在本课中,你将学习如何使用FortiAnalyzer中包含的自动化功能。
在本课中,你将探索上图显示的主题。
通过展示理解操作手册目的及其组件的能力,你将能够有效地使用操作手册。
自动化对于面临不断变化的威胁环境的安全团队来说至关重要。一般来说,自动化可以提高生产力,降低成本,提高效率,并最大限度地减少人为错误。
在SOC环境中,这些好处除其他外,提供了更快的响应时间、更快的数据分析、更好地利用分析师时间、更好的合规管理以及更一致的安全态势。
FortiAnalyzer允许SOC分析师使用剧本自动执行常见和重复的任务。
FortiAnalyzer适用于独立设备,但它也与安全架构集成。这种集成允许FortiAnalyzer与安全架构中的其他设备通信,通过运行自动手册来检测安全事件,并自动触发纠正或预防措施。
例如,你可以创建自动生成报告的剧本,或指示FortiGate设备隔离受损的主机,仅举两个用例。可用操作取决于设备类型。使用与安全架构兼容的设备,你可以充分利用其功能。
上图显示了操作手册用于自动化任务的可能场景:
1. 流量经过FortiGate
2. FortiGate将日志发送到FortiAnalyzer
3. FortiAnalyzer检测到一些可疑的流量并生成一个事件
4. 该事件触发了FortiAnalyzer中操作手册的执行,该操作手册向FortiGate发送webhook调用,以便它运行自动化拼接
5. FortiGate通过纠正或预防措施运行自动化针
操作手册包括一个启动事件(触发器),该事件决定何时运行操作手册,以及要执行的一个或多个任务。
触发操作手册后,它会流经操作手册设计器中定义的现有任务。
每项任务都包括需要执行的自动化操作。可用的操作取决于使用的连接器。连接器允许在受支持的设备上执行任务。
你可以从头开始或使用预定义的模板创建操作手册。操作手册仅在创建它们的ADOM中可用,除非它们被导出到不同的ADOM。
在最简单的情况下,剧本由一个触发器和一系列任务组成,这些任务一个接一个地执行。然而,剧本也允许更复杂的设计,涉及同时运行多个任务。此外,如果需要,一个任务的输出可以由随后的任务使用。
例如,一个任务可以收集特定事件,以下任务可以将这些事件添加到事件中。
每个剧本都以一个触发器开始,该触发器决定何时执行剧本。每个剧本只能包含一个触发器。
触发操作手册后,它会通过操作手册设计器中定义的配置任务来流动。
以下四个触发器可用:
● EVENT_TRIGGER:当创建与配置过滤器匹配的事件时,操作手册会运行。当没有设置过滤器时,所有事件都将触发操作手册。
● INCIDENT_TRIGGER:当创建与已配置的过滤器匹配的事件时,操作手册会运行。当没有设置过滤器时,所有事件都将触发操作手册。
● ON_SCHEDULE:操作手册在配置的时间表中运行。你可以定义时间表的开始时间、结束时间、间隔和间隔频率。
● ON_DEMAND:当管理员手动启动时,操作手册会运行。
要手动运行操作手册,请转到操作手册,选择所需的操作手册,然后单击运行。此外,如果存在,你可以从事件分析页面运行操作手册。
请注意,带有ON_SCHEDULE触发器的操作手册也可以手动执行。这允许你在配置的时间范围之外测试它们。
根据所选的触发器类型,你将有几个选项可用于指定你希望操作手册运行的确切时间。
例如,你可以将事件触发器配置为仅在特定设备上检测到严重性高的事件时运行。
请记住,当触发器的过滤器有多个条件时,必须满足所有条件才能使操作手册开始运行。
连接器确定可以在操作手册中执行哪些自动操作。可用操作将因使用的连接器类型而异。每种类型都允许不同的操作。
支持的连接器是本地(FortiAnalyzer)、FortiOS、FortiMail、FortiGuard、FCASB、EMS和ServiceNow。
要查看FortiSoC连接器,请单击连接器。
FortiSoC连接器的状态由彩色图标表示:
● 绿色:API连接成功。
● 黑色:API连接未知。
● 红色:API连接已关闭。
你可以通过将鼠标悬停在状态图标上来查看状态上次更新的时间。单击刷新图标以获取更新状态。
默认情况下,本地连接器已准备就绪。其他连接器类型需要额外的配置。
例如,一旦第一个FortiGate添加到FortiAnalyzer,FortiOS连接器就会被列出。但是,为了查看与该FortiOS连接器相关的操作,你必须使用FortiGate端的传入Webhook呼叫触发器启用自动化规则。
任务是操作手册开始运行后发生的操作。每个启动器可以触发一个或多个任务的执行,每个任务可以执行一个操作。
任务也可以链接,以便一个任务的输出成为下一个任务的输入。例如,可以创建一个任务来获取一些数据,然后将该数据提供给下一个任务,然后将其添加到报告中。
添加新任务时,必须先选择相关的连接器,然后才能选择所需的操作。在上图显示了与Local连接器相关联的操作。可用的操作将根据你选择的连接器类型而有所不同。
你可以配置使用默认输入值的任务,或从触发器或之前的任务中获取输入的任务。
你必须在FortiGate上配置自动化规则,然后才能看到FortiOS连接器上的可用操作列表。
答案:A
答案:A
非常好!你现在了解了操作手册组件。接下来,你将学习如何创建操作手册并使用它们来自动执行任务。
通过展示使用操作手册实现任务自动化的能力,你将能够提高组织SOC运营的效率。
FortiAnalyzer包括几个操作手册模板,可以由SOC分析师快速定制。包含的十二个模板允许执行以下任务:
● 调查受损的主机事件和重大入侵事件
● 丰富资产和身份以及正在调查的主机的数据
● 阻断C&C IP地址
● 在端点上隔离和运行AV扫描
要从模板创建新的操作手册,请单击操作手册>新建。
接下来,选择一个带有响应你需求的描述的操作手册模板,操作手册设计师将打开。
本课稍后将讨论从头开始创建操作手册的选项。
当你选择操作手册模板时,会显示操作手册设计器,并自动填充一个触发器和一个或多个任务。触发器类型和包含的任务取决于你选择的模板。
你可以配置、添加或删除任务来自定义操作手册。
上图展示了一个操作手册的示例,该手册将:
● 生成指定事件时运行
● 创建一个新事件
● 获取任务过滤器中指定的事件列表,并将其添加到事件中。
● 运行一份报告并将其附加到事件中
因此,该事件将拥有负责的分析师在事件调查期间可以使用的所有相关信息。
请注意,要能够将报告作为任务运行,该报告必须已经存在,并且必须同时启用自动缓存和扩展日志过滤。
默认情况下,从模板创建的每个新剧本都有相同的通用名称,加上最后创建的日期。这可能会使它们难以与其他操作手册区分开来,因此,强烈建议你将新操作手册的名称和描述编辑成易于识别的东西。
要添加新任务,请单击并拖动连接到当前任务或触发器的连接器选项卡。将显示一个空任务,你需要编辑其设置。
要编辑任何任务,请单击右上角旁边的铅笔。记得保存更改。
要删除任务,请单击其右上角的红十字。
如果这些模板都不能满足你的需求,你始终可以从头开始创建剧本。为此,请单击操作手册>新建,然后选择列表中的第一个选项。操作手册设计师将打开。
首先,你必须选择一个触发器。请记住,根据选择的触发器类型,你可以选择添加过滤器,仅在指定标准匹配时才使操作手册运行。
然后,你需要通过拖放连接器来添加要执行的一个或多个任务。
在编辑任务时,请记住,这些操作也可以使用过滤器来减少对不需要数据的处理。例如,设置为Get Events的任务可以使用过滤器仅包含特定事件处理程序生成的事件,或仅包含具有特定严重性的事件,仅举两个例子。
还请记住,在创建新的操作手册后,FortiAnalyzer需要几分钟来解析它。例如,如果你尝试在该时间之前运行使用ON_DEMAND触发器配置的新创建的操作手册,你将收到一个错误,如上图显示的错误,告诉你为什么操作手册无法运行。
你可以在配置任务时使用变量。有两种类型的剧本变量可用:输出变量和触发变量。
输出变量允许你使用前一个任务的输出作为当前任务的输入。
输出变量的格式包括任务ID,后跟任务输出,如上图所示。
在上图,正在创建的新任务将使用上一个任务生成的报告将其添加到事件中。
触发变量允许你在配置了事件或事件触发器时使用剧本触发器中的信息。例如,一个剧本可以由多个设备触发。运行报告操作可以包括触发操作手册的事件中端点IP地址的过滤器。
答案:B
答案:B
非常好!你现在知道如何创建操作手册并使用它们来自动化任务。接下来,你将学习如何管理操作手册。
通过展示监控操作手册的能力,你将能够确定所有自动化任务是否成功。你还可以将操作手册导出到另一个ADOM或设备。
创建操作手册后,你可以通过操作手册编辑器启用或禁用它。
监控已启用的操作手册,并跟踪每个任务的执行情况。你可以在操作手册监控中查看操作手册工作的状态。
操作手册的状态可以是以下之一:
● 运行
● 成功
● 失败
在对操作手册进行故障排除时,查看他们的日志非常有用。有关执行操作手册工作的详细信息可在相关日志中找到。
要查看详细的日志,请转到操作手册监控,选择所需的条目,单击详细信息图标,然后单击查看日志。
此条目的摘要也可以在FortiAnalyzer部分的日志视图中找到。
包含一个或多个失败任务的操作手册工作在操作手册监控中标记为失败。然而,失败状态并不意味着所有任务都失败。一些个人操作可能已经成功完成。
在上图显示的示例中,操作手册配置了两个任务,只有名为create incident 2的任务无法运行。然而,操作手册工作被认为失败了。示例中失败的具体原因是端点ID应该是一个数字;然而,使用了“FIT”字符。
操作手册是根据ADOM定义的。如果你想在不同的ADOM或不同的FortiAnalyzer设备上使用现有的操作手册,你可以非常轻松地将其导出。
要导出操作手册,右键单击要导出的操作手册,然后单击导出。你可以通过选择它们同时导出多个操作手册。导出指南窗口打开。
配置导出所选操作手册的设置:
● 你想包括连接器吗:启用此设置后,运行此手册所需的连接器将包含在导出文件中。例如,如果配置了像EMS连接器这样的非默认连接器,则建议这样做,以便所有必需的组件都包含在结果文件中。
● 选择导出数据类型:选择导出文件类型为纯文本JSON或zipped/base 64编码的JSON。
如果你需要能够以纯文本阅读JSON文件的内容,你必须在导出过程中选择文本版本。
要导入操作手册,请右键单击操作手册仪表板中的任意位置,然后单击导入。
导入操作手册窗口打开。浏览以选择要导入的操作手册文件。如果可用,你可以在文件中包含任何连接器。这是推荐的选择。
如果导入的操作手册与现有操作手册的名称相同,为了避免冲突,FortiAnalyzer将创建一个包含时间戳的新名称。
操作手册的导入状态与导出时(启用或禁用)相同。设置为自动运行的操作手册应在禁用时导出,以避免在目的地意外运行。
答案:B
答案:A
恭喜!你已经完成了本课。现在,你将复习本课中涵盖的目标。
你了解了什么是操作手册,以及如何在FortiAnalyzer中创建它们来自动执行任务。你还学习了如何监控和管理操作手册。