我要投稿

SOAR 与 Dify-AI 安全运营实践

发布日期：2025-04-07 19:08:01 浏览次数： 1632 作者：A9 Team

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”

—

本次安全事件中，SOAR（安全编排自动化与响应）系统与 dify-AI 的深度协同，构建了高效的威胁应对链路。以下为本次安全事件处置的相关剧本：

【TDP内网渗透事件】剧本

子剧本：

—

事件全景：威胁的精准捕获与初步解析

通过威胁感知平台TDP捕获异常流量，触发 TDP内网渗透事件告警。源 IP 10.2.240.197 与目标 IP 10.5.0.166 间的交互中，在HTTP流量中“命令执行攻击”被迅速识别。从原始日志追溯，于特定时间向目标网站系统接口发起 POST 请求，其中包含的命令执行特征被安全设备敏锐捕捉。这一阶段，安全监测体系完成了威胁的初步定位。

—
SOAR：自动化响应的核心引擎

（一）全流程自动化编排

TDP 内网渗透事件触发后，SOAR 系统即刻启动预设剧本，如图：

展现强大的自动化编排能力。从 “获取内网事件→判断新事件→区分数据网段→查询相关负责人” 的信息聚合，到 “拼接事件描述→识别通知群→触发响应子剧本” 的信息流转，每个环节无缝衔接。子剧本执行阶段，基于 “是否新事件→是否白名单→识别发送群组→工单分类创建” 的智能决策树，实现 Jira 工单与 BAS 告警工单的精准分发，最终通过 “群消息内容拼接→自动分报告警工单→工单闭环管理” 完成处置全流程。这种自动化能力，缩短了事件响应时间，提升了安全运营效率。

（二）复杂逻辑的智能处理

在事件处理中，SOAR不仅执行预设流程，更能处理复杂逻辑判断。例如，在判断事件是否为新事件、是否属于白名单范畴时，系统基于历史数据与规则引擎，快速做出决策，确保响应策略的准确性。这种自动化的逻辑处理能力，解放了人工操作，聚焦更核心的威胁分析环节。

—
Dify-AI：智能分析的关键助力

（一）告警信息的深度解析

Dify-AI 在事件处理中扮演 “智能分析师” 角色。面对告警内容，通过已配置的聊天助手，如：

对攻击类型、特征进行深度剖析。例如，在 TDP内网渗透事件中，Dify-AI 基于输入的告警信息，深度分析攻击行为属于 “命令执行攻击” 类型，梳理可能利用的攻击特征 —— 攻击者试图通过构造恶意指令，利用目标系统漏洞或不安全脚本执行环境实现远程命令执行。最终将分析结果返回。

（二）辅助决策与知识赋能

Dify-AI不仅分析告警，更能辅助决策。通过匹配知识库中类似告警历史，为当前事件处置提供参考。同时，在判断攻击是否成功实施时，基于请求与返回内容分析，结合常见成功标志（如异常状态码、非预期数据泄露等）进行判断。虽此次事件最终经人工确认为误报，但 Dify-AI的分析过程为安全团队提供了重要参考维度，其知识赋能能力提升了整体分析效率与准确性。

【Dify自动分析告警工单并返回分析结果子剧本】剧本流程图：