ICS35.030 CCS M 10 YD 中华人民共和国通信行业标准 XXXX-XXXXX1/O人 安全编排自动化响应(SOAR)技术参考架构 Technicalreference architecture of security orchestration automation andresponse (报批稿) 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXXX-XXXX 目次 前 1范围 2规范性引用文件 3术语和定义 4缩略语 5安全编排自动化响应技术参考架构 5.1概述 5.2参考架构 5.3主要功能单元描述 5.4工作流程 附录A(资料性)安全编排自动化响应(SOAR)的使用场景 附录B (资料性) 安全编排自动化响应(SOAR)的实施举例 附录 C (资料性) 安全编排自动化响应(SOAR)的部署 参考文献 行业标准信息服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位杭州安恒信息技术股份有限公司,中国信息通信研究院、华为技术有限公司,中国 电信集团有限公司,中兴通讯股份有限公司、北京启明星辰信息安全技术有限公司、北京天融信网络安 全技术有限公司.
本文件主要起草人刘博、孟楠、戴方芳、谈修竹、王雪薇、田丽丹、林明峰、李强、薄明霞、林 兆骥、胡毅勋、霍纪中、罗家强、陈星、柏雪、张光明、樊宁、田甜、宋磊、王.
行业标准信息服务平台 II
YD/T xXXXX-XXXX 安全编排自动化响应(SOAR)技术参考架构 1范围 本文件提出了安全编排自动化响应(SOAR)的技术参考架构.
本文件适用于指导安全编排自动化响应(SOAR)的使用方、运营方、研发方和第三方测评机构等对 安全编排自动化响应进行设计、开发、测试、运维等.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T25069信息安全技术术语 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件.
3. 1 信息安全事态information securityevent 表明可能的信息安全违规或某些控制失效的发生.
[来源:GB/T 25069-2022 3.686] 3.2 信息安全事件informationsecurityincident 与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态.
[来源:GB/T25069-2022 3.684] 3.3 安全事件响应securityincidentresponse 针对单个或一系列安全事件进行的响应活动.
安全事件响应活动结束后,安全事件应极大程度上得 到处理和解决.
3. 4 安全编排securityorchestration 将工作流程中涉及的不同系统或一个系统内部的不同安全能力通过可编程接口(API)封装后形成 定安全事件响应操作的过程.
3.5 安全剧本securityplaybook 针对不同信息安全事件、不同场景制定的标准化工作流程,可长期留存在SOAR系统中实现知识经验 的沉淀.
安全剧本将人、数据、流程、工具有效的结合在一起,实现自动化或半自动化的处置工作流.
安全剧本是安全编排的形式化表述.
3. 6 安全能力security capability 对安全资源所具备的安全功能的统称.
示例:防火墙类安全资源具备的阻断功能,即可被称为阻断安全能力.
3.7 安全能力接口securitycapabilityAPI
YD/TXXXXX-XXXX 对安全资源所具备安全能力的封装,即将安全资源的安全能力封装成标准含义的、独立的API对外 提供服务,支持用于安全编排.
3.8 资源集成开发resource integrationdevelopment 针对某类安全设备进行服务化开发的过程.
3.9 工作流引擎workflowengine 剧本执行实例化引擎,将待执行的安全剧本解析成机器可理解的工作流语言,并自动化执行剧本.
工作流引擎通过定义良好的接口和契约将流程节点联系起来,对流程的流向、状态等进行管理.
4缩略语 下列缩略语适用于本文件.
API:应用编程接口(Application ProgrammingInterface) SIEM:安全信息和事件管理(Security information andevent management) SOAR:安全编排自动化响应(Security Orchestration,Automation and Response) SOC:安全运营中心(SecurityOperations Center) UI:用户界面(User Interface) 5安全编排自动化响应技术参考架构 5.1概述 安全编排自动化响应技术是一种为安全运营人员在其团队中执行某些任务的过程中提供机器协助 的解决方案.
随着网络安全策略的不断演进,系统安全从简单防范方法的组合向融合检测、响应、预防 的全新安全防护体系转变.
SOAR技术可用于增强组织在面临威胁时预测、防御、检测和响应等能力.
SOAR技术使用场景见附录A,具体实施流程详见附录B,部署方案详见附录C.
5.2参考架构 安全编排自动化响应参考架构如图1所示: 安全编排自动化响应技术框架 数 据 数耀处理单元 编排策略控制单元 源 安全编排说计器 别本生成 安全剧本实列管理 安全 胞力 响应策略控制单元 工作 安 全 资 安全能力调用 源 资除集成开发 池 安全能力集成单元 南内接 图1安全编排自动化响应(SOAR)参考架构 安全编排自动化响应参考架构应至少包括数据处理单元、响应策略控制单元、编排策略控制单元、 安全能力集成单元.
2
