响应编排

概念

说明

剧本（PlayBook）

• 剧本是一个预定义的、结构化的响应计划，用于处理特定类型的事件或威胁。剧本详细列出了在某些触发条件（如检测到特定安全事件）下应采取的步骤和操作。

• 剧本可作为自动响应规则的规则动作，实现对告警和事件的自动化处置。

• 一个剧本中有且仅有一个流程。在剧本中可对流程进行版本控制、输入输出测试、运行次数和结果统计等操作。

• 剧本类型：

  • 预定义剧本：系统根据常见云安全威胁场景，预定义了一些剧本处理流程，可直接在安全事件处理、自动响应规中使用，降低了用户使用难度。例如：内置阿里云安全组封禁入方向高危IP。

  • 自定义剧本：用户可根据实际的场景，选择不同的组件灵活设置。适用于复杂逻辑或特定场景。

流程（Process）

• 流程是一系列顺序执行的任务或操作，通过预定义的步骤实现某个特定的目标或功能。您可以创建自动通知、自动止血等多种类型的自动化流程。

• 编写一个自动化流程与绘制一个标准流程图相同，包括开始、判断、动作和结束节点。流程由多个相连接的组件构成，您可以通过可视化流程编辑画布，定义每个节点的组件动作，例如，定义终端管理组件的禁用网络动作。

• 流程定义完成后可被外部触发，例如，当新工单产生时自动触发自动审核工单流程。

组件（Component）

• 组件对应一个外部的系统或服务，例如WAF、防火墙、工单系统、数据库或通知服务。组件可以理解为是一个连接外部服务的连接器（Connector），组件自身不承担复杂逻辑，复杂逻辑都是由组件连接的系统或服务提供。

• 选择组件后，您还需要选择组件对应的资产和动作。

• 组件包含流程编排组件、基础编排组件和安全处置组件。

资源实例（Resource Instance）

资产可以理解为是外部服务的连接信息。以MySQL组件为例，企业内部可能存在多套MySQL系统，您首先需要确定连接到哪个数据库中。

动作（Action）

动作是组件提供的能力，一个组件可以有多个动作。以终端管理软件为例，会有禁用账号、隔离网络、推送通知等动作。