演讲者与背景
演讲者唐大锦就职于AKULAKU,负责安全运营工作,主要内容包括组织红蓝对抗、SIEM安全平台建设、SOAR安全编排与自动化响应平台落地实践以及安全运营日常工作。
企业降本增效与自动化
- 背景:疫情导致许多企业提出降本增效口号,自动化替代人力是提高企业人均ROI的有效方法。
- 挑战:攻击手法多样化、专业化,防守方仅靠安全设备防护信息滞后。
- 解决方案:自动化帮助关联多种安全设备,快速收拢风险,及时发现威胁。
企业资产安全监控
- 日志收集:通过Streamset、LogStash、Beat等工具将各类安全日志统一收集到ES或Splunk。
- 自动化告警:利用自动化技术对事件进行预处理,降低MTTR,辅助安全人员研判。
- 自动化响应:利用自动化技术对事件进行响应,提高安全运营效率。
SOAR平台介绍
- 定义:SOAR(安全编排和自动化响应)由SOA(安全编排与自动化)、SIRP(事件应急响应平台)、TIP(威胁情报平台)三核心组成。
- 实践:利用开源工作流引擎n8n实现SOAR落地,通过剧本(playbook)解决重复性工作,固化安全运营流程。
n8n工具介绍
- 三要素:节点(超220个应用程序节点)、数据(JSON格式共享传递)、触发器(定时、事件、webhook等)。
SOAR在安全运营中的应用
- 自动化监控告警:定时分析安全日志、威胁情报匹配,发现异常并告警。
- 自动化响应:接收SIEM或其他安全平台事件输入,进行关联分析、生成工单等。
- 具体案例:堡垒机异常命令监控告警、Log4j攻击告警、漏洞预警响应、WEB攻击IP封禁。
安世加简介
安世加通过互联网平台、线上线下活动等形式,致力于创建亚太地区最好的甲乙双方交流学习平台,培养安全人才,提升行业素质,助推安全生态圈健康发展。
