跳至主内容

事件处置流程

安全数据湖 的事件处置流程为定义组织安全事件响应机制提供了可复用的标准化框架。该功能通过可绑定至 事件定义 , Sigma规则 异常检测器 .

本文将阐述事件处置流程的概念、创建方法以及步骤的添加与管理。

核心要点

以下重点内容概括了本文的核心信息:

  • 事件流程可一次性定义并跨多种事件类型复用,确保响应一致性并减少冗余配置。

  • 每个流程由结构化步骤组成,指导分析人员执行诸如运行搜索查询、发送通知或打开仪表板等操作。

  • 事件流程直接集成到 安全数据湖 界面中,可与事件定义、Sigma规则及异常检测器关联,实现无需人工解读的无缝上下文响应。

  • 通过在工作流中嵌入可操作步骤,事件流程能提升操作清晰度、缩短响应时间,并推动安全运维的一致性与高效性。

事件流程构成要素

事件流程包含两个主要组成部分:

  • 事件流程主体 :定义响应整体目标与结构的容器,类似于事件响应预案手册。

  • 事件流程步骤 :响应潜在事件或事故时需执行的独立操作或遵循的指令。

事件流程主体

事件流程作为预定义响应动作的容器,明确响应目标(如应对暴力登录尝试或检测恶意软件)。创建后将被保存至流程库,支持按需复用而无需每次重建处置方案。

该功能帮助团队标准化处置工作流、减少配置时间,并确保同类安全场景下的一致性。事件流程可关联多个事件定义、Sigma规则或异常检测器,从而在 安全数据湖 .

事件流程步骤

每个事件流程包含引导响应过程的单步或多步操作,步骤可以是静态文本或 安全数据湖 内嵌的交互动作,具体功能包括:

  • 搜索查询:启动预定义搜索分析相关日志数据,或从已有保存搜索中选择。

  • 通知:向个人或群组发送邮件或警报。

  • 跳转仪表板:导航至特定仪表板查看上下文数据。

这些步骤创建后将保存至步骤库,可跨多个事件流程复用,从而提升事件响应时的清晰度、一致性和执行效率。

事件流程步骤以引导式清单或交互工作流形式直接嵌入 安全数据湖 界面。例如并非所有安全事件都需立即处置,某些可能涉及后续动作:查看仪表板上下文数据、通过通知发起沟通,或执行预定义搜索查询识别关联威胁。通过将这些动作结构化, 安全数据湖 使分析人员能无歧义地实现从检测到调查再到响应的无缝衔接,无需依赖人工解读。

创建事件规程

安全数据湖 中创建事件规程是定义事件响应工作流的基础步骤。

创建新事件规程的步骤:

  1. 导航至 安全数据湖 安全 > 安全事件 > 规程 .

  2. 点击 事件规程 标签页。

  3. 选择 创建事件规程 .

  4. 输入清晰描述用例的标题(例如"暴力破解补救规程"),并提供概述意图及规程适用场景的说明。

  5. 通过点击 新建步骤 按钮添加事件规程步骤,或通过点击 从库中选择 按钮从现有步骤库选取。您可选择跳过此步骤直接保存事件规程。

  6. 点击 创建事件规程 按钮保存已创建的事件规程。

创建事件规程步骤

创建事件规程容器后,可添加规程步骤。这些步骤定义了组织响应安全事件时应遵循的具体操作或指令,可以是基于文本的说明、系统驱动的操作或两者结合。

创建事件处理步骤:

  1. 事件处理 页面,点击 步骤 标签页。

  2. 选择 创建事件处理 步骤 .

  3. 输入一个清晰描述步骤的标题(例如“按顺序执行以下步骤进行暴力破解补救”),并提供详细说明步骤的描述。

  4. 切换 操作 按钮(位于窗口右上角)以添加可操作步骤,例如启动搜索查询、导航到仪表板进行深入分析或向团队发送通知。

  5. 拖放可操作步骤以更改其顺序。

  6. 点击 创建事件处理步骤 以保存创建的事件处理步骤。

在事件处理中使用事件特定变量

安全数据湖中的 事件处理 允许您动态响应特定的日志事件或条件。事件处理最灵活和上下文感知的方面之一是能够使用来自事件和事件定义的预定义字段和自定义字段。这种灵活性通过 Java最小模板语言(JMTE) 格式化实现。

事件处理和步骤支持通过JMTE格式化动态访问上下文相关数据。此模板语法允许您将事件定义和结果事件中的值直接插入和处理到您的处理逻辑中。

这些值可以是:

  • 系统定义字段(例如${event.timestamp}、${event.message})。

  • 您定义的自定义字段。

可使用的预定义字段列表定义在 警报 .

管理事件规程与步骤

有效管理事件规程可确保您的应急响应流程始终切合实际、便于执行,并能适应不断演变的安全威胁与组织政策要求。

本节将介绍如何分配角色权限,以及共享、查看、编辑和删除事件规程及其步骤。

分配角色与权限

管控事件规程的查看、创建、编辑或执行权限,对维护安全可靠的应急响应流程至关重要。 安全数据湖 通过基于角色的权限实施访问控制,确保仅授权用户可管理或执行事件规程。适用于事件规程的角色有两种:

角色类型

描述

事件规程创建者

允许创建事件规程及步骤。

安全管理员

授予所有安全功能的读写权限。

这些角色通过 角色 模块进行管理,路径为: 安全数据湖 :

  1. 前往 安全数据湖 通用 > 系统 > 角色 .

  2. 角色 搜索框中,查找并选择 事件程序安全管理员 角色。

  3. 点击 编辑角色 .

  4. 使用搜索字段找到用户或团队,并点击 分配用户 分配团队 以相应分配所选角色。

权限是实体特定的,这意味着用户或团队要访问事件程序或其步骤中引用的实体(如仪表板或保存的搜索),必须对该特定实体拥有明确权限。

共享事件程序与步骤

您可与用户及团队共享事件程序及其步骤,但需先授予必要权限。例如,若共享的事件程序在其步骤中引用了异常检测器,则接收者必须拥有异常检测管理员或异常检测读取者角色才能访问所引用的实体。

共享事件程序或步骤的步骤:

  1. 找到要共享的事件程序或步骤。

  2. 点击所选项目旁的省略号,并从菜单选项中选择 共享

  3. 在弹出窗口中,使用搜索字段选择目标用户和/或团队。

  4. 点击 添加协作者 将其加入共享列表。

  5. 点击 更新共享 以确认并应用更改。

共享事件程序或步骤时,信息框会显示所选用户或团队是否具备必要权限。这使您可在完成共享操作前审查并授予所需权限集。

例如,下图显示某用户尝试与用户Bob Bobson共享事件程序,但信息对话框提示共享前需补全缺失权限。

Sharing an Event Procedure.png

注意

事件处理流程及其步骤是作为独立实体进行管理的。为确保完整访问权限,请务必同时将流程及其关联步骤共享给目标接收者。

查看现有事件处理流程及步骤

查看所有已配置事件处理流程及步骤的操作方法:

  1. 导航至 安全数据湖 安全 > 安全事件 > 处理流程 .

  2. 选择 事件处理流程 步骤 标签页。根据选择将显示所有现有流程及事件步骤的列表,包含其标题与描述信息。

  3. 点击事件处理流程可查看关联事件定义、实体、Sigma规则或异常检测器等详细信息。

编辑事件处理流程

更新标题、描述、元数据或删除现有事件处理流程的方法:

  1. 事件处理流程 页面点击目标流程旁的省略号。

  2. 从弹出菜单中选择 编辑 .

  3. 按需修改标题或描述字段。编辑事件处理流程时也可添加流程步骤。

  4. 点击 保存 事件处理流程 以应用更改。

如需删除流程,请选择 删除 从菜单中选择并确认删除提示。

管理流程中的步骤

查看和编辑与流程关联的步骤:

  1. 事件流程 页面,点击目标流程旁的省略号。

  2. 然后选择 编辑 .

  3. 此时, 编辑事件流程 窗口将显示该事件流程及其关联步骤。您可以:

    添加新步骤

    • 点击 + 新建步骤 创建新步骤,或选择 从库中添加 以从现有事件步骤库中添加步骤。

    • 若选择新建步骤,请在弹出的模态窗口中填写必填配置字段,并继续以下步骤。若从库中添加步骤,请勾选需添加的步骤并点击 添加步骤 将其加入流程。

    • 如需添加动作步骤,可通过切换 动作 并选择所需动作类型实现。

    • 选择 创建事件流程步骤 以保存步骤并将其加入流程。

    重新排序步骤

    • 拖拽步骤至目标顺序,新顺序将自动保存。

    移除步骤

    • 选择 X 以移除对应步骤。

本节内容 :