天翼数科：自动化安全编排运营平台

扫描分享

本文共字，预计阅读时间。

案例名称

天翼自动化安全编排运营平台

案例简介

金融系统面临海量的网络攻击，安全设备注重安全事件预警与处理，忽略企业内部对安全事件的运营问题。

针对场景痛点，平台承接安全设备分析和异常告警安全事件作为输入，通过编排和执行安全剧本的方式，将安全设备安全事件的处理以及内部安全事件管理流程进行结合，完成原来需要多人多系统多界面在线协同才能处置的安全事件，降低人员依赖，保障应急处置质量，提升企业安全团队平均故障恢复时间（MTTR）水平，提高安全应急响应效率，为金融业务安全保驾护航。

创新技术/模式应用

天翼数科对自动化安全编排与响应实践以“四个中心+一个引擎”的架构为基础，实现对于中国电信集团安全原子能力、威胁情报、第三方服务等异构系统的统一编排管理，利用云端应用包及固化的专家经验提供优秀的人机协作能力，将企业内部安全管理与事件处置做有机编排。

（1）基于工作流模式的可视化剧本编排能力

流程编排模块提供可视化的编排工具，允许用户以拖拉拽的形式简单快速完成工作流程的配置，以事件管理为主线，将安全策略、安全预警、专家研判、处置响应、分析复盘和内部安全管理流程进行编排，将复杂的事件响应过程和任务流转变为一致的、可重复的、可度量的和有效的工作流，实现自动化运营的目的。

图1 数据交互图

（2）云应用包市场，打造开源社区。

开放的应用包市场，已原生支持应用包开发框架的自助集成，形成应用包开发编程规范，应用包市场提供标准化开放式应用开发框架，允许用户自行开发和分享应用工具包，以满足个性化编排需求。

图2 云应用包市场

（3）专业丰富的固化经验库

根据监控分析专家多年的分析经验，固化为攻击检测剧本、误报检测剧本、研判辅助剧本、溯源分析剧本、联动处置剧本，帮助用户解决绝大多数日常监控中所遇到的问题，减轻专业安全人员的工作，同时提升系统处置效果；并且可以根据不同用户的剧本，进行个性化改造，形成自己的专业的剧本库。定期通过云端下发最新的相关剧本，不断更新分析处置能力，帮助用户第一时间应对新发现的安全事件。

（4）剧本自动化处置

企业中安全事件处置流程经验可以固化为剧本，并应用于自动化响应处置中，处置的动作可包括设备封堵、工单发送、邮件通知等，无需安全运维人员登录到独立的安全设备上配置阻断策略，形成威胁处理的闭环。