随着互联网、云计算、大数据等技术的发展与应用，网络威胁日趋多元化和复杂化，与此同时，随着企业资产的数字化、移动化、云化和物联网化，资产边界不断外延，为企业提供了更多的商业机会的同时也带来了新的网络安全风险和挑战。

　　为了应对网络安全的严峻形势，许多企业成立专业的安全运团队同不断升级的网络威胁进行对抗。其中安全事件运营成为安全运营团队主线任务，安全事件运营通常涉及：事件监测、事件分析、事件调查、事件响应、事件后续处理。

　　建设网络安全运营平台通过对网络流量、终端等遥测点的数据进行检测分析，结合端网之间日志、告警、威胁情报数据等进行自动化关联分析，打通了安全防护产品间的数据孤岛。通过误报检测、溯源分析、ATT&CK分析、杀伤链分析等技术，完成告警稽查、告警上报，打破了安全组件间的壁垒，实现全视角度的威胁检测分析。通过智能的自动化研判技术，对安全事件进行分析研判，实现多种威胁场景的识别。通过威胁场景剧本，能完全自动化的实现对威胁的响应，自动形成处置方案，将安全运营人员从繁重复杂的安全事件运营工作中释放。

　　自动化编排与响应系统作为态势感知的数据消费端，每日所接收的数据在1千万条左右，而这1千万条数据存在大量的重复数据，因此需编制一个规则对数据进行压制，目前系统部署的压制剧本和自动化处置剧本，能够将数据从1千万降到每日8千余左右，这不仅减轻了系统对数据的处理能力，而且也大大降低安全运营的工作负荷。

　　为了进一步对安全威胁告警进行精确分析和研判，系统对原始告警进行了分类，根据贵州农信的告警类别，结合威胁场景的分析和自动化研判，目前已经部署38类场景，包含：SQL注入攻击、XSS攻击、反序列化攻击等38类场景，根据每一个场景进行了不同剧本的部署。

　　基于38类场景的分析和研判，对贵州农信的安全威胁告警进行了去伪存真、去粗取精的操作，把真正具备安全攻击威胁的事件提取了出来，并通过系统的自动封禁功能实时的对威胁动作进行封禁阻断，从而又为贵州农信网络安全的发展注入了强大的推力。

　　为了切实提升贵州农信网络安全事件的主动防御和动态防护能力，通过建设自动化编排与响应系统，让企业的安全专家从繁重的重复劳动中释放出来，将事件应急响应的经验转化为剧本，将企业的安全运营流程数字化管理起来，每一次安全事件的对应处置过程都在统一标准，统一步骤下执行，有迹可循。避免人员能力的差距导致的处置实际效果不可控。从而极大程度的降低了MTTD（平均检测时间），能够更快更准确地检测出攻击和入侵。同时基于自动化编排与响应技术可以将处置过程编制成剧本，降低MTTR（平均响应时间），从而提升企业整体网络安全运营效率。在自动化安全响应分析平台中运营流程具备数字化管理能力，每一次的执行过程都记录在案，因此剧本流程的 KPI 如 MTTD、MTTR等全部可评估、可度量、可追踪。

　　系统本身具备高冗余高性能的集群架构，安全的系统组件和底层配置，灵活的权限管理能力、详细的审计管理能力，多样化的报表定制能力、可视化定制能力。

　　系统具备完善的数据收集及范式化处理的能力，能够对接贵州农信现有的网络安全态势感知平台获取安全告警数据，能够对接贵州农信CMDB系统利用取证脚本完成失陷主机的威胁线索取证，能够对接现有的威胁情报平台，利用威胁情报平台接口实现自动化为威胁分析。

　　系统能够自动识别安全告警对应的威胁场景，并结合威胁场景实现自动化的线索取证，根据安全告警、威胁线索、威胁情报等相关的安全数据，实现自动化的威胁分析和误报识别，对于安全威胁能够结合剧本编排和自动化能力实现自动化的处置方案制定。

　　系统能够基于威胁场景利用剧本编排技术定制对应的处置流程，自动化联动贵州农信网络安全防护设备，实现自动化的威胁联动处置。

　　统一性原则：通过统一的自动化编排与响应系统实现对各类安全数据的分析和管理，即采用完全一致的上层数据处理逻辑来实现数据的处理、分析和展现；

　　先进性原则：基于先进的IT管理理念，采用成熟的自动化编排与响应系统产品，采用适当先进的技术架构，把握自动化编排与响应技术的发展潮流，最大化客户的投资；

　　可扩展性原则：充分考虑到未来技术的发展趋势和客户潜在需求的变化，自动化编排与响应系统架构应具有灵活的可扩展性，方便扩充功能模块及规模，不应由于新的管理功能或者被管对象的加入而产生架构上的变化；

　　最小化影响性原则：项目建设和上线应尽可能小的影响系统和网络的正常运行，不能对业务工作产生显著影响（包括被管系统性能明显下降、网络拥塞、服务中断等）；

　　可靠性原则：为保证自动化编排与响应系统本身的可靠性，产品需具备可靠的自身管理机制，实时监控影响系统正常运行的可能因素（如资源利用率情况、服务异常等），保证系统不间断工作；

　　随着企业的网络安全防御体系的不断建设和完善，贵州农信已于2021年完成了网络安全态势感知平台的建设，通过采集安全设备告警并对告警数据结合威胁情报、网络流量、威胁场景进行关联分析，极大程度上压制了告警的数量使安全运营成为可能。但是由于采集到的安全设备告警数据来自于各个安全设备，而安全设备的告警逻辑是不可见的，仅通过告警中的告警类型、源地址、目的地址等有限的信息进行关联分析，仅能做到的是在指定的威胁场景下压制告警的数量，告警仍然存在大量的误报，安全运营人员也无法从告警中了解到被攻击资产是否被攻陷、被攻陷资产是否存在横向移动等情况，仍然需要线下人工取证并对取证数据进行分析，这大大降低了网络安全事件的处理时效性。在网络安全运营工作中减少安全事件处置的响应时间（包括事件遏制和补救）是控制安全事件影响的最有效方法之一。

　　为了切实提升网络安全事件运营效率，通过建设自动化编排与响应系统，采集网络安全态势感知平台告警数据，自动识别告警对应的威胁场景，结合威胁场景自动化获取能够佐证其真实性和能够完整描述攻击成功后的其他行为的威胁线索数据，再利用剧本技术将安全专家针对特定威胁场景的分析过程固化下来，例如线索取证、威胁分析、误报识别、制定处置方案、联动安全设备进行处置等，从而提升网络安全事件运营的工作效率。

　　数据源层是指安全告警数据源对象，主要包括SIEM、SOC、态势感知等的安全分析类产品，此类产品分析后产生的告警数据，即为自动化编排与响应系统的安全告警数据来源。

　　自动化编排与响应系统提供了syslog、kafka、文件/目录、REST API等多种安全告警数据接入方式，当采集到数据后会根据数据预处理配置，完成告警数据的范式化、分类、过滤、归并、信息补全等操作，同时也可以根据需求完成告警数据的转发。

　　存储层主要采用关系型数据库MySQL和大数据存储引擎ElasticSearch进行分出，其中告警数据库、威胁线索库以天为单位建立索引。

　　业务层利用告警分析引擎自动识别采集到的安全告警所对应的威胁场景，将其转发至对应的自动化剧本进行处置，在自动化剧本执行中，根据剧本编排内容，自动完成威胁线索取证、自动威胁研判、自动误报分析、自动制定处置方案并自动完成威胁的联动处置工作。

　　应用层是面向系统的使用者，提供一个图形化的显示界面，展现安全审计系统的各功能模块，提供威胁研判工作台、告警管理、资产管理、报表管理、权限管理、系统管理、知识库维护等功能。

　　自动化编排与响应系统作为贵州农信态势感知平台的一个重要补充，需接收从态势感知平台下发的数据，自动化编排与响应系统同态势感知平台之间的数据传递通过Kafka进行进行对接，具体的部署架构如图2所示。

　　在图2所示的部署框架中，态势感知收集了所有贵州农信数据中心安全设备的数据，经过部署处理后，将其数据下发至自动化编排与响应系统作进一步的精确研判和自动化处置动作，并将处置数据回发至态势感知平台，形成闭环，如图3所示。

　　如图3所示的自动化编排与响应系统，体现自动化编排与响应系统同态势感知平台在贵州农信安全运营中的用途和范围。态势平台重点在于上游数据的处置与展示，而自动化编排与响应系统重点在于对态势感知平台数据的研判和自动处置，并依赖于威胁情报库的赋能，进一步提升了自动化处置的精度，同时也通过及时通讯工具将处置结果告知到安全运营人员。

　　经过对贵州农信网络安全威胁告警的精准分析，项目在建设过程部署剧本38类。通过对贵州农信网络安全所涉及的告警类型进行了分析研判，从中提取出了不同种类的告警，并根据每一类告警进行了剧本的编排，如图6所示，以命令注入类剧本为例。

　　图6所示的命令注入类剧本，从告警压制后告警进入误报分析白名单，如果命中白名单便判断为误报，否则进行情报分析，同时还需要进一步进行高风险IP分析，无论命中情报或高风险IP，均需进行精准分析，分析告警中是否存在线).以自动化编排系统为依托，减轻安全运维人员工作负荷

　　自动化编排与响应系统至4月份上线运营以来，每天所接收的原始数据大概在1千万条左右，如图7所示。

　　如图7所示的原始数据中包含了大量的重复数据。为了对原始告警进行去重操作，并对告警数据进行精确的研判，系统部署了38个剧本，从而使得原始数据从1千万下降到了8千条左右，如图8所示。

　　如图8所示的8千余条告警，包含了系统进行自动化处置的数据和未处置的数据，其中系统自动化处置的数据8134条，而未处置的数据103条，如图9所示。

　　如图9所示的103条告警包含了贵州农信下属行社的告警，而行社的告警需通过工单下发进行处置，总共包含32条，因此需要人工研判的告警数量为71条，如图10所示。

　　如图10所示，经过自动化编排与响应系统自动化处置后，每日的日志处理数量从1千万明显的下降至了当前的100条以下，随着系统的进一步运营，目标是每日的未外置告警数量在10条以内。

　　通过在网络中部署自动化编排和响应系统，及时对网络流量、终端等遥测点的数据进行检测分析，结合端网之间日志、告警、威胁情报数据等进行自动化关联分析，打通了安全防护产品间的数据孤岛。通过误报检测、溯源分析、ATT&CK分析、杀伤链分析等技术，完成告警稽查，打破了安全组件间的壁垒，实现全视角度的威胁检测分析。通过智能的自动化研判技术，对安全事件进行分析研判，目前已支持38种威胁场景的识别。通过威胁场景剧本，能完全自动化的实现对威胁的响应，自动形成处置方案，将安全运营人员从繁重复杂的安全事件运营工作中释放，保障国家关键基础设施安全，将网络信息安全做到防患于未然。

　　项目的实施，满足国家行业法律法规等合规方面要求，降低网络安全合规性风险，结合实际业务解决金融行业信息系统的高风险项，为系统提供全方位的安全保障，降低安全运营风险，提高了贵州农信控制系统网络信息化水平，有效的提高网络安全认识，切实提升信息化管理水平和管理效率。提升了抵御网络安全风险能力，避免各种有可能出现的由网络安全引起的突发问题，减少企业信息系统网络安全威胁。