在SOC环境中,这些好处除其他外,提供了更快的响应时间、更快的数据分析、更好地利用分析师时间、更好的合规管理以及更一致的安全态势。
FortiAnalyzer允许SOC分析师使用剧本自动执行常见和重复的任务。
FortiAnalyzer适用于独立设备,但它也与安全架构集成。这种集成允许FortiAnalyzer与安全架构中的其他设备通信,通过运行自动手册来检测安全事件,并自动触发纠正或预防措施。
例如,你可以创建自动生成报告的剧本,或指示FortiGate设备隔离受损的主机,仅举两个用例。可用操作取决于设备类型。使用与安全架构兼容的设备,你可以充分利用其功能。
1. 流量经过FortiGate
2. FortiGate将日志发送到FortiAnalyzer
3. FortiAnalyzer检测到一些可疑的流量并生成一个事件
4. 该事件触发了FortiAnalyzer中操作手册的执行,该操作手册向FortiGate发送webhook调用,以便它运行自动化拼接
5. FortiGate通过纠正或预防措施运行自动化针
触发操作手册后,它会流经操作手册设计器中定义的现有任务。
每项任务都包括需要执行的自动化操作。可用的操作取决于使用的连接器。连接器允许在受支持的设备上执行任务。
你可以从头开始或使用预定义的模板创建操作手册。操作手册仅在创建它们的ADOM中可用,除非它们被导出到不同的ADOM。
例如,一个任务可以收集特定事件,以下任务可以将这些事件添加到事件中。
触发操作手册后,它会通过操作手册设计器中定义的配置任务来流动。
以下四个触发器可用:
● EVENT_TRIGGER:当创建与配置过滤器匹配的事件时,操作手册会运行。当没有设置过滤器时,所有事件都将触发操作手册。
● INCIDENT_TRIGGER:当创建与已配置的过滤器匹配的事件时,操作手册会运行。当没有设置过滤器时,所有事件都将触发操作手册。
● ON_SCHEDULE:操作手册在配置的时间表中运行。你可以定义时间表的开始时间、结束时间、间隔和间隔频率。
● ON_DEMAND:当管理员手动启动时,操作手册会运行。
要手动运行操作手册,请转到操作手册,选择所需的操作手册,然后单击运行。此外,如果存在,你可以从事件分析页面运行操作手册。
请注意,带有ON_SCHEDULE触发器的操作手册也可以手动执行。这允许你在配置的时间范围之外测试它们。
例如,你可以将事件触发器配置为仅在特定设备上检测到严重性高的事件时运行。
请记住,当触发器的过滤器有多个条件时,必须满足所有条件才能使操作手册开始运行。
支持的连接器是本地(FortiAnalyzer)、FortiOS、FortiMail、FortiGuard、FCASB、EMS和ServiceNow。
要查看FortiSoC连接器,请单击连接器。
FortiSoC连接器的状态由彩色图标表示:
● 绿色:API连接成功。
● 黑色:API连接未知。
● 红色:API连接已关闭。
你可以通过将鼠标悬停在状态图标上来查看状态上次更新的时间。单击刷新图标以获取更新状态。
默认情况下,本地连接器已准备就绪。其他连接器类型需要额外的配置。
例如,一旦第一个FortiGate添加到FortiAnalyzer,FortiOS连接器就会被列出。但是,为了查看与该FortiOS连接器相关的操作,你必须使用FortiGate端的传入Webhook呼叫触发器启用自动化规则。
任务也可以链接,以便一个任务的输出成为下一个任务的输入。例如,可以创建一个任务来获取一些数据,然后将该数据提供给下一个任务,然后将其添加到报告中。
添加新任务时,必须先选择相关的连接器,然后才能选择所需的操作。在上图显示了与Local连接器相关联的操作。可用的操作将根据你选择的连接器类型而有所不同。
你可以配置使用默认输入值的任务,或从触发器或之前的任务中获取输入的任务。
你必须在FortiGate上配置自动化规则,然后才能看到FortiOS连接器上的可用操作列表。
● 调查受损的主机事件和重大入侵事件
● 丰富资产和身份以及正在调查的主机的数据
● 阻断C&C IP地址
● 在端点上隔离和运行AV扫描
要从模板创建新的操作手册,请单击操作手册>新建。
接下来,选择一个带有响应你需求的描述的操作手册模板,操作手册设计师将打开。
本课稍后将讨论从头开始创建操作手册的选项。
你可以配置、添加或删除任务来自定义操作手册。
上图展示了一个操作手册的示例,该手册将:
● 生成指定事件时运行
● 创建一个新事件
● 获取任务过滤器中指定的事件列表,并将其添加到事件中。
● 运行一份报告并将其附加到事件中
因此,该事件将拥有负责的分析师在事件调查期间可以使用的所有相关信息。
请注意,要能够将报告作为任务运行,该报告必须已经存在,并且必须同时启用自动缓存和扩展日志过滤。
要添加新任务,请单击并拖动连接到当前任务或触发器的连接器选项卡。将显示一个空任务,你需要编辑其设置。
要编辑任何任务,请单击右上角旁边的铅笔。记得保存更改。
要删除任务,请单击其右上角的红十字。
首先,你必须选择一个触发器。请记住,根据选择的触发器类型,你可以选择添加过滤器,仅在指定标准匹配时才使操作手册运行。
然后,你需要通过拖放连接器来添加要执行的一个或多个任务。
在编辑任务时,请记住,这些操作也可以使用过滤器来减少对不需要数据的处理。例如,设置为Get Events的任务可以使用过滤器仅包含特定事件处理程序生成的事件,或仅包含具有特定严重性的事件,仅举两个例子。
还请记住,在创建新的操作手册后,FortiAnalyzer需要几分钟来解析它。例如,如果你尝试在该时间之前运行使用ON_DEMAND触发器配置的新创建的操作手册,你将收到一个错误,如上图显示的错误,告诉你为什么操作手册无法运行。
输出变量允许你使用前一个任务的输出作为当前任务的输入。
输出变量的格式包括任务ID,后跟任务输出,如上图所示。
在上图,正在创建的新任务将使用上一个任务生成的报告将其添加到事件中。
触发变量允许你在配置了事件或事件触发器时使用剧本触发器中的信息。例如,一个剧本可以由多个设备触发。运行报告操作可以包括触发操作手册的事件中端点IP地址的过滤器。
监控已启用的操作手册,并跟踪每个任务的执行情况。你可以在操作手册监控中查看操作手册工作的状态。
操作手册的状态可以是以下之一:
● 运行
● 成功
● 失败
要查看详细的日志,请转到操作手册监控,选择所需的条目,单击详细信息图标,然后单击查看日志。
此条目的摘要也可以在FortiAnalyzer部分的日志视图中找到。
包含一个或多个失败任务的操作手册工作在操作手册监控中标记为失败。然而,失败状态并不意味着所有任务都失败。一些个人操作可能已经成功完成。
在上图显示的示例中,操作手册配置了两个任务,只有名为create incident 2的任务无法运行。然而,操作手册工作被认为失败了。示例中失败的具体原因是端点ID应该是一个数字;然而,使用了“FIT”字符。
要导出操作手册,右键单击要导出的操作手册,然后单击导出。你可以通过选择它们同时导出多个操作手册。导出指南窗口打开。
配置导出所选操作手册的设置:
● 你想包括连接器吗:启用此设置后,运行此手册所需的连接器将包含在导出文件中。例如,如果配置了像EMS连接器这样的非默认连接器,则建议这样做,以便所有必需的组件都包含在结果文件中。
● 选择导出数据类型:选择导出文件类型为纯文本JSON或zipped/base 64编码的JSON。
如果你需要能够以纯文本阅读JSON文件的内容,你必须在导出过程中选择文本版本。
导入操作手册窗口打开。浏览以选择要导入的操作手册文件。如果可用,你可以在文件中包含任何连接器。这是推荐的选择。
如果导入的操作手册与现有操作手册的名称相同,为了避免冲突,FortiAnalyzer将创建一个包含时间戳的新名称。
操作手册的导入状态与导出时(启用或禁用)相同。设置为自动运行的操作手册应在禁用时导出,以避免在目的地意外运行。
