流的創建過程更加直觀和高效,也使得工作流的邏輯結構一目了然,便于理解和維護。此外,Shuffle 還提供了豐富的內置應用庫,涵蓋了各種主流的安全工具和平臺,用戶可以直接將這些應用拖拽到工作流中,實現與外部系統的快速集成。這種無代碼/低代碼的設計理念,使得 Shuffle 能夠被更廣泛的安全團隊所接受和使用,從而加速安全運營的自動化進程。
2.1.3 工作流開發基礎
在 Shuffle 中開發工作流,首先需要理解其三種基本類型:觸發器(Trigger)、子工作流(Subflow)和獨立工作流(Standalone)。觸發器工作流是由特定事件自動啟動的,例如,當 SIEM 產生一個高優先級的告警時,可以通過 Webhook 觸發一個預定義的事件響應工作流。子工作流則是可以被其他工作流調用的模塊化組件,通常用于封裝一些可復用的邏輯,例如,一個用于查詢多個威脅情報源的子工作流可以被多個不同的事件響應工作流所調用,從而避免了重復開發。獨立工作流則需要手動啟動,通常用于執行一些臨時的、非周期性的任務,例如,進行一次性的安全評估或應急演練。
開發工作流的基本步驟如下:
選擇工作流類型:根據實際需求,選擇合適的工作流類型。
添加觸發器:對于觸發器工作流,需要配置相應的觸發條件,例如,設置 Webhook 的 URL,或定義定時任務的執行頻率。
設計流程:在編輯器中,通過拖拽的方式,將所需的動作和邏輯組件添加到畫布上,并用連線將它們連接起來,形成完整的流程。
配置動作:為每個動作節點配置必要的參數。這些參數可以是靜態的,也可以是動態的,例如,可以引用前一個動作的輸出結果或工作流的輸入參數。
測試與調試:Shuffle 提供了工作流的測試功能,可以模擬執行過程,并查看每個節點的輸入和輸出,以便于調試和驗證工作流的正確性。
發布與啟用:完成開發和測試后,可以將工作流發布并啟用,使其能夠響應真實的事件。
通過以上步驟,即使是初學者也能夠快速上手,開發出滿足自身需求的安全自動化工作流。
2.2 自動化劇本(Playbooks)編寫
2.2.1 劇本的定義與作用
在安全運營領域,劇本(Playbook)通常指的是一套標準化的、文檔化的流程,用于指導安全分析師在特定安全事件發生時如何進行響應。它詳細描述了從事件檢測到最終恢復的每一個步驟,包括需要執行的操作、需要調用的工具、需要通知的人員以及決策點等。劇本的目的是確保安全事件響應的一致性、高效性和可重復性,避免因人為因素導致的響應延遲或操作失誤。在 Shuffle SOAR 平臺中,劇本的概念被進一步擴展和強化。Shuffle 中的劇本不再僅僅是靜態的文檔,而是可以被平臺自動執行的工作流(Workflow)。通過將劇本中的每一個步驟轉化為工作流中的一個動作(Action),Shuffle 能夠將整個響應流程自動化,從而極大地縮短了平均響應時間(MTTR),并減輕了安全分析師的負擔。例如,一個針對網絡釣魚郵件的響應劇本,可以被設計成一個 Shuffle 工作流,該工作流能夠自動解析郵件內容、提取附件和 URL、查詢威脅情報、在沙箱中分析附件、并根據分析結果自動執行隔離主機、封禁 IP、通知用戶等一系列操作。
2.2.2 基于工作流的劇本創建
在 Shuffle 中創建自動化劇本,本質上就是設計和開發一個工作流。這個過程充分利用了 Shuffle 的無代碼/低代碼工作流編輯器的優勢,使得劇本的創建變得直觀和高效。首先,需要明確劇本的目標和流程,例如,是針對惡意軟件感染、DDoS 攻擊還是數據泄露。然后,根據劇本的流程,在工作流編輯器中,通過拖拽的方式,將相應的動作和邏輯組件添加到畫布上。例如,一個典型的惡意軟件響應劇本可能包括以下步驟:
接收告警:通過 Webhook 接收來自 EDR 或 SIEM 的惡意軟件告警。
信息提取:從告警中提取關鍵信息,如受感染主機的 IP 地址、惡意文件的哈希值等。
威脅情報查詢:將文件哈希值發送到 VirusTotal 等威脅情報平臺進行查詢。
主機隔離:如果確認是惡意軟件,則通過 EDR 的 API 隔離受感染的主機。
通知相關人員:通過郵件或 Slack 等方式,通知安全團隊和管理員。
在 Shuffle 中,每一個步驟都可以用一個或多個動作來實現。例如,“威脅情報查詢”步驟可以使用 Shuffle 內置的 VirusTotal 應用,“主機隔離”步驟可以使用 CrowdStrike Falcon 或 Windows Defender 等 EDR 應用。通過將這些動作連接起來,并設置相應的條件和變量,就可以構建出一個完整的、可自動執行的劇本。這種基于工作流的劇本創建方式,不僅使得劇本的開發過程更加靈活和高效,也使得劇本的維護和更新變得更加容易。
2.2.3 利用現有模板和案例
為了幫助用戶快速上手并充分利用平臺的功能,Shuffle SOAR 提供了豐富的預構建用例(Usecases)和工作流模板庫 。這些模板涵蓋了各種常見的安全場景,例如郵件分析、SIEM 告警豐富化、EDR 工單豐富化、內部信息豐富化、SIEM 搜索等。用戶可以直接使用這些模板,或者在其基礎上進行修改,以滿足自己的特定需求。例如,如果用戶需要處理釣魚郵件,可以直接使用“郵件分析”模板,該模板已經包含了郵件內容解析、附件提取、URL 分析等常用動作。用戶只需要根據自己的環境,配置相應的應用(如郵件服務器、沙箱、威脅情報平臺)的 API 密鑰和參數,即可快速部署一個功能完善的釣魚郵件自動化響應流程。此外,Shuffle 社區也分享了許多優秀的工作流案例,用戶可以從社區中獲取靈感和參考,學習如何設計和實現更復雜的自動化劇本。通過利用這些現有的模板和案例,用戶可以大大縮短開發周期,避免重復造輪子,從而更快地將安全自動化應用到實際工作中,提升安全運營的效率和效果。
2.3 應用(Apps)與 API 集成
2.3.1 應用(Apps)作為工作流構建塊
在 Shuffle SOAR 平臺中,應用(Apps)是構成工作流的基本構建塊,也是實現與外部系統集成的關鍵。每一個應用都封裝了一個或多個與特定外部系統(如 SIEM、EDR、威脅情報平臺、郵件系統等)交互的 API 調用。這些應用將復雜的 API 調用過程抽象為簡單的、可配置的動作(Actions),使得用戶無需關心底層的 API 細節,就可以在工作流中輕松地調用外部系統的功能 。例如,Shuffle 提供了一個 CrowdStrike Falcon 應用,該應用中包含了“獲取告警”、“隔離主機”、“獲取檢測規則”等多個動作。用戶在工作流中只需要拖拽相應的動作節點,并配置必要的參數(如主機 ID),就可以實現對 CrowdStrike Falcon 平臺的操作。這種基于應用的設計模式,極大地簡化了工作流的開發過程,并提高了代碼的復用性。Shuffle 官方提供了一個包含超過 2000 個應用的龐大應用庫,涵蓋了市面上絕大多數主流的安全工具和平臺 。用戶可以直接從應用庫中搜索并安裝所需的應用,從而快速實現與現有安全棧的集成。
2.3.2 集成方法:OpenAPI 規范與 Python SDK
Shuffle SOAR 平臺提供了靈活且強大的集成方法,使得用戶可以輕松地將任何支持 API 的系統集成到平臺中。其中,最主要和最推薦的集成方法是基于 OpenAPI 規范。OpenAPI(原名 Swagger)是一個用于描述 RESTful API 的規范,它定義了一套標準的格式來描述 API 的端點、請求參數、響應格式等信息。Shuffle 的應用創建器(App Creator)支持直接導入 OpenAPI 規范文件(通常是 JSON 或 YAML 格式),并自動生成相應的應用和動作 。用戶只需要提供目標系統的 OpenAPI 規范文件的 URL 或本地路徑,Shuffle 就能夠自動解析該文件,并創建一個包含所有 API 操作的應用。這種方式不僅極大地簡化了應用的開發過程,也確保了應用與目標系統 API 的同步更新。除了 OpenAPI 規范,Shuffle 還支持通過 Python SDK 來創建自定義應用。對于一些復雜的集成場景,或者目標系統沒有提供 OpenAPI 規范的情況,用戶可以使用 Python 編寫自定義的腳本來實現與目標系統的交互。Shuffle 提供了豐富的 Python 庫和 API,使得用戶可以方便地調用外部系統的 API,并將結果返回給工作流。這種靈活的集成方法,使得 Shuffle 能夠與幾乎任何系統進行集成,從而構建出功能強大的安全自動化解決方案。
2.3.3 內置應用庫與第三方工具集成
Shuffle SOAR 平臺擁有一個龐大且不斷增長的預構建應用庫,這是其核心競爭力之一。這個應用庫包含了超過 2000 個應用,涵蓋了安全領域的各個方面,包括 SIEM、EDR、威脅情報、漏洞管理、云安全、協作工具等 。用戶可以直接從應用庫中搜索并安裝所需的應用,從而快速實現與現有安全工具的集成。例如,如果用戶使用的是 Splunk 作為 SIEM,可以直接安裝 Splunk 應用,該應用提供了搜索、創建告警、獲取事件等多種動作。如果用戶使用的是 CrowdStrike Falcon 作為 EDR,可以安裝 CrowdStrike 應用,該應用提供了獲取檢測、隔離主機、執行命令等多種動作。除了安全工具,Shuffle 的應用庫還包含了許多通用的 IT 和協作工具,如 Jira、Slack、Microsoft Teams、Okta 等,這使得用戶可以將安全運營流程與 IT 運維和業務流程無縫地結合起來。通過利用這個豐富的應用庫,用戶可以避免重復開發,快速構建出滿足自身需求的自動化工作流,從而極大地提升安全運營的效率和效果。
2.4 觸發器(Triggers)機制
2.4.1 觸發器類型:Webhook、Schedule、User Input 等
Shuffle SOAR 平臺提供了多種靈活的觸發器(Triggers)機制,用于啟動工作流的執行。這些觸發器定義了工作流何時以及如何被激活,是實現自動化響應的關鍵。主要的觸發器類型包括:
Webhook:這是最常用的一種觸發器類型。它允許外部系統通過發送 HTTP POST 請求來觸發工作流。例如,當 SIEM 或 EDR 產生一個告警時,可以配置其將告警信息以 JSON 格式發送到 Shuffle 提供的 Webhook URL,從而自動啟動一個事件響應工作流 。這種方式實現了事件驅動的自動化響應,能夠將安全事件的響應時間縮短到分鐘級別。
Schedule(定時任務) :這種觸發器允許用戶按照預定的時間計劃來啟動工作流。例如,可以配置一個工作流每天凌晨 2 點執行一次,用于檢查系統的漏洞掃描報告,并自動生成修復工單。這種方式適用于需要定期執行的維護性任務或報告生成任務。
User Input(用戶輸入) :這種觸發器需要用戶手動啟動工作流。用戶可以在 Shuffle 的 Web 界面上,選擇相應的工作流,并輸入必要的參數,然后點擊“運行”按鈕來啟動工作流。這種方式適用于一些需要人工干預的、非周期性的任務,例如,進行一次性的安全評估或應急演練 。
Pipeline(管道) :這是一種更高級的觸發器類型,允許一個工作流的輸出作為另一個工作流的輸入,從而實現工作流之間的串聯和復用。
通過組合使用這些不同類型的觸發器,用戶可以構建出各種復雜的自動化場景,以滿足不同的安全運營需求。
2.4.2 觸發器在工作流中的作用
觸發器在工作流中扮演著“啟動按鈕”的角色,它是連接外部事件和內部自動化流程的橋梁。沒有觸發器,工作流就只能是一個靜態的、等待執行的腳本,無法實現真正的自動化。觸發器的作用主要體現在以下幾個方面:
實現事件驅動的自動化:通過 Webhook 觸發器,Shuffle 能夠實時響應來自各種安全工具(如 SIEM、EDR、防火墻等)的告警和事件。當檢測到安全威脅時,系統可以立即啟動相應的響應工作流,自動執行隔離、阻斷、取證等一系列操作,從而將安全事件的響應時間從小時級別縮短到分鐘級別,最大限度地減少損失。
提高運營效率:通過 Schedule 觸發器,可以將許多重復性的、周期性的安全運營任務(如日志審計、漏洞掃描、合規性檢查等)自動化。這不僅可以將安全分析師從繁瑣的日常工作中解放出來,讓他們能夠專注于更具價值的分析和決策工作,還可以確保這些任務能夠按時、保質地完成,避免了因人為疏忽導致的安全風險。
增強靈活性和可控性:通過 User Input 觸發器,用戶可以根據實際情況,靈活地啟動工作流。這為一些需要人工判斷和決策的場景提供了便利,例如,在進行應急響應時,分析師可以根據現場情況,選擇性地啟動不同的處置工作流。同時,這也為工作流的測試和調試提供了方便。
總之,觸發器是 Shuffle 實現安全運營自動化的核心機制,它使得工作流能夠根據預設的規則和條件,自動、高效地執行,從而構建起一個主動、智能的安全防御體系。
2.4.3 配置與管理觸發器
在 Shuffle SOAR 平臺中,配置和管理觸發器是一個簡單直觀的過程。在創建工作流時,用戶需要首先選擇工作流的類型,這實際上就是選擇觸發器的類型。例如,如果選擇“觸發器”類型的工作流,系統會提示用戶配置相應的觸發器。
對于 Webhook 觸發器,Shuffle 會為每個工作流自動生成一個唯一的 Webhook URL。用戶需要將這個 URL 配置到外部系統(如 SIEM 或 EDR)中,以便在事件發生時,外部系統能夠將數據發送到這個 URL。在 Shuffle 中,用戶還可以配置 Webhook 的認證方式(如 API Key),以確保只有授權的系統才能觸發工作流。
對于 Schedule 觸發器,用戶可以通過一個友好的界面來設置定時任務的執行計劃。例如,可以選擇每天、每周或每月執行,并可以指定具體的時間點和時區。這種可視化的配置方式,使得用戶無需編寫復雜的 cron 表達式,就能輕松地設置定時任務。
對于 User Input 觸發器,用戶需要在工作流的設置中,定義需要用戶輸入的參數。這些參數可以是文本、數字、下拉列表等多種形式。當用戶手動啟動工作流時,系統會彈出一個表單,要求用戶輸入這些參數的值。
在工作流創建完成后,用戶可以在工作流的管理界面中,隨時修改觸發器的配置,或者啟用/禁用觸發器。這種靈活的配置和管理方式,使得用戶可以根據實際情況,動態地調整工作流的觸發條件,從而實現更精細化的自動化控制。
2.5 安全事件響應流程
2.5.1 自動化響應的核心價值
安全事件響應是網絡安全運營的核心環節,其目標是快速、有效地處理安全事件,最大限度地減少損失。傳統的安全事件響應流程通常依賴于人工操作,存在響應速度慢、效率低、容易出錯等問題。安全分析師需要手動收集信息、分析告警、執行響應操作,整個過程耗時耗力,且難以保證響應的一致性和規范性。Shuffle SOAR 平臺通過引入自動化響應,徹底改變了這一現狀。自動化響應的核心價值主要體現在以下幾個方面:
縮短響應時間(MTTR) :自動化響應能夠將安全事件的響應時間從小時級別縮短到分鐘級別。當檢測到安全威脅時,系統可以立即啟動預定義的響應工作流,自動執行一系列操作,如隔離受感染的主機、封禁惡意 IP、收集取證數據等,從而在最短的時間內遏制威脅的擴散。
提高響應效率和一致性:通過將標準化的響應流程固化為自動化劇本,可以確保每一次安全事件都能得到及時、規范的處理,避免了因人為因素導致的響應延遲或操作失誤。這不僅提高了響應的效率,也保證了響應的質量。
減輕分析師負擔:自動化響應可以將安全分析師從大量重復性、繁瑣的操作中解放出來,讓他們能夠專注于更具價值的分析和決策工作,例如,進行深入的威脅分析、制定更有效的安全策略等。這不僅可以提高分析師的工作滿意度,也有助于提升整個安全團隊的專業水平。
增強可擴展性:隨著組織規模的擴大和安全工具的增加,人工響應的難度和成本也會急劇增加。自動化響應平臺可以輕松地集成新的工具和流程,適應不斷變化的安全需求,從而實現安全運營能力的線性擴展。
2.5.2 事件響應流程設計原則
在設計安全事件響應流程時,需要遵循一些基本的原則,以確保流程的有效性和可靠性。首先,流程應該是模塊化和可復用的。將復雜的響應流程拆分成多個獨立的、可復用的模塊(子流程),不僅可以提高流程的可讀性和可維護性,還可以方便地在不同的場景下進行組合和復用。例如,可以將“查詢威脅情報”、“隔離主機”、“發送通知”等操作封裝成獨立的子流程,然后在不同的主流程中調用它們。這種模塊化的設計思想可以大大提高工作流的開發效率。
其次,流程應該是可配置和可擴展的。不同的安全事件可能需要不同的響應策略,因此響應流程應該具有一定的靈活性,能夠根據不同的輸入參數來動態地調整其行為。例如,可以根據事件的嚴重級別來決定是否需要立即隔離主機,或者根據事件的類型來選擇不同的通知渠道。此外,隨著安全威脅的不斷演變,響應流程也需要不斷地進行更新和擴展。因此,在設計流程時,應該考慮到未來的擴展性,使得新的功能和工具能夠方便地集成到現有的流程中。
最后,流程應該是可監控和可審計的。自動化響應流程的執行情況應該能夠被實時監控和記錄,以便進行故障排查和性能優化。平臺應該提供詳細的日志和報告功能,記錄每一次流程的執行時間、執行結果、輸入輸出等信息。這些信息不僅對于運維人員來說非常重要,對于滿足合規性要求以及進行事后審計也具有重要的價值。通過遵循這些設計原則,可以構建出高效、可靠且易于維護的安全事件響應流程。
2.5.3 人機協作與決策支持
盡管自動化響應在安全運營中扮演著越來越重要的角色,但完全依賴自動化而排除人工干預并不可取。在許多復雜的場景中,仍然需要安全分析師的專業知識和經驗來進行判斷和決策。因此,一個優秀的 SOAR 平臺應該能夠很好地支持人機協作,將自動化的高效性與人工的靈活性結合起來。Shuffle 平臺通過提供“User Input”觸發器等機制,很好地實現了這一點。當工作流執行到需要人工決策的節點時,可以暫停執行,并向分析師發送一個請求,等待其輸入后再繼續。例如,在隔離一臺關鍵業務服務器之前,工作流可以向負責該服務器的管理員發送一個確認請求,只有在得到確認后才執行隔離操作。
除了支持人工決策,SOAR 平臺還應該能夠為分析師提供有效的決策支持。當安全事件發生時,平臺應該能夠自動地收集和關聯相關的上下文信息,例如威脅情報、資產信息、用戶行為等,并將這些信息以清晰、直觀的方式呈現給分析師。例如,當收到一個關于惡意軟件的警報時,平臺可以自動查詢該惡意軟件的家族、傳播方式、危害程度等信息,并將其與受感染主機的資產信息(如操作系統、安裝的軟件、開放的端口等)進行關聯,從而幫助分析師快速地評估事件的嚴重性和影響范圍。通過這種方式,SOAR 平臺不僅是一個自動化工具,更是一個智能的決策支持系統,能夠幫助分析師做出更加準確和及時的決策。
3. 特定場景與案例
3.1 針對網絡釣魚的自動化響應
網絡釣魚攻擊是當今企業面臨的最普遍、最具欺騙性的安全威脅之一。攻擊者通過偽造可信實體(如同事、合作伙伴或知名品牌)的身份,誘騙用戶點擊惡意鏈接、下載惡意附件或泄露敏感憑證。傳統的響應方式嚴重依賴人工分析,從識別可疑郵件、提取 IOC(Indicator of Compromise)、查詢威脅情報到最終采取阻斷措施,整個過程耗時耗力,往往在響應完成前,攻擊已經造成了損害。Shuffle SOAR 平臺通過自動化編排,能夠將這一系列繁瑣的流程串聯起來,實現從檢測到響應的分鐘級甚至秒級閉環,有效遏制釣魚攻擊的蔓延。根據實踐經驗,一個完整的釣魚郵件自動化響應體系通常包含兩個核心場景:對已確認受害者的“處置與整改”和對可疑郵件的“核實與阻斷”。
3.1.1 場景一:釣魚郵件事件處置與整改
此場景適用于已經確認有內部用戶點擊了釣魚鏈接或執行了惡意操作的情況。其核心目標不僅是技術層面的遏制,更重要的是對涉事人員進行安全教育,防止未來再次發生類似事件。整個流程強調人機協同,自動化處理重復性任務,而將需要判斷和溝通的環節交由人工處理。當安全監控系統(如郵件安全網關或 EDR)檢測到用戶訪問了已知的釣魚網站或執行了可疑程序時,會觸發 Shuffle 工作流。工作流的第一步是自動獲取觸發告警的源 IP 地址,并通過與內部的 CMDB(配置管理數據庫)或身份管理系統(如 Active Directory)聯動,快速定位到該 IP 對應的員工信息,包括姓名、部門、聯系方式等。這一步驟的自動化極大地縮短了事件定位的時間,避免了分析師在多個系統間手動查詢的繁瑣過程。
在獲取到人員信息后,Shuffle 會自動執行一系列預設的響應動作。首先,為了防止威脅進一步擴散,工作流會調用防火墻或網絡訪問控制(NAC)系統的 API,立即封禁該員工的設備 IP 地址,將其與網絡隔離。這一措施可以有效阻止惡意軟件的內網傳播或數據的外泄。緊接著,工作流會自動生成一封詳細的告警郵件或通過即時通訊工具(如 Slack、Microsoft Teams)發送通知,告知該員工其設備可能已感染,并指導其下一步操作。同時,系統會自動創建一個安全事件工單,并將其分配給該員工所在部門的接口人或安全管理員。工單中會包含事件的詳細信息、已采取的封禁措施以及后續處理建議。根據實踐經驗,一個關鍵的后續步驟是強制要求涉事員工完成網絡安全意識培訓和考核。Shuffle 可以定期(例如每天)自動查詢培訓考核系統的 API,檢查該員工是否已通過考核。一旦確認其考核通過,工作流將自動調用防火墻或 NAC 系統的 API,解除對該設備 IP 的封禁,并自動關閉安全工單,完成整個事件的閉環處置。這種“技術處置 + 人員整改”的模式,不僅解決了當前的安全事件,更從根本上提升了員工的安全意識,是構建縱深防御體系的重要一環。
3.1.2 場景二:釣魚郵件事件核實與阻斷
此場景適用于分析師在日常監控中發現可疑郵件,但尚未確認其是否為惡意郵件的情況。其核心目標是通過自動化的分析手段,快速核實郵件的威脅性,并對確認的惡意郵件采取全網范圍的阻斷措施,防止其他員工中招。當分析師在 Shuffle 平臺中手動觸發“釣魚郵件核實”工作流時,系統會首先要求分析師上傳可疑郵件的原始文件(.eml 或 .msg 格式)。工作流啟動后,第一步是自動解析郵件內容,提取出所有可能存在的 IOC,包括發件人地址、郵件主題、正文中的 URL 鏈接以及附件的哈希值等信息。這一步驟的自動化避免了分析師手動復制粘貼的繁瑣操作,并確保了信息的完整性。
接下來,工作流會根據解析結果,自動判斷釣魚郵件的類型,主要分為“附件釣魚”和“URL 釣魚”兩種。對于附件釣魚,工作流會自動將附件上傳至集成的沙箱分析平臺(如 Cuckoo Sandbox、Hybrid Analysis)進行動態行為分析。沙箱會模擬運行附件,并生成詳細的行為報告,例如是否嘗試連接外部 C2 服務器、是否修改系統關鍵文件、是否進行進程注入等。同時,工作流會計算附件的哈希值,并自動查詢多個威脅情報平臺(如 VirusTotal、MISP)的 API,以判斷該文件是否已被標記為惡意。對于 URL 釣魚,工作流會首先檢查該 URL 是否在企業的內部白名單中。如果不在白名單中,則會自動查詢威脅情報平臺,判斷該 URL 是否與已知的釣魚網站、惡意軟件分發點或僵尸網絡相關聯。根據沙箱分析結果和威脅情報查詢的綜合判斷,如果確認郵件為惡意,Shuffle 工作流將立即執行阻斷操作。這些操作包括:自動將該郵件的發件人域名、URL 和附件哈希值添加到郵件網關的黑名單中,防止后續類似郵件進入企業內網;同時,調用 DNS 服務器的 API,將惡意域名添加到 DNS 黑洞中,使得內網用戶無法解析該域名;最后,還會通知防火墻將該 URL 對應的 IP 地址加入黑名單,實現網絡層的訪問阻斷。這一系列自動化的核實與阻斷流程,能夠在數分鐘內完成對可疑郵件的分析和處置,極大地提升了企業對釣魚攻擊的防御能力。
3.1.3 自動化流程:IP封禁、人員通知與考核、解封
在釣魚郵件事件的自動化處置流程中,對涉事人員的處理是一個關鍵環節,它結合了技術措施與管理措施,旨在實現技術遏制與人員教育的雙重目標。這個流程可以設計成一個閉環的自動化工作流,具體步驟如下表所示。
| 步驟 | 動作 | 描述 | 涉及工具/API |
|---|---|---|---|
| 1. 事件觸發 | 檢測到釣魚郵件點擊事件 | 安全監控系統(如 EDR、郵件網關)檢測到用戶訪問了釣魚鏈接,觸發 Shuffle 工作流。 | EDR, SIEM |
| 2. 人員定位 | 查詢員工信息 | 工作流自動提取告警中的源 IP 地址,并通過 CMDB 或 Active Directory API 查詢到對應的員工信息(姓名、部門、聯系方式)。 | CMDB, Active Directory |
| 3. 技術遏制 | 封禁設備 IP | 工作流調用防火墻或 NAC 系統的 API,立即封禁該員工的設備 IP 地址,將其與網絡隔離。 | Firewall, NAC |
| 4. 人員通知 | 發送告警與指導 | 工作流自動生成告警郵件或通過 Slack/Teams 發送通知,告知員工其設備可能已感染,并指導其下一步操作(如聯系 IT、不要操作設備等)。 | Email, Slack, Teams |
| 5. 工單創建 | 創建安全事件工單 | 工作流在 ITSM 系統(如 Jira、ServiceNow)中自動創建安全事件工單,并分配給相關負責人。 | Jira, ServiceNow |
| 6. 強制考核 | 檢查培訓狀態 | 工作流定期(如每日)查詢培訓考核系統的 API,檢查涉事員工是否已完成網絡安全意識培訓并通過考核。 | Training System API |
| 7. 解除封禁 | 解封設備 IP | 一旦確認員工已通過考核,工作流自動調用防火墻或 NAC 系統的 API,解除對該設備 IP 的封禁。 | Firewall, NAC |
| 8. 工單關閉 | 關閉事件工單 | 工作流自動關閉安全事件工單,完成整個事件的閉環處置。 | Jira, ServiceNow |
這個流程的設計充分體現了人機協作的理念。自動化系統負責執行快速、標準化的技術操作(如 IP 封禁、信息查詢),而需要人類判斷和溝通的環節(如員工教育、事件復核)則交由人工處理。通過這種方式,不僅有效遏制了安全事件的蔓延,還從根本上提升了員工的安全意識,是構建縱深防御體系的重要一環。
3.1.4 自動化流程:郵件內容解析、附件沙箱分析、URL威脅情報查詢
針對網絡釣魚攻擊,Shuffle 平臺可以構建一套完整的自動化響應流程,實現對可疑郵件的快速分析和處置。當用戶報告或通過其他渠道發現可疑郵件時,自動化流程可以被觸發。首先,流程會對郵件進行內容解析,提取出郵件的發件人、主題、正文、附件以及其中包含的 URL 鏈接。這些信息是后續分析的基礎。接下來,流程會對郵件的附件進行沙箱分析。通過調用集成的沙箱服務(如 Cuckoo Sandbox),將附件在隔離的環境中運行,觀察其行為,例如是否會釋放惡意文件、是否會連接惡意域名、是否會修改系統配置等。沙箱分析的結果可以幫助判斷附件是否為惡意軟件。
同時,流程會對郵件中包含的URL 進行威脅情報查詢。通過調用集成的威脅情報平臺(如 VirusTotal、AbuseIPDB),查詢這些 URL 是否被標記為惡意。威脅情報平臺會返回關于這些 URL 的信譽信息,例如它們是否托管了釣魚網站、是否被用于傳播惡意軟件等。綜合郵件內容解析、附件沙箱分析和 URL 威脅情報查詢的結果,自動化流程可以生成一份詳細的分析報告,并根據預設的規則進行相應的處置。例如,如果確認郵件為釣魚郵件,流程可以自動將其從所有用戶的郵箱中刪除,并向安全團隊發送告警通知。通過這種方式,Shuffle 平臺可以大大提高對網絡釣魚攻擊的響應速度和處置效率。
3.2 針對惡意軟件的自動化響應
惡意軟件,包括病毒、木馬、勒索軟件、挖礦程序等,是企業面臨的另一大類嚴重威脅。這些惡意程序一旦進入內網,可能會竊取敏感數據、破壞關鍵業務系統、加密文件索要贖金或濫用計算資源進行加密貨幣挖礦。與釣魚攻擊類似,對惡意軟件的響應也需要爭分奪秒。Shuffle SOAR 平臺能夠整合終端檢測與響應(EDR)、威脅情報、沙箱分析等多種工具,構建一套完整的自動化惡意軟件響應流程。根據實踐經驗,一個典型的惡意軟件事件處置劇本,能夠覆蓋從告警接收、威脅確認、主機隔離到最終清除和復核的全過程。
3.2.1 場景:挖礦、僵木蠕、惡意程序事件處置
當企業的安全設備(如 EDR、IDS/IPS 或態勢感知平臺)檢測到終端存在挖礦、僵尸網絡(Botnet)、蠕蟲(Worm)或其他惡意程序活動時,會立即向 Shuffle SOAR 平臺發送告警。Shuffle 接收到告警后,會自動觸發預設的“惡意程序事件處置”工作流。工作流的第一步是進行告警的初步分析和豐富。它會自動提取告警中的關鍵信息,如受感染主機的 IP 地址、MAC 地址、主機名,以及檢測到的惡意軟件家族、文件路徑、進程 ID 等。隨后,工作流會自動查詢威脅情報平臺,獲取關于該惡意軟件的更多信息,例如其危害等級、傳播方式、C2 服務器地址等,為后續的處置決策提供依據。
在獲取了足夠的信息后,工作流會根據受感染資產的類型和告警的嚴重程度,采取不同的處置策略。例如,如果受感染的是一臺服務器,且告警類型為一般的惡意軟件,工作流可能會選擇較為保守的策略:首先通過 EDR 代理向管理員發送告警通知,并創建一個高優先級的安全工單,要求管理員進行人工介入和整改。如果告警類型是危害性更高的木馬或挖礦程序,工作流則會立即采取更激進的措施。它會通過 EDR 的 API,嘗試在受感染主機上執行病毒查殺操作,并終止相關的惡意進程。如果受感染的是一臺普通員工的 PC,工作流通常會立即執行主機隔離操作,通過 EDR 或 NAC 系統將該 PC 從網絡中隔離,以防止威脅橫向移動。在所有處置動作執行完畢后,工作流會進入一個“整改復核”階段。系統會定期(例如每隔幾小時)通過 EDR 檢查受感染主機,確認惡意軟件是否已被成功清除。如果復核通過,工作流會自動解除對該主機的網絡隔離,并關閉安全工單。如果復核不通過,即威脅依然存在,工作流則會將事件升級,通知更高級別的安全分析師進行人工介入和深度排查。這種分層、分級的自動化響應策略,既保證了響應的及時性,又兼顧了業務的連續性,是 SOAR 平臺在實際運營中發揮價值的關鍵。
3.2.2 自動化流程:文件隔離、進程終止、主機隔離
在應對惡意軟件事件時,自動化響應流程的核心目標是快速遏制威脅的蔓延并收集必要的證據。Shuffle 工作流通過與 EDR、AV 和其他安全工具的緊密集成,能夠高效地執行這一系列操作。當檢測到惡意軟件事件時,一個典型的自動化流程會包含以下幾個關鍵步驟:
告警接收與初步分析:工作流首先通過 Webhook 或 API 從 EDR 或 SIEM 接收告警。告警信息通常包含受感染主機的標識、惡意文件的路徑、進程 ID 等。工作流會解析這些信息,并可能立即進行初步的富化,例如,查詢威脅情報平臺以確認文件哈希的惡意性。
進程終止(Process Termination) :一旦確認威脅,工作流會向 EDR 或直接在主機上(通過代理)執行命令,強制終止所有與惡意軟件相關的進程。這是防止惡意軟件繼續運行和造成進一步破壞的關鍵一步。
文件隔離(File Quarantine) :在終止進程后,工作流會指示 EDR 或 AV 軟件將檢測到的惡意文件移動到隔離區,或者將其刪除。這可以防止用戶或其他程序再次執行該文件。
主機隔離(Host Isolation) :對于高風險的威脅,或者當無法確定威脅是否已被完全清除時,工作流會執行主機隔離操作。通過 EDR 或網絡訪問控制(NAC)系統,將受感染的主機從網絡中隔離,阻止其與其他設備進行通信,從而防止威脅的橫向傳播。
證據收集與報告:在整個處置過程中,工作流會自動收集相關的證據,如惡意文件樣本、內存轉儲、系統日志等,并將其存儲在安全的位置。同時,工作流會生成一份詳細的處置報告,記錄所有已采取的措施和結果,并通知安全團隊。
3.2.3 集成威脅情報與沙箱分析
在應對惡意軟件威脅時,Shuffle 平臺可以通過集成威脅情報和沙箱分析工具,構建一套強大的自動化響應流程。當 EDR 或防病毒軟件檢測到可疑文件時,自動化流程可以被立即觸發。首先,流程會提取該文件的哈希值(如 MD5、SHA1、SHA256),并將其發送到集成的威脅情報平臺(如 MISP、AlienVault OTX)進行查詢 。威脅情報平臺會返回關于該文件的信譽信息,例如它是否屬于已知的惡意軟件家族、是否被多個安全廠商標記為惡意等。通過查詢威脅情報,可以快速地確認文件的惡意性,并獲取其相關的上下文信息。
如果威脅情報查詢沒有返回明確的結果,或者需要更深入的分析,流程會將該文件發送到沙箱分析平臺(如 Cuckoo Sandbox)進行動態分析。沙箱會在一個隔離的環境中運行該文件,并監控其行為,例如文件操作、網絡連接、注冊表修改等。沙箱分析的結果可以揭示文件的真正意圖,例如它是否是勒索軟件、是否是間諜軟件、是否是后門程序等。綜合威脅情報和沙箱分析的結果,自動化流程可以生成一份詳細的分析報告,并根據預設的規則進行相應的處置。例如,如果確認文件為惡意軟件,流程可以自動將其隔離,終止其進程,并向安全團隊發送告警通知。通過集成威脅情報和沙箱分析,Shuffle 平臺可以實現對惡意軟件威脅的快速、準確和自動化的響應。
3.3 與 SIEM 的集成案例
安全信息和事件管理(SIEM)系統是安全運營中心(SOC)的核心,負責收集、聚合和分析來自整個企業 IT 基礎設施的海量日志數據,并生成安全告警。然而,SIEM 本身通常只具備檢測和告警能力,其響應能力有限。將 Shuffle SOAR 與 SIEM 集成,可以完美地彌補這一短板,實現從“檢測到告警”到“分析到響應”的完整閉環。通過集成,SIEM 產生的每一條告警都可以成為 Shuffle 工作流的觸發器,從而驅動一系列自動化的響應動作,如威脅情報查詢、工單創建、IP 封禁、主機隔離等。這種集成不僅極大地提升了響應效率,也使得安全分析師能夠從大量重復性的告警處理工作中解放出來,專注于更復雜、更具價值的威脅狩獵和事件調查工作。
3.3.1 集成目標:將 SIEM 警報轉化為自動化行動
將 SIEM(安全信息和事件管理)系統與 Shuffle SOAR 平臺集成的核心目標,是將 SIEM 生成的海量警報轉化為可執行的、自動化的響應行動 。傳統的 SIEM 系統雖然能夠收集和關聯來自不同來源的安全日志,并生成警報,但這些警報通常需要安全分析師進行手動調查和處置。這種手動處理方式不僅效率低下,而且容易因為警報數量過多而導致分析師疲勞,從而出現漏報或誤報的情況。通過將 SIEM 與 Shuffle 集成,可以實現警報的自動化分流、豐富化和響應,從而大大提高安全運營的效率和效果。
具體來說,當 SIEM 系統檢測到安全事件并生成警報時,可以通過 Webhook 或 API 的方式,將該警報的詳細信息(如事件類型、源 IP、目標 IP、時間戳等)發送給 Shuffle 平臺。Shuffle 平臺接收到警報后,會自動觸發相應的響應工作流。該工作流可以根據預設的規則,對警報進行自動化的處理。例如,可以自動查詢威脅情報平臺,對警報中的 IP 地址、域名或文件哈希進行信譽查詢,以豐富警報的上下文信息。基于查詢結果,工作流可以進行初步的研判,如果確認是惡意活動,則可以自動執行響應動作,如調用防火墻 API 封禁惡意 IP,或調用 EDR API 隔離受感染的主機。同時,工作流會自動在 IT 服務管理(ITSM)系統(如 Jira、ServiceNow)中創建一個詳細的事件工單,將所有相關信息和已采取的響應動作記錄在案,并指派給相應的安全分析師進行后續跟進。通過這種方式,Shuffle 將 SIEM 的告警處理能力提升到了一個全新的高度,實現了安全運營的自動化和智能化。
3.3.2 案例一:與 Wazuh 的集成
Wazuh 是一款開源的安全監控平臺,它集成了 SIEM 和擴展檢測與響應(XDR)的功能,被廣泛用于日志分析、入侵檢測、文件完整性監控和漏洞評估 。將 Shuffle SOAR 與 Wazuh 集成,是構建開源安全運營體系的經典實踐。這種集成能夠充分利用 Wazuh 強大的威脅檢測能力和 Shuffle 靈活的自動化編排能力,實現高效的事件響應。根據相關技術文檔和實踐指南,Shuffle 與 Wazuh 的集成主要通過 API 實現,Wazuh 作為數據源,將檢測到的安全警報實時推送給 Shuffle,Shuffle 則作為響應中心,執行后續的自動化處置流程 。例如,在《Wazuh 安全監控指南》一書中,專門設立章節詳細介紹了如何使用 Shuffle 對 Wazuh 平臺進行安全自動化與編排,旨在簡化和增強事件響應過程 。這種集成方案的核心價值在于,它將 Wazuh 生成的海量警報轉化為可操作的、自動化的響應任務,從而解決了傳統 SOC 中警報處理效率低下的痛點。
一個具體的集成案例是處理 Wazuh 檢測到的惡意軟件告警。當 Wazuh 的某個端點代理檢測到可疑文件或進程時,會生成一個高優先級的警報。通過集成配置,該警報會被自動發送到 Shuffle。Shuffle 接收到警報后,會觸發一個預設的“惡意軟件響應”工作流。這個工作流可能包含以下步驟:首先,調用 TheHive(一個開源的事件響應平臺)的 API,在 TheHive 中創建一個安全事件案例,并將 Wazuh 警報中的相關信息(如文件哈希、進程 ID、主機名等)作為可觀察項(Observable)添加到案例中 。接著,工作流會調用 Cortex(一個可擴展的分析引擎)的 API,對文件哈希進行多引擎病毒掃描,或者對 IP 地址進行威脅情報查詢,以豐富事件的上下文信息 。最后,根據分析結果,工作流可以調用 EDR 工具的 API,對受感染的主機執行隔離操作,或者調用防火墻 API,阻斷與惡意 IP 的通信。整個過程實現了從告警到分析再到處置的全自動化,極大地提升了響應速度和準確性。此外,Shuffle 還可以與 MISP(惡意軟件信息共享平臺)集成,將 Wazuh 檢測到的威脅指標(IOCs)自動上傳到 MISP,實現威脅情報的共享和協同防御 。
3.3.3 案例二:與 SOCFortress 的集成
SOCFortress 是一個專注于安全運營和威脅檢測的組織,其在技術分享中提出了一個創新的 Shuffle 與 SIEM 集成的混合部署方案,旨在簡化 SOAR 的實施過程并增強自動化能力 。該方案的核心思想是利用 Shuffle Cloud 來托管平臺的前端界面,同時將負責執行具體任務的 Shuffle Worker 容器部署在本地數據中心。這種混合模式結合了云服務的便捷性和本地部署的安全性,既降低了部署和維護的復雜性,又確保了敏感數據和關鍵操作在本地環境中進行,滿足了企業對數據安全和合規性的要求 。在這種架構下,企業無需在本地搭建完整的 Shuffle 服務器,只需部署一個輕量級的 Worker 容器,該容器負責與本地 SIEM 系統及其他安全工具進行交互,執行自動化工作流。Shuffle Cloud 則提供了一個集中化的管理和編排界面,用戶可以通過瀏覽器訪問云端界面,設計、管理和監控工作流的執行情況。
這種混合部署模式為 Shuffle 與現有 SIEM 棧的無縫集成提供了極大的便利。具體實施步驟通常包括:首先,在 Shuffle Cloud 上創建一個免費賬戶,獲取云端平臺的訪問權限 。然后,在本地數據中心的服務器上,通過 Docker 或 Kubernetes 部署 Shuffle Worker 容器。部署時需要配置 Worker 與 Shuffle Cloud 之間的通信,確保 Worker 能夠接收來自云端的指令,并將執行結果返回。同時,需要配置 Worker 與本地 SIEM 系統的連接,使其能夠通過 API 或數據庫查詢等方式獲取 SIEM 的警報數據。一旦集成完成,安全分析師就可以在 Shuffle Cloud 的圖形化界面上,通過拖拽的方式創建自動化工作流,將 SIEM 的警報作為觸發器,并定義一系列的響應動作,如調用防火墻 API 封禁 IP、通過 Slack 發送通知、在 Jira 中創建工單等。這種方案的優勢在于其靈活性和可擴展性,企業可以根據自身需求,輕松地添加或移除 Worker 節點,以適應不斷變化的業務規模和安全需求。同時,由于核心邏輯和數據處理都在本地進行,也避免了將所有安全數據上傳到云端可能帶來的隱私和合規風險。
3.3.4 自動化場景:自動生成工單、自動封禁惡意IP
在 Shuffle 與 SIEM 集成的眾多自動化場景中,“自動生成工單”和“自動封禁惡意 IP”是兩個最常見且價值最高的用例。這兩個場景直接解決了安全運營中的核心痛點:事件跟蹤和快速遏制。當 SIEM 系統檢測到安全事件時,傳統的手動流程需要分析師登錄工單系統,手動創建工單,并填寫事件的詳細信息,這個過程耗時且容易出錯。而通過 Shuffle 的自動化工作流,可以實現工單的自動生成。例如,當 Wazuh 檢測到一次可疑的登錄嘗試時,Shuffle 可以自動觸發一個工作流,該工作流會解析 Wazuh 警報中的關鍵信息(如用戶名、源 IP、時間、登錄結果等),然后調用 Jira 或 TheHive 等工單系統的 API,自動創建一個包含所有相關上下文信息的安全事件工單 。這不僅大大縮短了事件記錄的時間,還確保了信息的準確性和完整性,為后續的分析師調查和處置提供了便利。
“自動封禁惡意 IP”是另一個關鍵的自動化響應場景,尤其適用于應對暴力破解、端口掃描、DDoS 攻擊等網絡層面的威脅。當 SIEM 系統(如 Wazuh)通過分析防火墻或 IDS 日志,檢測到來自某個 IP 地址的惡意活動時,會生成相應的警報。Shuffle 接收到該警報后,可以立即觸發一個“IP 封禁”工作流。該工作流首先會提取出警報中的源 IP 地址,然后調用企業防火墻、WAF(Web 應用防火墻)或云安全組(如 AWS Security Group)的 API,將該 IP 地址添加到黑名單中,從而阻斷其所有后續的訪問請求 。這個過程可以在幾秒鐘內完成,遠快于人工操作,能夠有效防止攻擊者進行進一步的滲透和破壞。此外,工作流還可以包含更復雜的邏輯,例如在封禁 IP 之前,先查詢威脅情報平臺,確認該 IP 的惡意信譽;或者在封禁操作完成后,通過 Slack 或郵件通知安全團隊,并記錄整個處置過程。通過這種方式,Shuffle 將 SIEM 的檢測能力與網絡設備的控制能力無縫連接起來,實現了對網絡威脅的快速、自動化的遏制。
3.4 與 EDR 的集成案例
3.4.1 集成目標:實現終端威脅的自動化響應
在現代安全運營中心(SOC)中,終端檢測與響應(EDR)工具是防御體系的關鍵組成部分,負責在終端層面檢測、調查和響應高級威脅。然而,EDR 產生的大量警報和復雜的響應流程常常給安全分析師帶來沉重的負擔,導致響應延遲和“警報疲勞”。將 Shuffle SOAR 平臺與 EDR 工具集成,其核心目標在于通過自動化編排,將 EDR 的檢測能力轉化為快速、高效、標準化的響應行動,從而顯著提升安全事件的處置效率和質量。這種集成旨在打破安全工具之間的孤島,實現從威脅檢測到響應處置的無縫銜接。通過預定義的自動化劇本(Playbook),Shuffle 可以在接收到 EDR 的警報后,自動執行一系列響應操作,例如隔離受感染的主機、終止惡意進程、收集取證數據、查詢威脅情報等,從而將分析師從重復性、耗時的手動操作中解放出來,使其能夠專注于更復雜、更具戰略性的安全任務 。
集成的最終目標是構建一個閉環的、自適應的防御體系。當 EDR 檢測到可疑活動時,Shuffle 能夠立即觸發相應的工作流,不僅執行遏制措施,還能自動進行初步的調查和取證,例如獲取進程的哈希值、查詢其在 VirusTotal 等威脅情報平臺上的聲譽、檢查網絡連接等。這些豐富的上下文信息會被自動匯總到案例管理系統(如 TheHive)中,為分析師提供全面的決策支持 。此外,通過集成,Shuffle 還可以實現對 EDR 策略的動態調整,例如,根據新的威脅情報自動更新檢測規則,或者根據事件響應的結果調整終端的防護策略。這種雙向的、動態的交互,使得整個安全體系能夠更加智能地應對不斷演變的威脅,實現從被動響應到主動防御的轉變,最終降低安全事件帶來的風險和損失 。
3.4.2 支持的 EDR 平臺:CrowdStrike Falcon、Windows Defender、Sophos 等
Shuffle SOAR 平臺具備廣泛的集成能力,支持與市場上主流的終端保護、EDR 及殺毒解決方案進行無縫對接。根據相關技術文檔和社區實踐,Shuffle 已經內置了對多個頂級安全產品的支持,其中包括 CrowdStrike Falcon、Microsoft Windows Defender、Sophos 以及 BlackBerry Cylance 等 。這種廣泛的兼容性確保了企業無論采用何種主流的 EDR 解決方案,都能夠利用 Shuffle 的自動化編排能力來增強其安全運營效率。集成的實現主要依賴于這些 EDR 產品提供的開放 API 接口。Shuffle 通過調用這些 API,可以實現與 EDR 平臺的直接通信和數據交換,從而觸發各種自動化響應操作 。
以 CrowdStrike Falcon 為例,Shuffle 不僅可以通過其 API 接收實時警報,還能執行更深層次的交互。例如,安全團隊可以設計一個工作流,當 CrowdStrike 檢測到惡意軟件時,Shuffle 會自動提取該惡意文件的哈希值,并將其發送到 VirusTotal 或 MISP 等威脅情報平臺進行進一步分析。同時,工作流可以指示 CrowdStrike 立即隔離受感染的終端,防止威脅橫向移動。更進一步,Shuffle 還可以獲取 CrowdStrike 的檢測規則,幫助分析師了解觸發警報的具體行為特征,從而更好地評估威脅的嚴重性和影響范圍 。對于 Windows Defender 和 Sophos 等其他 EDR 產品,集成的邏輯類似,都是通過 API 實現警報的接收、終端狀態的查詢以及響應指令的下發,從而實現統一、標準化的自動化事件響應流程 。
3.4.3 自動化場景:提取 EDR 警報、獲取檢測規則、聯動響應
Shuffle SOAR 與 EDR 的集成,為安全團隊提供了豐富的自動化應用場景,極大地提升了事件響應的速度和效率。一個典型的自動化場景是“EDR 警報的自動提取與豐富”。在此場景中,Shuffle 工作流被配置為持續監聽來自 EDR 平臺(如 CrowdStrike Falcon)的 Webhook 或 API 推送。一旦接收到新的安全警報,工作流會立即被觸發。首先,它會解析警報內容,提取關鍵信息,如受影響的終端 IP、用戶名、可疑進程名、文件哈希等。隨后,工作流會自動將這些信息作為輸入,調用其他安全工具進行上下文豐富。例如,它會查詢威脅情報平臺(如 MISP、AbuseIPDB)以獲取該文件哈希或 IP 地址的惡意聲譽信息,或者調用沙箱服務對可疑文件進行動態分析 。所有這些收集到的信息會被自動整合,并生成一個結構化的案例,發送到案例管理系統(如 TheHive)中,為分析師提供一個全面、信息豐富的調查起點,從而避免了分析師在多個工具之間手動切換、查詢信息的繁瑣過程。
另一個關鍵的自動化場景是“基于 EDR 警報的聯動響應與遏制”。當 EDR 檢測到高嚴重性的威脅,如勒索軟件活動或高級持續性威脅(APT)的跡象時,時間是至關重要的。Shuffle 可以設計一個全自動或半自動的響應工作流。例如,當 CrowdStrike 報告檢測到勒索軟件加密行為時,Shuffle 工作流可以立即執行以下操作:1) 通過 CrowdStrike 的 API 指令,立即將受感染的終端從網絡中隔離,阻止威脅進一步擴散;2) 自動創建事件工單(如在 Jira 或 ServiceNow 中),并通知相關的安全團隊成員和 IT 管理員;3) 啟動證據收集流程,從受感染的終端上獲取內存轉儲、關鍵日志和可疑文件樣本,為后續的深度取證分析做準備 。此外,工作流還可以獲取觸發警報的 EDR 檢測規則詳情,幫助團隊理解攻擊者的戰術、技術、程序(TTPs),并評估是否需要調整其他安全設備的策略,如防火墻或郵件網關,以加強整體防御 。這種自動化的聯動響應,將原本需要數小時甚至數天才能完成的手動操作縮短到幾分鐘之內,極大地降低了安全事件帶來的潛在損失。
)
