أوضاع التشغيل
يدعم AuroraSOC ثلاثة أوضاع تشغيل تحدد ما إذا كانت المنصة في وضع محاكاة، أو قراءة فقط، أو تشغيل كامل.
ملخص الوضع
| الوضع | الهدف الأساسي | الكتابة/التعديلات | الاستخدام النموذجي |
|---|---|---|---|
dummy | عرض الواجهة وسير العمل بسلوك اصطناعي | محظورة | العروض التجريبية، التهيئة، المعاينات الآمنة |
dry_run | مراقبة وتحليل حي دون أي تغيير في الحالة | محظورة | التحقق والتمرين في بيئات شبيهة بالإنتاج |
real | تشغيل SOC كاملًا (كشفًا وتحليلًا واستجابة) | مسموحة | التشغيل الفعلي من البداية إلى النهاية |
ماذا يعني كل وضع
وضع dummy
- يعيد استجابات اصطناعية/استعراضية لمسارات التحقيق والتنسيق الأساسية.
- يمنع أي عمليات تغيّر الحالة.
- مناسب عندما تريد استعراض سير العمل دون إرسال مهام حقيقية أو تعديل الأنظمة.
وضع dry_run
- يسمح بعمليات القراءة والتحليل.
- يمنع عمليات تغيير الحالة على مستوى المنصة.
- تعيد بعض نقاط النهاية معاينات محاكاة لتوضيح ما كان سيحدث.
- مفيد للتحقق من التوجيه ومنطق التحقيق قبل تفعيل التنفيذ الحقيقي.
وضع real
- يفعّل سلوك الكشف والتحليل والاستجابة بالكامل.
- يسمح بعمليات تغيير الحالة.
- يحتاج إلى جاهزية جميع الخدمات الخلفية وتبعيات الوكلاء/الأدوات للحصول على سلوك متكامل.
مصفوفة القدرات
| القدرة | dummy | dry_run | real |
|---|---|---|---|
| قراءة التنبيهات والحالات | نعم (قد تكون بيانات محاكاة) | نعم | نعم |
| تشغيل التحقيق | محاكاة | نعم (بدون تغييرات) | نعم |
| تنفيذ Playbooks بتغييرات فعلية | لا | لا | نعم |
| حفظ تغييرات الحالة | لا | لا | نعم |
| الحاجة إلى جاهزية خلفية كاملة | لا | جزئيًا | نعم |
ملاحظة مهمة حول النطاق
أوضاع التشغيل هي أوضاع تشغيل خاصة بالواجهة الخلفية. وتقرأ لوحة المعلومات حالة الوضع من واجهة برمجة التطبيقات.
- إذا كانت لوحة المعلومات تعمل بدون API الخلفية، فيمكنك تصفح الواجهة (مثلًا مع مصادقة التطوير الاحتياطية)، لكن أوضاع تشغيل الخلفية لن تكون فعالة.
- في هذه الحالة (واجهة أمامية فقط)، فأنت لست في أوضاع الخلفية
dummyأوdry_runأوreal.
كيفية عرض وتغيير الوضع
من لوحة المعلومات
- انتقل إلى الإعدادات.
- افتح قسم وضع التشغيل.
- حدد
dummy، أوdry_run، أوreal.
الإذن المطلوب: system:mode:write.
عبر واجهة برمجة التطبيقات
# Get current mode
curl -s http://localhost:8000/api/v1/system/mode \
-H "Authorization: Bearer $TOKEN"
# Set mode
curl -s -X POST http://localhost:8000/api/v1/system/mode \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"mode":"dry_run"}'
اختيار الوضع الصحيح
- استخدم
dummyعند تدريب المستخدمين أو اختبار تدفقات الواجهة بأمان. - استخدم
dry_runعندما تحتاج إلى قراءات حية وتحليل واقعي مع ضمان عدم إجراء أي تغييرات. - استخدم
realعندما تكون جاهزًا للتشغيل الكامل وتأكدت من جاهزية الخدمات.
قائمة تحقق قبل التحويل إلى real
قبل التحويل إلى وضع real، تأكد من التالي:
- المصادقة والتفويض يعملان بشكل سليم.
- فحوصات صحة الوكلاء والعمال ناجحة.
- مسار الموافقات مُفعّل للإجراءات عالية المخاطر.
- لوحات المراقبة والتنبيهات التشغيلية فعّالة.
- مسار التراجع والتصعيد موثق بوضوح.