# openSOAR **Repository Path**: SteveRocket/openSOAR ## Basic Information - **Project Name**: openSOAR - **Description**: 安全运营中心(SOC)-安全编排与自动化响应(SOAR) http://www.mdrsec.com - **Primary Language**: Unknown - **License**: Not specified - **Default Branch**: master - **Homepage**: https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g - **GVP Project**: No ## Statistics - **Stars**: 3 - **Forks**: 0 - **Created**: 2021-10-25 - **Last Updated**: 2026-07-03 ## Categories & Tags **Categories**: Uncategorized **Tags**: devpro ## README # 网络安全编排与自动化响应(SOAR) ## 关于我们 - 官网:logo http://www.mdrsec.com 我们的技术文章和产品概述欢迎浏览我们的门户。 - 公众号:CTO Plus 最新的动态欢迎关注我们官方唯一公众号。 微信公众号 - 作者QQ 更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。 我的QQ - QQ群 我们官方组建的QQ群,如果您有兴趣也可以加入我们。 QQ群 - 请喝咖啡 如果感兴趣,也可以请我喝杯咖啡 请我喝咖啡 ## 产品核心功能模块 ![](index.jpg) ![](安全事件.jpg) ![](自动化任务.jpg) ![](自动化剧本.jpg) ![](集成管理.jpg) 网络安全编排与自动化响应(SOAR)是企业网络安全运营中心的核心枢纽。能够帮助企业安全运营中心(SOC)高效解决面临告警疲劳、响应滞后、人员技能缺口及多工具协同复杂等问题,SOAR让编排**像呼吸一样自然**,让响应**像流水线一样可靠**,同时保持足够的灵活性以适应每个企业独特的流程与文化。 接下来,这里我将为大家介绍下我们自研的 网络安全编排与自动化响应(SOAR) 系统的核心功能与特性。下面我将简称为SOAR --- ## 一、SOAR定义与价值定位 SOAR并非单一技术,而是**人(People)、流程(Process)、技术(Technology)**三者的集成框架。其核心价值在于: - **提升响应速度**:将分钟级甚至小时级的手动响应压缩至秒级自动化执行。 - **降低运营成本**:替代70%以上重复性、低判断难度的告警分析及处置工作。 - **固化专家经验**:将顶尖安全分析师的调查与响应路径转化为可复用的自动化剧本。 - **打破工具孤岛**:统一协调防火墙、EDR、SIEM、威胁情报等数十种安全产品。 --- ## 二、核心功能模块详解 ### 1. **安全编排与自动化(Security Orchestration & Automation)** — 引擎核心 | 子功能 | 说明 | |--------|------| | **可视化剧本设计器** | 拖拽式画布,支持条件分支、并行执行、循环、等待、人工审批节点。内置调试模式,可模拟运行并查看变量流转。 | | **动作原子与集成框架** | 将各安全产品的API封装为“动作原子”(如封禁IP、隔离终端、查询威胁情报)。提供预集成连接器库,支持常见SIEM、EDR、防火墙、工单系统等。 | | **触发器与调度** | 支持多种触发方式:来自SIEM/日志管理系统的告警、定时任务(如每天凌晨扫描失陷指标)、API Webhook触发、工单系统事件触发等。 | | **变量与上下文传递** | 支持剧本内部变量、全局环境变量、从上一动作提取字段作为下一动作输入。实现告警→调查→处置全链路的上下文无损传递。 | ### 2. **告警管理与富化(Alert Management & Enrichment)** — 降噪中心 - **告警归一化与去重**:将不同来源的异构告警转换为统一数据模型,基于指纹规则(时间+源目IP+告警类型)智能合并同类告警,减少告警风暴。 - **告警优先级智能评分**:结合资产重要性(CMDB)、漏洞信息、用户行为基线、威胁情报置信度,动态计算告警优先级(如0-100分),避免一刀切。 - **自动化富化**:触发剧本后,自动调用威胁情报(VirusTotal、微步等)、资产数据库(谁拥有该IP)、身份系统(该用户是否为管理员)为告警补充决策上下文。 - **告警分组与事件化**:将同一攻击链的多个相关告警聚类为“安全事件”,支持事件视角的全生命周期管理。 ### 3. **案件管理(Case Management)** — 人机协作枢纽 - **案件生命周期**:创建→调查→响应→关闭→回溯,支持状态流转(待分派、处理中、待复核、已关闭)。 - **证据链与时间线**:自动记录所有告警、调查动作、人工笔记、执行结果,形成不可篡改的审计时间线。 - **协作与评论**:支持分析师@提及同事、添加内部标签、上传外部证据文件。内置任务分配机制,可指定负责人与SLA。 - **指标化与SLA监控**:案件关联响应时长(MTTD、MTTR)、处置率、误报率等指标,支持SLA逾期告警。 ### 4. **威胁情报生命周期管理(Threat Intelligence Management)** — 决策弹药 - **多源情报聚合**:支持结构化情报(STIX/TAXII)、开源情报、商业情报、行业ISAC情报的集中接入。 - **可机读情报自动化**:将IOC(IP、域名、哈希)自动推送至防火墙、EDR、WAF等执行设备,实现“情报→防御”的闭环。 - **情报置信度评估**:基于情报源信誉、多源交叉验证、历史命中率等因子,为每条情报打分,剧本可据此调整响应动作强度。 - **情报生命周期管理**:支持IOC过期标记、撤销推送、自定义有效期。 ### 5. **监测与仪表板(Monitoring & Dashboards)** — 运营视图 - **实时剧本执行监控**:展示运行中剧本数量、成功/失败率、各步骤耗时瓶颈,支持快速定位失败动作并重试。 - **安全运营态势大屏**:可配置组件包括:告警趋势、TOP攻击类型、平均响应时长、人工干预率、最繁忙集成应用等。 - **合规与报告**:自动生成周/月度报告(处置概览、SLA达成率、高频剧本排行),支持导出PDF/Excel并嵌入企业Logo。 ### 6. **工单系统集成与ITSM对接** — 流程延伸 - **双向同步**:创建安全案件时自动生成ITSM工单(ServiceNow、Jira等);工单状态变更时反向同步案件状态。 - **升降级联动**:当研判为真实攻击且风险极高时,SOAR可触发ITSM的P1级变更流程(如紧急封网);反之,误报案件可自动关闭对应工单。 --- ## 三、关键特性(非功能性能力) ### 1. **可扩展集成架构** - **开放API优先**:提供RESTful API用于剧本触发、案件读写、动作执行,支持被第三方编排。 - **无代码/低代码连接器开发**:允许安全运维人员通过Web表单(填写API URL、认证方式、请求体模板)快速接入未预集成的应用。 - **连接器市场**:官方及社区分享的数百个预建连接器,缩短实施周期。 ### 2. **高可用与弹性伸缩** - **集群部署**:支持主-主模式,节点故障自动漂移任务。 - **动作队列与限流**:针对响应时延敏感型设备(如防火墙),提供优先队列;同时对第三方API请求实施限流保护,避免击穿。 - **断点续跑**:剧本执行因网络抖动或下游系统超时而失败时,支持手动/自动从失败节点重试,而非从头执行。 ### 3. **企业级权限与审计** - **细粒度RBAC**:按角色(分析师、审核员、管理员)区分访问权限,精确到单个剧本的编辑/执行/仅查看。 - **双人复核**:高危动作(如批量删除虚拟机、全网封锁IP段)可配置为“需经过指定角色的审批人批准后才真正执行”。 - **操作审计**:记录每一次剧本触发、手动动作、配置变更,满足ISO 27001、SOC2等合规要求。 ### 4. **可观测性与韧性** - **剧本执行追踪**:分布式追踪ID贯穿整个调用链,一键查看某告警从触发到关闭经历的所有步骤及耗时。 - **动作超时与熔断**:每个动作可设置超时阈值;连续失败超过阈值时自动熔断,避免资源耗尽。 - **沙箱试运行**:提供“干运行”模式,仅输出预期动作日志而不真实下发命令,用于测试剧本逻辑。 ### 5. **持续优化与机器学习辅助** - **剧本分析器**:识别长时间未使用的剧本、高频失败步骤、频繁触发人工干预的节点,给出优化建议。 - **智能告警推荐**:基于历史案件处置结果,提示“此类告警通常关联资产X,推荐执行剧本Y”。 - **动态阈值调整**:分析剧本执行历史,自动调整条件分支中的阈值(例如将“疑似失陷阈值”从5个IOC命中下调至3个)。 ### 其他功能特性 | 等级 | 特征 | 关键能力体现 | |------|------|--------------| | **L1 - 任务自动化** | 简单脚本替代手工操作 | 预置数十个动作原子,支持基于告警类型的简单if-then规则。 | | **L2 - 流程编排** | 多步骤、多系统顺序/并行执行 | 可视化剧本设计器,支持分支、循环、人工节点;具备案件管理与证据链。 | | **L3 - 自适应响应** | 根据上下文动态调整路径 | 集成CMDB与UEBA,根据资产角色、用户风险评分动态选择处置力度;支持A/B测试剧本版本。 | | **L4 - 主动防御** | 预测并提前阻断威胁 | 结合欺骗防御(蜜罐)数据,主动生成诱饵IOC;基于MITRE ATT&CK框架,针对TTP编排事前缓解动作。 | --- ## 四、应用场景 这里列举下我们SOAR系统的部分企业应用场景 | 场景 | 手动流程痛点 | SOAR自动化方案 | 成效 | |------|---------------|----------------|------| | **钓鱼邮件响应** | 分析师手动登录邮件网关、EDR、AD、沙箱等多系统,耗时15-30分钟。 | 用户点击“报告钓鱼”按钮 → 触发剧本:提取附件哈希查询沙箱 → 若恶意,则EDR隔离终端、AD禁用账户、邮件网关删除全站邮件。 | < 2分钟自动完成 | | **漏洞管理闭环** | 扫描器报告→人工录入Jira→开发修复→再次扫描验证,流程割裂。 | 扫描器告警触发剧本:创建Jira工单并指派 → 等待14天后自动触发重扫 → 验证未修复则升级至变更管理流程。 | 全自动跟踪SLA | | **夜间告警研判** | 夜间告警无人看管,或值班人员疲于应对低风险扫描行为。 | 告警触发 → 富化资产信息与威胁情报 → 若资产非核心且情报置信度<30%,自动关闭案件;否则创建高优先级案件并发送语音电话给值班经理。 | 降低95%误报打扰 | --- ## 最后 1. **流程梳理先行**:切勿将混乱的手动流程直接“自动化”。需对高频响应场景(如勒索软件、数据泄露)绘制精确的流程图。 2. **API就绪性评估**:现有安全产品是否提供稳定、全功能的API?若某设备无API,则需考虑通过RPA或半自动人工节点过渡。 3. **剧本数量≠价值**:一个覆盖80%钓鱼事件的剧本,远胜于20个处理边缘告警的剧本。建议从“低风险、高重复、高收益”场景切入。 4. **变更管理与文化**:安全分析师可能担心被SOAR取代。应强调SOAR处理脏活累活,人类专注于狩猎和高级分析。建立“剧本贡献榜”激励机制。 在选购或自研SOAR时,请永远记住:**自动化只是手段,缩短风险暴露窗口、提升安全运营的确定性才是终极目的。** --- - 官网:http://www.mdrsec.com - 产品文档:http://www.docs.mdrsec.com - 系统演示环境:http://www.play.mdrsec.com *本文由 http://www.mdrsec.com 官方出品,如需转载或深度讨论,请联系作者。* 更多需求问题、功能特性和定制化开发欢迎联系我们咨询。 ## 产品清单 ### 企业网络安全运营中心产品 - 资产安全配置管理系统(SCMDB) - 终端侦测与响应系统(EDR) - 网络侦测与响应系统(NDR) - 企业网络资产攻击面管理系统(CAASM) - 资产暴露面管理系统(AEMS) - 网络安全蜜罐管理系统(HoneyPot) - 安全事件收集与告警管理系统(SIEM) - 扩展侦测与响应系统(XDR) - 多引擎脆弱性扫描系统(VAS) - 多源日志审计监测系统(LAS) - 网络安全威胁情报中心(TIS) - 网络安全漏洞库管理系统(VDBS) - 网络安全编排与自动化响应(SOAR) - 威胁狩猎系统(THS) - 数据库安全审计系统(DSAS) - AI智能体安全态势管理系统(AISPM) - Web防火墙(WAF) - 网站安全监测平台(WSM) - 网络安全态势感知平台(SSAP) - 网络安全自动化应急响应工具系统(NSRT) - 企业网络安全运维工具系统(SecTools) - 网络安全自动化等保测评系统(ASES) - 浏览器安全监测防护系统(BSMPS) - 网络安全用户实体行为分析系统(UEBA) - 互联网电信诈骗预警防护系统(TPFWS) - 云原生安全管理平台(CNAPP) - 自动化渗透测试系统(PTS) - 工业企业信息安全监测中心(IoT SOC) - 企业智能安全运营中心(AISOC) ### 企业自动化运维产品 - 运维智能监控告警管理平台(AIMAMS) - 企业网络工具系统(NTools) - 自动化测试系统(AutoTest) - 自动化运维系统(AutoOps) - 企业运维工具系统(OpsTools) - 物联网管理系统(IoTS) - 软件开发生命周期管理系统(SDLC) - IT流程管理系统(ITSM) ### 企业数字化运营资源管理系统产品 - 制造执行管理系统(MES) - 运输管理系统(TMS) - 跨境电商企业资源管理系统(ERP) - 企业客户关系管理系统(CRM) - 跨境电商仓库管理系统(WMS) - 企业财务管理系统(FMS) - 企业质量管理系统(QMS) - 精准营销管理系统(PMS) - 智能生产管理系统(SPMS) - 电商BI系统(BI) - 智能互联网分布式爬虫系统(AISpider) ## ABOUT **【关于我们】** * [主页:http://116.205.137.183/index_pro.html](http://116.205.137.183/index_pro.html) * [Articulate v1.0](https://mp.weixin.qq.com/s/0yqGBPbOI6QxHqK17WxU8Q) * [Articulate v2.0](https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g) [![](https://img.shields.io/badge/GitHub-zrf--rocket-blue?logo=gitpod)](https://github.com/zrf-rocket) [![](https://img.shields.io/badge/Gitee-SteveRocket-pink)](https://gitee.com/SteveRocket/) ![CTO Plus](https://img.shields.io/badge/微信公众号:CTO%20Plus-8A2BE2) 🥰 **【代码工程系列】** * [Python和Go的设计模式](https://github.com/zrf-rocket/DesignPattern) * GitHub:https://github.com/zrf-rocket/DesignPattern * Gitee:https://gitee.com/SteveRocket/design_pattern * [Python、Go的编码技巧cookbook](https://github.com/zrf-rocket/CookBook) * GitHub:https://github.com/zrf-rocket/CookBook * Gitee:https://gitee.com/SteveRocket/cook-book * [Go代码示例](https://github.com/zrf-rocket/PracticeGo) * GitHub:https://github.com/zrf-rocket/PracticeGo * Gitee:https://gitee.com/SteveRocket/practice_go * [Python代码示例](https://github.com/zrf-rocket/PracticePython) * GitHub:https://github.com/zrf-rocket/PracticePython * Gitee:https://gitee.com/SteveRocket/practice_python * [Python Web框架的示例代码](https://github.com/zrf-rocket/PythonFramework) * GitHub:https://github.com/zrf-rocket/PythonFramework * Gitee:https://gitee.com/SteveRocket/python_framework * [Rust代码示例](https://github.com/zrf-rocket/PracticeRust) * GitHub:https://github.com/zrf-rocket/PracticeRust * Gitee:https://gitee.com/SteveRocket/practice_rust * [Vue代码示例](https://github.com/zrf-rocket/PracticeVue) * GitHub:https://github.com/zrf-rocket/PracticeVue * Gitee:https://gitee.com/SteveRocket/practice_vue * [前端代码示例](https://github.com/zrf-rocket/PracticeFronted) * GitHub:https://github.com/zrf-rocket/PracticeFronted * Gitee:https://gitee.com/SteveRocket/practice_fronted * [Python自动化测试框架](https://github.com/zrf-rocket/PythonTestAutomationFramework) * GitHub:https://github.com/zrf-rocket/PythonTestAutomationFramework * Gitee:https://gitee.com/SteveRocket/python_test_automation_framework * [Python和Go的算法代码示例](https://github.com/zrf-rocket/Algorithms) * GitHub:https://github.com/zrf-rocket/Algorithms * Gitee:https://gitee.com/SteveRocket/Algorithms * [Python和Go的数据结构代码示例](https://github.com/zrf-rocket/DataStructure) * GitHub:https://github.com/zrf-rocket/DataStructure * Gitee:https://gitee.com/SteveRocket/data_structure * [编码规范](https://github.com/zrf-rocket/DevGuide) * GitHub:https://github.com/zrf-rocket/DevGuide * Gitee:https://gitee.com/SteveRocket/develop_guide * [编码安全规范](https://github.com/zrf-rocket/SecGuide) * GitHub:https://github.com/zrf-rocket/SecGuide * Gitee:https://gitee.com/SteveRocket/security_guide **【产品系列】** * [主机监控系统-日志收集与报警管理系统(SIEM)](https://github.com/zrf-rocket/SIEM) * GitHub:https://github.com/zrf-rocket/SIEM * Gitee:https://gitee.com/SteveRocket/siem * [安全运营中心(SOC)-终端侦测与响应系统(EDR)](https://github.com/zrf-rocket/EDR_SOC) * GitHub:https://github.com/zrf-rocket/EDR_SOC * Gitee:https://gitee.com/SteveRocket/edr_soc * [DevSecOps-SDLC](https://github.com/zrf-rocket/DevSecOps-SDLC) * GitHub:https://github.com/zrf-rocket/DevSecOps-SDLC * Gitee:https://gitee.com/SteveRocket/dev-sec-ops-sdlc * [AI图像识别-智能缺陷检测系统]() * [基于AI图像识别的工业缺陷检测应用系统(GPU&FPGA)](https://mp.weixin.qq.com/s/04qefQFg-Pg1Gcqq1vBLQQ) * [基于AI图像识别的智能缺陷检测系统,在钢铁行业的应用-技术方案](https://mp.weixin.qq.com/s/dSHbnuOwQZzE4CvPr1JYjg) # 安全运营中心(SOC)-安全编排与自动化响应(SOAR)