跳至主内容

事件处置流程

安全数据湖 的事件处置流程为定义组织安全事件响应机制提供了可重复的引导式框架。该功能通过可绑定至 事件定义 , Sigma规则 异常检测器 .

本文将介绍事件流程的定义、创建方法以及如何添加和管理流程步骤。

核心要点

以下内容概括了本文的关键信息:

  • 事件流程可一次性定义并跨多种事件类型复用,既能确保响应一致性,又可减少冗余配置。

  • 每个流程由结构化步骤组成,指导分析人员执行搜索查询、发送通知或打开仪表板等操作。

  • 事件流程直接集成于 安全数据湖 界面,可与事件定义、Sigma规则及异常检测器关联,实现无需人工干预的上下文无缝响应。

  • 通过在工作流中嵌入可执行步骤,事件流程能提升操作清晰度、缩短响应时间,推动安全运维工作的高效统一。

事件流程构成要素

事件流程包含两大核心组件:

事件流程主体

事件流程作为预定义响应动作的容器,明确响应目标(如应对暴力登录尝试或检测恶意软件)。创建后将被保存至流程库,支持按需复用而无需重复制定处置方案。

该功能帮助团队标准化处置流程、减少配置时间,并确保同类安全场景的响应一致性。事件流程可关联多个事件定义、Sigma规则或异常检测器,从而在 安全数据湖 .

事件流程步骤

每个事件流程包含引导响应过程的单步骤或多步骤序列。步骤可以是静态文本或嵌入 安全数据湖 的交互式操作,后者具备以下功能:

  • 搜索查询:执行预定义搜索分析相关日志数据,或从现有保存搜索中选取。

  • 通知:向个人或群组发送邮件或警报。

  • 跳转仪表板:导航至特定仪表板查看上下文数据。

这些步骤创建后将保存至步骤库,可跨多个事件流程复用,从而提升事件响应过程中的清晰度、一致性和执行效率。

事件处理步骤可作为引导式检查清单或交互式工作流,直接嵌入 安全数据湖 界面。例如,并非所有安全事件都需要立即修复。某些事件可能涉及后续可操作步骤,例如查看仪表板上的上下文数据、通过通知发起通信,或执行预定义的搜索查询以识别相关威胁。通过将这些操作结构化地纳入事件处理流程, 安全数据湖 使分析人员能够从检测无缝过渡到调查再到响应,避免歧义或依赖人工解读。

创建事件处理流程

安全数据湖 中创建事件处理流程是定义事件响应工作流的基础步骤。

创建新事件处理流程的步骤:

  1. 导航至 安全数据湖 安全 > 安全事件 > 处理流程 .

  2. 点击 事件处理流程 标签页。

  3. 选择 创建事件处理流程 .

  4. 输入清晰描述用例的标题(例如"暴力破解修复流程"),并提供概述该流程意图及适用场景的说明。

  5. 通过点击 新建步骤 按钮添加事件处理步骤,或点击 从库中选择 按钮从现有步骤库选取。您也可以跳过此步骤直接保存事件处理流程。

  6. 点击 创建事件规程 按钮保存已创建的事件规程。

创建事件规程步骤

创建事件规程容器后,您可以添加规程步骤。这些步骤定义了组织在响应安全事件时应遵循的具体操作或指令,可以是基于文本的说明、系统驱动的操作或两者的组合。

创建事件规程步骤的方法如下:

  1. 事件规程 页面,点击 步骤 标签页。

  2. 选择 创建事件规程 步骤 .

  3. 输入清晰描述步骤的标题(例如"按顺序执行以下步骤进行暴力破解补救"),并提供详细说明步骤的描述。

  4. 切换 操作 按钮(位于窗口右上角)以添加可操作步骤,如启动搜索查询、导航至仪表板进行深入分析或向团队发送通知。

  5. 拖放可操作步骤以更改其顺序。

  6. 点击 创建事件规程步骤 保存已创建的事件规程步骤。

在事件规程中使用事件特定变量

安全数据湖 中的事件规程 允许您动态响应特定日志事件或条件。事件规程最灵活且具有上下文感知的特性之一,是能够使用来自事件和事件定义的预定义字段和自定义字段。这种灵活性通过 Java最小模板语言(JMTE) 格式化实现。

事件规程和步骤支持通过JMTE格式化动态访问上下文特定数据。此模板语法允许您将事件定义和结果事件中的值直接插入并操作到规程逻辑中。

这些值可以是:

  • 系统预定义字段(例如 ${event.timestamp}、${event.message})。

  • 用户自定义字段。

可用预定义字段列表详见 告警 .

管理事件流程与步骤

有效管理事件流程能确保您的应急响应工作流始终贴合实际、可操作,并与不断演变的安全威胁及组织策略保持一致。

本节介绍如何分配角色权限,以及共享、查看、编辑和删除事件流程及其步骤。

分配角色与权限

管控事件流程的查看、创建、编辑或执行权限,对维护安全可靠的应急响应工作流至关重要。 安全数据湖 通过基于角色的权限实施访问控制,确保仅授权用户可管理或执行事件流程。适用于事件流程的角色有两种:

角色类型

描述

事件流程创建者

允许创建事件流程及步骤。

安全管理员

授予所有安全功能的读写权限。

这些角色通过 角色 模块进行管理,路径为 安全数据湖 :

  1. 前往 安全数据湖 通用设置 > 系统 > 角色 .

  2. 角色 搜索框中,搜索并选择 事件流程安全管理员 角色。

  3. 点击 编辑角色 .

  4. 使用搜索字段定位用户或团队,并点击 分配用户 分配团队 以分配所选角色。

权限是实体特定的,这意味着用户或团队若要访问事件流程或其步骤中引用的实体(如仪表板或保存的搜索),必须拥有该特定实体的明确权限。

共享事件流程与步骤

您可与用户及团队共享事件流程及其步骤;但需先授予必要权限。例如,若共享的事件流程在其步骤中引用了异常检测器,则接收者需具备异常检测管理员或异常检测读者角色才能访问被引用实体。

共享事件流程或步骤的步骤:

  1. 定位目标事件流程或步骤。

  2. 点击所选项目旁的省略号,从菜单选项中选择 共享

  3. 在弹出窗口中,使用搜索字段选择目标用户和/或团队。

  4. 点击 添加协作者 将其加入共享列表。

  5. 点击 更新共享设置 以最终确定并应用更改。

当共享事件流程或步骤时,信息框会显示所选用户或团队是否具备必要权限。这使您能在完成共享操作前审查并授予所需的权限集。

例如,在下图中,某用户正尝试与用户Bob Bobson共享事件流程,但信息对话框会高亮显示共享该流程前缺失的权限要求。

Sharing an Event Procedure.png

注意

事件流程和事件流程步骤是作为独立实体管理的。为确保完全访问权限,请务必同时向目标接收者共享流程及其关联步骤。

查看现有事件流程与步骤

查看所有已配置事件流程和步骤的方法:

  1. 导航至 安全数据湖 安全 > 安全事件 > 流程 .

  2. 选择 事件流程 步骤 选项卡。根据选择,将显示所有现有流程及事件步骤的列表,包含其标题与描述。

  3. 点击事件流程可查看关联事件定义、实体、Sigma规则或异常检测器等详细信息。

编辑事件流程

更新标题、描述、元数据或删除现有事件流程的方法:

  1. 事件流程 页面,点击目标流程旁的省略号。

  2. 从弹出的菜单选项中,选择 编辑 .

  3. 根据需要更新标题或描述字段。编辑事件流程时也可添加流程步骤。

  4. 点击 保存 事件流程 以应用您的更改。

此外,若要删除流程,请从菜单中选择 删除 并在提示中确认删除。

管理流程中的步骤

要查看和编辑与流程关联的步骤:

  1. 事件流程 页面,点击目标流程旁的省略号。

  2. 然后选择 编辑 .

  3. 此时 编辑事件流程 窗口将显示该流程及其关联步骤。您可以:

    添加新步骤

    • 点击 + 新建步骤 创建新步骤,或选择 从库中添加 以从现有事件步骤库中添加步骤。

    • 若选择新建步骤,请在弹出的模态窗口中填写必填配置字段,并继续以下步骤。若从库中添加步骤,请选择要添加的步骤并点击 添加步骤 将其加入流程。

    • 如需添加操作步骤,请切换 操作 并选择所需操作类型。

    • 选择 创建事件处理步骤 以保存该步骤并将其添加到流程中。

    重新排序步骤

    • 通过拖放调整步骤顺序。新顺序将自动保存。

    删除步骤

    • 选择要删除步骤旁的 × 按钮。

本节内容 :