SOAR ومحرك قواعد اللعبة التي تمارسها
يتضمن AuroraSOC محرك SOAR (تنسيق الأمان والأتمتة والاستجابة) المدمج الذي ينفذ قواعد اللعبة المحددة مسبقًا للاستجابة التلقائية للحوادث. تجمع أدلة التشغيل بين الإجراءات الآلية والمنطق الشرطي وبوابات الموافقة البشرية في مسارات عمل الاستجابة القابلة للتكرار.
هندسة كتاب اللعب
كتب اللعب المتاحة
يأتي AuroraSOC مزودًا بستة أدلة تشغيل معدة مسبقًا:
| قواعد اللعبة التي تمارسها | مشغل | الإجراءات | الموافقة مطلوبة |
|---|---|---|---|
| ** الاستجابة للبرامج الضارة ** | تنبيه الكشف عن البرامج الضارة | عزل → مسح → حظر → تقرير | نعم (عزل) |
| ** الرد على التصيد الاحتيالي ** | تنبيه التصيد | استخراج بطاقات IOC → حظر عناوين URL → إعلام المستخدمين → الإبلاغ | لا |
| ** طوارئ الفدية ** | مؤشر الفدية | عزل الكل → لقطة → الطب الشرعي → موجز Exec | نعم (عزل) |
| تخفيف القوة الغاشمة | 5+ عمليات تسجيل دخول فاشلة | كتلة المصدر → إعادة تعيين بيانات الاعتماد → التدقيق → التقرير | نعم (إعادة ضبط بيانات الاعتماد) |
| ** استخراج البيانات ** | DLP/شذوذ في الشبكة | منع الخروج → التقاط حركة المرور → الطب الشرعي → تقرير | نعم (كتلة) |
| ** شذوذ CPS ** | تنبيه جهاز CPS | قطاع العزل → التحقق من البرامج الثابتة → التصديق → التقرير | نعم (الحجر الصحي) |
تفاصيل تنفيذ كتاب اللعب
أنواع الخطوة
تنفذ كل خطوة من خطوات دليل اللعب واحدًا من الإجراءات الثمانية المسجلة:
| فعل | وصف | عكسها |
|---|---|---|
| عزل_المضيف | شبكة-عزل نقطة النهاية | نعم |
| block_ip | حظر IP في جدار الحماية/NGFW | نعم |
| تعطيل_المستخدم | تعطيل حساب الدليل النشط | نعم |
| إبطال_الشهادة | إبطال شهادة TLS/الجهاز | لا |
| تشغيل_المسح | تنفيذ فحص نقطة النهاية | لا يوجد |
| collect_forensics | جمع الأدلة الجنائية | لا يوجد |
| enrich_ioc | إثراء IOC عبر معلومات التهديد | لا يوجد |
| ** إعلام ** | إرسال الإخطار | لا يوجد |
التفرع المشروط
يمكن أن تتضمن الخطوات شروطًا بناءً على:
- خطورة التنبيه
- أهمية الأصول
- نوع الجهاز (تكنولوجيا المعلومات مقابل OT/CPS)
- نتائج الخطوة السابقة
- الوقت من اليوم (ساعات العمل مقابل ساعات ما بعد ساعات العمل)
التراجع عن الفشل
في حالة فشل أي خطوة، يقوم المحرك تلقائيًا بإرجاع الإجراءات المكتملة بترتيب عكسي:
لوحة تحكم كتاب اللعب
قائمة التنفيذ
يعرض جميع قواعد اللعبة التي يتم تشغيلها مع:
- اسم قواعد اللعبة والتنبيه الذي تم تشغيله
- وقت البدء والمدة
- الحالة: قيد التشغيل / مكتمل / فاشل / تم التراجع عنه
- الخطوات المكتملة مقابل إجمالي الخطوات
تفاصيل التنفيذ
انقر فوق أي تنفيذ لرؤية:
- التقدم خطوة بخطوة مع الطوابع الزمنية
- حالة طلب الموافقة والمستجيب
- مخرجات العمل والقيم المرتجعة
- تفاصيل الخطأ للخطوات الفاشلة
- سجل التراجع إن أمكن
وضع التشغيل الجاف
اختبار قواعد اللعب دون تنفيذ إجراءات حقيقية:
curl -X POST /api/v1/soar/playbooks/execute \
-H "Authorization: Bearer $TOKEN" \
-d '{
"playbook_id": "pb-malware-response",
"alert_id": "alert-123",
"dry_run": true
}'
يحاكي وضع التشغيل الجاف كل خطوة ويبلغ عما سيحدث، مما يسمح لك بالتحقق من منطق دليل التشغيل قبل استخدام الإنتاج.
قم دائمًا بتشغيل قواعد اللعبة الجديدة أو المعدلة في وضع التشغيل الجاف أولاً. قم بمراجعة التنفيذ المحاكي بعناية قبل تمكين التنفيذ المباشر، خاصة بالنسبة لقواعد اللعبة التي تتضمن إجراءات لا رجعة فيها مثل إلغاء الشهادة.
إنشاء كتب اللعب المخصصة
يتم تعريف قواعد التشغيل على أنها مستندات JSON مخزنة في PostgreSQL:
{
"name": "Custom Response",
"description": "Custom incident response workflow",
"trigger": "manual",
"steps": [
{
"order": 1,
"action": "enrich_ioc",
"parameters": {"sources": ["virustotal", "alienvault"]},
"on_failure": "continue"
},
{
"order": 2,
"action": "block_ip",
"parameters": {"duration": "24h"},
"requires_approval": true,
"condition": {"field": "severity", "operator": ">=", "value": "high"}
},
{
"order": 3,
"action": "notify",
"parameters": {"channel": "slack", "template": "incident-update"}
}
]
}