安全剧本
安全剧本 是什么?
安全剧本为特定告警或事件类型而准备的可重复执行的书面流程,告诉响应人员按何种顺序做什么。
安全剧本(也称运行手册)是把告警转化为行动的标准化操作流程。它说明触发条件、所需输入、决策点、富化步骤、遏制动作、沟通节点和关闭条件。剧本可以保存在 SOC 的知识库中,也可以作为代码运行在 SOAR 平台上,自动执行步骤(查询沙箱、隔离主机、停用用户)。一份好的剧本足够短小,适合在压力下执行,有版本控制,会通过桌面演练加以训练,与事件响应计划对接,并在每次真实事件后复盘以吸收经验教训。
● 示例
- 01
钓鱼剧本提取邮件头、在沙箱中爆破附件,并隔离所有已投递的副本。
- 02
SOAR 工作流停用被入侵的用户、吊销令牌并向 IT 开工单。
● 常见问题
安全剧本 是什么?
为特定告警或事件类型而准备的可重复执行的书面流程,告诉响应人员按何种顺序做什么。 它属于网络安全的 防御与运营 分类。
安全剧本 是什么意思?
为特定告警或事件类型而准备的可重复执行的书面流程,告诉响应人员按何种顺序做什么。
安全剧本 是如何工作的?
安全剧本(也称运行手册)是把告警转化为行动的标准化操作流程。它说明触发条件、所需输入、决策点、富化步骤、遏制动作、沟通节点和关闭条件。剧本可以保存在 SOC 的知识库中,也可以作为代码运行在 SOAR 平台上,自动执行步骤(查询沙箱、隔离主机、停用用户)。一份好的剧本足够短小,适合在压力下执行,有版本控制,会通过桌面演练加以训练,与事件响应计划对接,并在每次真实事件后复盘以吸收经验教训。
如何防御 安全剧本?
针对 安全剧本 的防御通常结合技术控制与运营实践,详见上方完整定义。
安全剧本 还有哪些其他名称?
常见的别称包括: 运行手册, 响应流程。
● 相关术语
- defense-ops№ 1062
SOAR
通过将检测、富化与响应动作串联为剧本并在各类安全工具中执行,实现 SOC 工作流自动化与编排的平台。
- forensics-ir№ 524
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
- forensics-ir№ 525
事件响应计划
经过批准的书面剧本,规定组织如何对网络安全事件进行准备、检测、遏制、根除、恢复并总结教训。
- forensics-ir№ 1127
桌面演练
以讨论为主的模拟演练,相关方按既定情景推演假想的网络事件,检验计划、角色、决策与沟通。
- defense-ops№ 845
事后复盘
事件结束后的无追责评审,用于还原时间线、识别促成因素,并明确下次能预防或更早检测此问题的具体行动。