# openSOAR
**Repository Path**: SteveRocket/openSOAR
## Basic Information
- **Project Name**: openSOAR
- **Description**: 安全运营中心(SOC)-安全编排与自动化响应(SOAR)
http://www.mdrsec.com
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g
- **GVP Project**: No
## Statistics
- **Stars**: 3
- **Forks**: 0
- **Created**: 2021-10-25
- **Last Updated**: 2026-07-03
## Categories & Tags
**Categories**: Uncategorized
**Tags**: devpro
## README
# 网络安全编排与自动化响应(SOAR)
## 关于我们
- 官网:
http://www.mdrsec.com
我们的技术文章和产品概述欢迎浏览我们的门户。
- 公众号:CTO Plus
最新的动态欢迎关注我们官方唯一公众号。
- 作者QQ
更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。
- QQ群
我们官方组建的QQ群,如果您有兴趣也可以加入我们。
- 请喝咖啡
如果感兴趣,也可以请我喝杯咖啡
## 产品核心功能模块





网络安全编排与自动化响应(SOAR)是企业网络安全运营中心的核心枢纽。能够帮助企业安全运营中心(SOC)高效解决面临告警疲劳、响应滞后、人员技能缺口及多工具协同复杂等问题,SOAR让编排**像呼吸一样自然**,让响应**像流水线一样可靠**,同时保持足够的灵活性以适应每个企业独特的流程与文化。
接下来,这里我将为大家介绍下我们自研的 网络安全编排与自动化响应(SOAR) 系统的核心功能与特性。下面我将简称为SOAR
---
## 一、SOAR定义与价值定位
SOAR并非单一技术,而是**人(People)、流程(Process)、技术(Technology)**三者的集成框架。其核心价值在于:
- **提升响应速度**:将分钟级甚至小时级的手动响应压缩至秒级自动化执行。
- **降低运营成本**:替代70%以上重复性、低判断难度的告警分析及处置工作。
- **固化专家经验**:将顶尖安全分析师的调查与响应路径转化为可复用的自动化剧本。
- **打破工具孤岛**:统一协调防火墙、EDR、SIEM、威胁情报等数十种安全产品。
---
## 二、核心功能模块详解
### 1. **安全编排与自动化(Security Orchestration & Automation)** — 引擎核心
| 子功能 | 说明 |
|--------|------|
| **可视化剧本设计器** | 拖拽式画布,支持条件分支、并行执行、循环、等待、人工审批节点。内置调试模式,可模拟运行并查看变量流转。 |
| **动作原子与集成框架** | 将各安全产品的API封装为“动作原子”(如封禁IP、隔离终端、查询威胁情报)。提供预集成连接器库,支持常见SIEM、EDR、防火墙、工单系统等。 |
| **触发器与调度** | 支持多种触发方式:来自SIEM/日志管理系统的告警、定时任务(如每天凌晨扫描失陷指标)、API Webhook触发、工单系统事件触发等。 |
| **变量与上下文传递** | 支持剧本内部变量、全局环境变量、从上一动作提取字段作为下一动作输入。实现告警→调查→处置全链路的上下文无损传递。 |
### 2. **告警管理与富化(Alert Management & Enrichment)** — 降噪中心
- **告警归一化与去重**:将不同来源的异构告警转换为统一数据模型,基于指纹规则(时间+源目IP+告警类型)智能合并同类告警,减少告警风暴。
- **告警优先级智能评分**:结合资产重要性(CMDB)、漏洞信息、用户行为基线、威胁情报置信度,动态计算告警优先级(如0-100分),避免一刀切。
- **自动化富化**:触发剧本后,自动调用威胁情报(VirusTotal、微步等)、资产数据库(谁拥有该IP)、身份系统(该用户是否为管理员)为告警补充决策上下文。
- **告警分组与事件化**:将同一攻击链的多个相关告警聚类为“安全事件”,支持事件视角的全生命周期管理。
### 3. **案件管理(Case Management)** — 人机协作枢纽
- **案件生命周期**:创建→调查→响应→关闭→回溯,支持状态流转(待分派、处理中、待复核、已关闭)。
- **证据链与时间线**:自动记录所有告警、调查动作、人工笔记、执行结果,形成不可篡改的审计时间线。
- **协作与评论**:支持分析师@提及同事、添加内部标签、上传外部证据文件。内置任务分配机制,可指定负责人与SLA。
- **指标化与SLA监控**:案件关联响应时长(MTTD、MTTR)、处置率、误报率等指标,支持SLA逾期告警。
### 4. **威胁情报生命周期管理(Threat Intelligence Management)** — 决策弹药
- **多源情报聚合**:支持结构化情报(STIX/TAXII)、开源情报、商业情报、行业ISAC情报的集中接入。
- **可机读情报自动化**:将IOC(IP、域名、哈希)自动推送至防火墙、EDR、WAF等执行设备,实现“情报→防御”的闭环。
- **情报置信度评估**:基于情报源信誉、多源交叉验证、历史命中率等因子,为每条情报打分,剧本可据此调整响应动作强度。
- **情报生命周期管理**:支持IOC过期标记、撤销推送、自定义有效期。
### 5. **监测与仪表板(Monitoring & Dashboards)** — 运营视图
- **实时剧本执行监控**:展示运行中剧本数量、成功/失败率、各步骤耗时瓶颈,支持快速定位失败动作并重试。
- **安全运营态势大屏**:可配置组件包括:告警趋势、TOP攻击类型、平均响应时长、人工干预率、最繁忙集成应用等。
- **合规与报告**:自动生成周/月度报告(处置概览、SLA达成率、高频剧本排行),支持导出PDF/Excel并嵌入企业Logo。
### 6. **工单系统集成与ITSM对接** — 流程延伸
- **双向同步**:创建安全案件时自动生成ITSM工单(ServiceNow、Jira等);工单状态变更时反向同步案件状态。
- **升降级联动**:当研判为真实攻击且风险极高时,SOAR可触发ITSM的P1级变更流程(如紧急封网);反之,误报案件可自动关闭对应工单。
---
## 三、关键特性(非功能性能力)
### 1. **可扩展集成架构**
- **开放API优先**:提供RESTful API用于剧本触发、案件读写、动作执行,支持被第三方编排。
- **无代码/低代码连接器开发**:允许安全运维人员通过Web表单(填写API URL、认证方式、请求体模板)快速接入未预集成的应用。
- **连接器市场**:官方及社区分享的数百个预建连接器,缩短实施周期。
### 2. **高可用与弹性伸缩**
- **集群部署**:支持主-主模式,节点故障自动漂移任务。
- **动作队列与限流**:针对响应时延敏感型设备(如防火墙),提供优先队列;同时对第三方API请求实施限流保护,避免击穿。
- **断点续跑**:剧本执行因网络抖动或下游系统超时而失败时,支持手动/自动从失败节点重试,而非从头执行。
### 3. **企业级权限与审计**
- **细粒度RBAC**:按角色(分析师、审核员、管理员)区分访问权限,精确到单个剧本的编辑/执行/仅查看。
- **双人复核**:高危动作(如批量删除虚拟机、全网封锁IP段)可配置为“需经过指定角色的审批人批准后才真正执行”。
- **操作审计**:记录每一次剧本触发、手动动作、配置变更,满足ISO 27001、SOC2等合规要求。
### 4. **可观测性与韧性**
- **剧本执行追踪**:分布式追踪ID贯穿整个调用链,一键查看某告警从触发到关闭经历的所有步骤及耗时。
- **动作超时与熔断**:每个动作可设置超时阈值;连续失败超过阈值时自动熔断,避免资源耗尽。
- **沙箱试运行**:提供“干运行”模式,仅输出预期动作日志而不真实下发命令,用于测试剧本逻辑。
### 5. **持续优化与机器学习辅助**
- **剧本分析器**:识别长时间未使用的剧本、高频失败步骤、频繁触发人工干预的节点,给出优化建议。
- **智能告警推荐**:基于历史案件处置结果,提示“此类告警通常关联资产X,推荐执行剧本Y”。
- **动态阈值调整**:分析剧本执行历史,自动调整条件分支中的阈值(例如将“疑似失陷阈值”从5个IOC命中下调至3个)。
### 其他功能特性
| 等级 | 特征 | 关键能力体现 |
|------|------|--------------|
| **L1 - 任务自动化** | 简单脚本替代手工操作 | 预置数十个动作原子,支持基于告警类型的简单if-then规则。 |
| **L2 - 流程编排** | 多步骤、多系统顺序/并行执行 | 可视化剧本设计器,支持分支、循环、人工节点;具备案件管理与证据链。 |
| **L3 - 自适应响应** | 根据上下文动态调整路径 | 集成CMDB与UEBA,根据资产角色、用户风险评分动态选择处置力度;支持A/B测试剧本版本。 |
| **L4 - 主动防御** | 预测并提前阻断威胁 | 结合欺骗防御(蜜罐)数据,主动生成诱饵IOC;基于MITRE ATT&CK框架,针对TTP编排事前缓解动作。 |
---
## 四、应用场景
这里列举下我们SOAR系统的部分企业应用场景
| 场景 | 手动流程痛点 | SOAR自动化方案 | 成效 |
|------|---------------|----------------|------|
| **钓鱼邮件响应** | 分析师手动登录邮件网关、EDR、AD、沙箱等多系统,耗时15-30分钟。 | 用户点击“报告钓鱼”按钮 → 触发剧本:提取附件哈希查询沙箱 → 若恶意,则EDR隔离终端、AD禁用账户、邮件网关删除全站邮件。 | < 2分钟自动完成 |
| **漏洞管理闭环** | 扫描器报告→人工录入Jira→开发修复→再次扫描验证,流程割裂。 | 扫描器告警触发剧本:创建Jira工单并指派 → 等待14天后自动触发重扫 → 验证未修复则升级至变更管理流程。 | 全自动跟踪SLA |
| **夜间告警研判** | 夜间告警无人看管,或值班人员疲于应对低风险扫描行为。 | 告警触发 → 富化资产信息与威胁情报 → 若资产非核心且情报置信度<30%,自动关闭案件;否则创建高优先级案件并发送语音电话给值班经理。 | 降低95%误报打扰 |
---
## 最后
1. **流程梳理先行**:切勿将混乱的手动流程直接“自动化”。需对高频响应场景(如勒索软件、数据泄露)绘制精确的流程图。
2. **API就绪性评估**:现有安全产品是否提供稳定、全功能的API?若某设备无API,则需考虑通过RPA或半自动人工节点过渡。
3. **剧本数量≠价值**:一个覆盖80%钓鱼事件的剧本,远胜于20个处理边缘告警的剧本。建议从“低风险、高重复、高收益”场景切入。
4. **变更管理与文化**:安全分析师可能担心被SOAR取代。应强调SOAR处理脏活累活,人类专注于狩猎和高级分析。建立“剧本贡献榜”激励机制。
在选购或自研SOAR时,请永远记住:**自动化只是手段,缩短风险暴露窗口、提升安全运营的确定性才是终极目的。**
---
- 官网:http://www.mdrsec.com
- 产品文档:http://www.docs.mdrsec.com
- 系统演示环境:http://www.play.mdrsec.com
*本文由 http://www.mdrsec.com 官方出品,如需转载或深度讨论,请联系作者。* 更多需求问题、功能特性和定制化开发欢迎联系我们咨询。
## 产品清单
### 企业网络安全运营中心产品
- 资产安全配置管理系统(SCMDB)
- 终端侦测与响应系统(EDR)
- 网络侦测与响应系统(NDR)
- 企业网络资产攻击面管理系统(CAASM)
- 资产暴露面管理系统(AEMS)
- 网络安全蜜罐管理系统(HoneyPot)
- 安全事件收集与告警管理系统(SIEM)
- 扩展侦测与响应系统(XDR)
- 多引擎脆弱性扫描系统(VAS)
- 多源日志审计监测系统(LAS)
- 网络安全威胁情报中心(TIS)
- 网络安全漏洞库管理系统(VDBS)
- 网络安全编排与自动化响应(SOAR)
- 威胁狩猎系统(THS)
- 数据库安全审计系统(DSAS)
- AI智能体安全态势管理系统(AISPM)
- Web防火墙(WAF)
- 网站安全监测平台(WSM)
- 网络安全态势感知平台(SSAP)
- 网络安全自动化应急响应工具系统(NSRT)
- 企业网络安全运维工具系统(SecTools)
- 网络安全自动化等保测评系统(ASES)
- 浏览器安全监测防护系统(BSMPS)
- 网络安全用户实体行为分析系统(UEBA)
- 互联网电信诈骗预警防护系统(TPFWS)
- 云原生安全管理平台(CNAPP)
- 自动化渗透测试系统(PTS)
- 工业企业信息安全监测中心(IoT SOC)
- 企业智能安全运营中心(AISOC)
### 企业自动化运维产品
- 运维智能监控告警管理平台(AIMAMS)
- 企业网络工具系统(NTools)
- 自动化测试系统(AutoTest)
- 自动化运维系统(AutoOps)
- 企业运维工具系统(OpsTools)
- 物联网管理系统(IoTS)
- 软件开发生命周期管理系统(SDLC)
- IT流程管理系统(ITSM)
### 企业数字化运营资源管理系统产品
- 制造执行管理系统(MES)
- 运输管理系统(TMS)
- 跨境电商企业资源管理系统(ERP)
- 企业客户关系管理系统(CRM)
- 跨境电商仓库管理系统(WMS)
- 企业财务管理系统(FMS)
- 企业质量管理系统(QMS)
- 精准营销管理系统(PMS)
- 智能生产管理系统(SPMS)
- 电商BI系统(BI)
- 智能互联网分布式爬虫系统(AISpider)
## ABOUT
**【关于我们】**
* [主页:http://116.205.137.183/index_pro.html](http://116.205.137.183/index_pro.html)
* [Articulate v1.0](https://mp.weixin.qq.com/s/0yqGBPbOI6QxHqK17WxU8Q)
* [Articulate v2.0](https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g)
[](https://github.com/zrf-rocket)
[](https://gitee.com/SteveRocket/)
 🥰
**【代码工程系列】**
* [Python和Go的设计模式](https://github.com/zrf-rocket/DesignPattern)
* GitHub:https://github.com/zrf-rocket/DesignPattern
* Gitee:https://gitee.com/SteveRocket/design_pattern
* [Python、Go的编码技巧cookbook](https://github.com/zrf-rocket/CookBook)
* GitHub:https://github.com/zrf-rocket/CookBook
* Gitee:https://gitee.com/SteveRocket/cook-book
* [Go代码示例](https://github.com/zrf-rocket/PracticeGo)
* GitHub:https://github.com/zrf-rocket/PracticeGo
* Gitee:https://gitee.com/SteveRocket/practice_go
* [Python代码示例](https://github.com/zrf-rocket/PracticePython)
* GitHub:https://github.com/zrf-rocket/PracticePython
* Gitee:https://gitee.com/SteveRocket/practice_python
* [Python Web框架的示例代码](https://github.com/zrf-rocket/PythonFramework)
* GitHub:https://github.com/zrf-rocket/PythonFramework
* Gitee:https://gitee.com/SteveRocket/python_framework
* [Rust代码示例](https://github.com/zrf-rocket/PracticeRust)
* GitHub:https://github.com/zrf-rocket/PracticeRust
* Gitee:https://gitee.com/SteveRocket/practice_rust
* [Vue代码示例](https://github.com/zrf-rocket/PracticeVue)
* GitHub:https://github.com/zrf-rocket/PracticeVue
* Gitee:https://gitee.com/SteveRocket/practice_vue
* [前端代码示例](https://github.com/zrf-rocket/PracticeFronted)
* GitHub:https://github.com/zrf-rocket/PracticeFronted
* Gitee:https://gitee.com/SteveRocket/practice_fronted
* [Python自动化测试框架](https://github.com/zrf-rocket/PythonTestAutomationFramework)
* GitHub:https://github.com/zrf-rocket/PythonTestAutomationFramework
* Gitee:https://gitee.com/SteveRocket/python_test_automation_framework
* [Python和Go的算法代码示例](https://github.com/zrf-rocket/Algorithms)
* GitHub:https://github.com/zrf-rocket/Algorithms
* Gitee:https://gitee.com/SteveRocket/Algorithms
* [Python和Go的数据结构代码示例](https://github.com/zrf-rocket/DataStructure)
* GitHub:https://github.com/zrf-rocket/DataStructure
* Gitee:https://gitee.com/SteveRocket/data_structure
* [编码规范](https://github.com/zrf-rocket/DevGuide)
* GitHub:https://github.com/zrf-rocket/DevGuide
* Gitee:https://gitee.com/SteveRocket/develop_guide
* [编码安全规范](https://github.com/zrf-rocket/SecGuide)
* GitHub:https://github.com/zrf-rocket/SecGuide
* Gitee:https://gitee.com/SteveRocket/security_guide
**【产品系列】**
* [主机监控系统-日志收集与报警管理系统(SIEM)](https://github.com/zrf-rocket/SIEM)
* GitHub:https://github.com/zrf-rocket/SIEM
* Gitee:https://gitee.com/SteveRocket/siem
* [安全运营中心(SOC)-终端侦测与响应系统(EDR)](https://github.com/zrf-rocket/EDR_SOC)
* GitHub:https://github.com/zrf-rocket/EDR_SOC
* Gitee:https://gitee.com/SteveRocket/edr_soc
* [DevSecOps-SDLC](https://github.com/zrf-rocket/DevSecOps-SDLC)
* GitHub:https://github.com/zrf-rocket/DevSecOps-SDLC
* Gitee:https://gitee.com/SteveRocket/dev-sec-ops-sdlc
* [AI图像识别-智能缺陷检测系统]()
* [基于AI图像识别的工业缺陷检测应用系统(GPU&FPGA)](https://mp.weixin.qq.com/s/04qefQFg-Pg1Gcqq1vBLQQ)
* [基于AI图像识别的智能缺陷检测系统,在钢铁行业的应用-技术方案](https://mp.weixin.qq.com/s/dSHbnuOwQZzE4CvPr1JYjg)
# 安全运营中心(SOC)-安全编排与自动化响应(SOAR)