国产SOAR产品HoneyGuide试用体验

前言

2018年开始我就在持续关注SOAR产品。当时国外的Phantom、Demisto等产品已经日趋成熟，我曾在多个安全会上见过他们的宣传，也曾经申请试用过他们产品，但是上手后总感觉还缺了那么点意思。

去年国内多家厂商都已宣布进军SOAR领域，这倒符合国外产品“进入”国内的速度：）但是直到今年年初我还是一直在听厂商们宣传，却从未见到这些产品的真容，难道又是PPT玩法？四月份的时候，有朋友给我转过一个链接：上海雾帜智能科技有限公司的SOAR产品HoneyGuide提供了在线体验版本，可以申请试用。我当即报名申请体验。

按照官方的要求，关注公众号，提交测试申请需要的联系信息后，很快客服（准确地说是他们CTO……）就联系到了我。我被安排在第五批试用清单里，据说要排到五一之后……也是醉了。

好吧，好饭不怕晚，趁这个时间我刚好把之前整理的SOAR相关关资料重新复习了一遍，到时候看看雾帜智能的HoneyGuide是不是在吹牛。

一些背景信息

Security Orchestration, Automation and Response（SOAR）安全编排和自动化响应，Gartner 2017年提出的新概念。

“根据Gartner2019年最新定义，SOAR是指能使企业组织从SIEM等监控系统中收集报警信息，或通过与其它技术的集成和自动化协调，提供包括安全事件响应和威胁情报等功能。SOAR技术市场最终目标是将安全编排和自动化(SOA)、安全事件响应(SIR)和威胁情报平台(TIP)功能融合到单个解决方案中。这种融合到2019年仍然持续进行中。例如，在Splunk收购Phantom之后，SOAR可能会嵌入到它的SIEM中，并用于IT操作场景。SOAR 技术仍然在快速演化，内涵未来仍可能会变化，但其围绕安全运维，聚焦安全响应的目标不会改变。例如基础设施监视、应用程序性能监视和故障排除。” —— Freebuf 《青藤云安全新技术洞见：安全编排、自动化及响应（SOAR）解决方案》。

目前国内外主流SOAR产品：

• 擅长剧本编排的Phantom被Splunk收购

• 擅长前端交互的Demisto被PaloAlto收购

• IBM、Rapid7等公司都有自己SOAR类产品

• 盛华安——国内首家宣称提供SOAR的公司

• 雾帜智能——主攻SOAR+AI的新锐安全公司

• 绿盟、安恒等老牌公司公众号都声称有SOAR产品

今天咱们测试体验的就是上海雾帜智能科技有限公司提供的SOAR产品HoneyGuide在线体验版。

SOAR产品HoneyGuide试用体验

可视化安全剧本编排

安全编排是SOAR产品的灵魂，拿到试用账号后我直接就去体验了剧本编排功能。但是这个在线体验版居然是阉割的——只能查看已有的剧本，不能自己动手编排，有点遗憾。最后还是联系傅老板走后门给开通了。

先不说剧本跑起来怎么样，单看剧本编排的界面和菜单我就震惊了：这绝对是战斗机级别的产品！雾帜智能的SOAR产品HoneyGuide提供了可视化剧本编排能力，允许安全人员根据自身逻辑进行安全剧本编排。编排过程中支持插入：

• 可在安全设备上执行动作

• 条件判断规则（据说后台是个超强的规则引擎）

• 审批节点（自动化流程也有人工介入的场景）

• 虚拟节点（据说把人当做一个应用系统，很有意思的创意）

• 异步节点（有时候一个动作完成后， 总要等待点什么）

• 可被嵌套的子剧本（嵌套微剧本，这可以）

我们这里以一个雾帜官方推荐的“基于阿里云环境的暴力破解处置”剧本为例，通过剧本菜单【新建】按钮进入剧本创建和编辑界面即可启动剧本编排。

在流程中插入安全动作时，可以从左侧功能菜单选择目前已经支持的80多个国内外主流安全产品、IT产品或者SaaS服务。

选择具体应用（APP）后，可以点选该应用已经支持的所有安全动作，例如某WAF产品可支持的动作（Action）：

确认动作后，可以选择该动作的输入参数。按照官方介绍，所有事件原始字段、环境变量和上游节点的输出参数都可以作为下游节点的输入参数。

完成节点命名和参数填充后，点击【保存】插入动作节点，效果如下：

当然，根据需要安全人员还可以继续增加更多的节点和判断逻辑——取决于安全剧本的逻辑。

按照雾帜官方介绍，安全剧本支持由外部事件触发后自动执行，也支持工程师手工执行。下图就是我手工执行该剧本的情况。此处假定暴力破解的源IP是：185.17.123.206。

各动作节点执行结果如下显示：

目前该事件处置剧本进入到人工审核环节，安全人员审批通过后，会自动调用阿里云安全组进行IP隔离。

以上动作，正常情况工程师在岗的情况下，2~-3个人熟练配合，也需要5~10分钟才能顺利完成。而通过HoneyGuide产品的安全剧本编排，可以在1~2分钟内完成，排除人工参与环节，几乎是数十秒完成的动作，速度惊人！SOAR的优势果然不同凡响！

多人在线的作战室

安全事件发生后，企业安全团队通常会通过钉钉、微信进行沟通，我所在的企业使用的是企业微信。当然也有电话、邮件等一系列处置手段。但人员组织毕竟分散，很多时候有些信息需要及时地与团队分享。在现实中我们通常会找个会议室，召集各部门到会议室沟通。HoneyGuide产品提供了一个虚拟作战室，允许邀请不同部门不同角色的人员参与事件处置。这倒很类似Demisto的warroom，但又不完全一样，感觉上更符合国内用户的习惯。人员支持被分派了不同的角色，中间可以随时邀请其它人员，协同作战过程一目了然。

考虑到事件处置过程安全动作可能被聊天记录刷屏，雾帜智能团队贴心地设计了“专注模式”，让安全人员可以越过聊天过程更加聚焦事件处置过程。这个设计不得不佩服，灵感来自钉钉的专注模式？

往往事件处置完成后，事件记录就变成了一堆无用的聊天记录。在HoneyGuide产品中，可以将事件一键导出为安全事件处置报告，并归档到知识库实现知识沉淀和传承。

本次事件中总共调用多少剧本、动作，耗时多少，都能在事件处置报告中体现。根据需要，还可以补充总结内容。

自然语言交互的人机协同

应该说这是一个震惊了我的功能！曾几何时，我们的安全事件处置过程中，人员之间相互沟通后，有些安全动作最终要落地到安全设备进行响应处置。然而因为人的参与，从安全人员发出意图到真正安全指定得到执行，中间需要经过大量的等待时间。

HoneyGuide产品提供了支持自然语言交互的人机交互机器人，安全工程师只需要用自然语言描述自己的需求，机器人就可以准确推荐安全动作，并帮助执行。因为演示环境可调度的设备有限，我做了几个简单的测试。机器人“雾空”果然了得！

举个例子，我想知道某个md5值对应的原始字符串，居然可以直接@机器人口算md5！

看到没，这种操作就像是工作过程中和真实的同事沟通一样便捷！这哪里是机器人，这是智能队友啊！这里借用一张官方之前的宣传图：

当然，按照官方说法，所有可调度的能力除了可以自然语言实现调度外，还支持功能菜单和命令提示符方式使用，如下：

支持工单流转的事件管理

安全事件从其生命周期看，通常由不同的阶段组成，而在不同的阶段往往需要不同的人员、剧本、动作进行响应。HoneyGuide产品显然关注到这一需求，并将其实在“阶段”管理中。

安全工程师可通过预定义事件处置模板或模型，对安全事件不同阶段安排不同的人员或剧本进行响应。工程师之间也可以进行工单流转。相关处置记录以备注形式录入在事件处置记录中。

动作级控制的安全保障

作为一款可以和各类安全产品进行了联动的设备，其自身安全性要求也很高。通过测试体验HoneyGuide产品，我们能够看到雾帜团队在安全方面的努力，主要包括如下：

• 支持本地用户和LDAP用户登录鉴权

• 用户密码必须符合复杂度

• 提供防暴力破解的自锁定机制

• 支持HTTPS通讯，且证书可以自定义（国内很多安全产品虽然提供HTTPS，但是客户没法自定义证书）

• 支持用户角色管理和基于角色权限控制，多达70多个权限子项颗粒度

• 支持操作行为审计，几乎前端所有的操作过程都会被审计

• 自持系统配置备份导出和导入，避免数据丢失

• 与安全设备对接的应用程序支持读写动作分离。还有一个“安全模式”，但是测试期间没用上。

• 支持金融级场景，动作级别的权限控制。（大概是执行每个动作前都要人工确认一次，满足特定客户的严格安全管控要求）

以Fortigate防火墙为例，目前HoneyGuide支持在该防火墙上执行5类动作，但为了满足企业安全管理需求，系统对这些动作的调用其实是做了严格管控的。

系统除了对动作做了读写分离外，还设置了安全模式。同时，根据某些特定场景客户的需求，还可以细粒度定制每个动作谁能执行！

好吧，关于SOAR产品的安全性，HoneyGuide考虑的比我想的多……

一点遗憾

因为时间仓促，主要是我假期还有别的安排……没有做详尽测试的。不过从上手过的几个功能看，雾帜产品已经非常优秀。当然测试过程中也遇到了一些小问题，有点遗憾。

首先，在线Demo版本不支持全功能，有些功能我没有体验到。其次，测试环境可调度的安全设备或能力有限，没有体验到与更多外部产品的交互操作。据说，HoneyGuide支持80+国内外主流安全产品，但是没有看到内容更加丰富的复杂剧本。CTO傅老板告诉我，没有哪个客户会刚好使用了HoneyGuide支持的全部80+产品，所以根据自己的需求设计最适合的场景剧本最重要。雾帜产品默认提供了针对30多个通用的安全场景的剧本，但也需要结合用户实际环境做调整。

试用总结

纵观国内安全市场，目前能够拿出产品交付并具备客户案例的SOAR产品凤毛菱角。从我接触的产品和今天的测试看：雾帜智能HoneyGuide代表着国内SOAR领域产品的最高水准，是行业技术发展的风向标。雾帜智能也是拥有大量创新成果的国产安全公司。测试过程中，不仅体验到该企业产品的技术创新，也感受到了创始团队成员对极致技术的追求和成员之间默契的配合，算得上是理想中的未来安全企业。

国内大多数SOAR是组件化功能，也是大厂们为了维护自身市场做的增值开发。而雾帜智能公司则是以SOAR为平台，以产品化交付为目的，专注打造精准场景下的小而美的产品，独树一帜！

最后：因为本人水平有限，以及测试环境的问题，有些SOAR产品相关的细节测试还不够到位，这不符合我以往的风格。傅老板说了，等节后可以给我再安排一次，充分体验。而且，后续雾帜也会把自家公司网络环境的生产数据发送到Demo环境进行演示，这样能够更加直观和真实地体验SOAR产品的价值，很是期待！