使用 W5 SOAR实现自动编排 | xxx使用 W5 SOAR实现自动编排 – xxx
菜单






使用 W5 SOAR实现自动编排

一月 30, 2024 - FreeBuf

前言

最近再看自动化编排的东西,看到了一个开源的工具W5 SOAR,下面就一起来看看这个如何使用以及在企业中有什么应用。

什么是 W5 SOAR

W5 是一个面向企业安全与运维设计的 低代码 自动化平台,可以让团队降低 人工成本,提升工作效率。可以把代码 图形化、可视化、可编排。让不同的系统,不同的组件通过 APP 进行封装形成平台能力,通过剧本画出你想要的逻辑过程,利用多种 Trigger 去实现自动化执行。W5 适应面非常广泛,可用于多个方向,例:Devops、安全运营、自动化渗透、工作流程 等

文档地址

官网:https://w5.io/index.html

文档地址:https://w5.io/help/

特点

低代码 : 无需编写代码,即可让企业内部人员快速实现事件响应。

扩展强 : 提供插件模块,可以扩展让所有的应用平台集成 W5 自身插件

自动化 : 提供 Webhook、Mail、用户输入、API 等入口,无需人工即可实现全部流程

可编排:通过设计剧本,可编排所有系统进行整合提供管理能力

架构图

使用 W5 SOAR实现自动编排

实际使用

个人认为该工具可以将一些日常化的工作形成一个流程(剧本),通过编写剧本将其自动化实现,可以节省大量的人力。

一般应用在安全运营的工作中,如发现威胁后进行进一步的分析,阻断,修复等动作。

但是一般自动化阻断会存在误报的情况,一般都是人工分析以后确定是真实攻击,在用该工具进行阻断。

一些常见的场景

1)蜜罐捕获了告警IP,自动化分析该IP的归属地,查询威胁情报是否为肉鸡等,如果确定为攻击IP,则调用封禁程序封禁IP。

2)内部HIDS告警反弹shell攻击,查询反连IP的威胁情报,联动WAF等设备看在其它设备上是否存在告警。

3)调用工具进行资产扫描,自动入库

上面只是列举了一些可能的场景,实际上的用处还是有很多,可以根据实际的情况去创建具体的脚本。

安装过程

更新系统

yum -y update

安装必要组件

yum install -y gcc gcc-c++ automake autoconf libtool openssl-devel bzip2-devel libffi-devel make

下载 Python 3.8.2 && 解压压缩包

wget https://www.python.org/ftp/python/3.8.2/Python-3.8.2.tgz&& tar -zxvf Python-3.8.2.tgz && cd Python-3.8.2/

检测编译环境

./configure prefix=/usr/local/python3 –enable-optimizations

编译安装

make && make install

# 有时候一起执行会卡主,分开执行即可解决

make

make install

设置软链接

# 删除已经存在的软链接

rm -rf /usr/bin/python3 && rm -rf /usr/bin/pip3 && rm -rf /usr/bin/gunicorn3 && rm -rf /usr/bin/supervisord3 && rm -rf /usr/bin/supervisorctl3 && rm -rf /usr/bin/echo_supervisord_conf3

# 创建新的软链接

ln -s /usr/local/python3/bin/python3 /usr/bin/python3 && ln -s /usr/local/python3/bin/pip3 /usr/bin/pip3 && ln -s /usr/local/python3/bin/gunicorn /usr/bin/gunicorn3 && ln -s /usr/local/python3/bin/supervisord /usr/bin/supervisord3 && ln -s /usr/local/python3/bin/supervisorctl /usr/bin/supervisorctl3 && ln -s /usr/local/python3/bin/echo_supervisord_conf /usr/bin/echo_supervisord_conf3

安装成功验证

[root@VM-8-9-centos Python-3.8.2]# python3 -V && pip3 -V

Python 3.8.2

pip 19.2.3 from /usr/local/python3/lib/python3.8/site-packages/pip (python 3.8)

安装成功以后打开的web页面

使用 W5 SOAR实现自动编排

使用 W5 SOAR实现自动编排

具体使用

用下面的一个场景来演示一下这个工具如何使用

场景:输入一个IP去查询其威胁情报,如果判断为肉鸡,则告警

1.创建一个剧本

使用 W5 SOAR实现自动编排

2.编写脚本

用户输入一个IP,通过微步查询该IP的信息,如果该IP有信誉问题,则通过飞书告警。

使用 W5 SOAR实现自动编排

微步查询

使用 W5 SOAR实现自动编排

判断方式

使用 W5 SOAR实现自动编排

飞书配置

使用 W5 SOAR实现自动编排

3.执行脚本

由于系统不能出公网,这里就不演示执行了

总结

上面展示了一些最基本的用法,在企业中实践的话还要根据企业的实际情况去设计适当的剧本。

本文作者:, 转载请注明来自FreeBuf.COM

# web安全







Notice: Undefined variable: canUpdate in /var/www/html/wordpress/wp-content/plugins/wp-autopost-pro/wp-autopost-function.php on line 51