官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Notadmin- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
Notadmin 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
前言
最近再看自动化编排的东西,看到了一个开源的工具W5 SOAR,下面就一起来看看这个如何使用以及在企业中有什么应用。
什么是 W5 SOAR
W5 是一个面向企业安全与运维设计的 低代码 自动化平台,可以让团队降低 人工成本,提升工作效率。可以把代码 图形化、可视化、可编排。让不同的系统,不同的组件通过 APP 进行封装形成平台能力,通过剧本画出你想要的逻辑过程,利用多种 Trigger 去实现自动化执行。W5 适应面非常广泛,可用于多个方向,例:Devops、安全运营、自动化渗透、工作流程 等
文档地址
文档地址:https://w5.io/help/
特点
低代码 : 无需编写代码,即可让企业内部人员快速实现事件响应。
扩展强 : 提供插件模块,可以扩展让所有的应用平台集成 W5 自身插件
自动化 : 提供 Webhook、Mail、用户输入、API 等入口,无需人工即可实现全部流程
可编排:通过设计剧本,可编排所有系统进行整合提供管理能力
架构图
实际使用
个人认为该工具可以将一些日常化的工作形成一个流程(剧本),通过编写剧本将其自动化实现,可以节省大量的人力。
一般应用在安全运营的工作中,如发现威胁后进行进一步的分析,阻断,修复等动作。
但是一般自动化阻断会存在误报的情况,一般都是人工分析以后确定是真实攻击,在用该工具进行阻断。
一些常见的场景
1)蜜罐捕获了告警IP,自动化分析该IP的归属地,查询威胁情报是否为肉鸡等,如果确定为攻击IP,则调用封禁程序封禁IP。
2)内部HIDS告警反弹shell攻击,查询反连IP的威胁情报,联动WAF等设备看在其它设备上是否存在告警。
3)调用工具进行资产扫描,自动入库
上面只是列举了一些可能的场景,实际上的用处还是有很多,可以根据实际的情况去创建具体的脚本。
安装过程
更新系统
yum -y update
安装必要组件
yum install -y gcc gcc-c++ automake autoconf libtool openssl-devel bzip2-devel libffi-devel make
下载 Python 3.8.2 && 解压压缩包
wget https://www.python.org/ftp/python/3.8.2/Python-3.8.2.tgz&& tar -zxvf Python-3.8.2.tgz && cd Python-3.8.2/
检测编译环境
./configure prefix=/usr/local/python3 --enable-optimizations
编译安装
make && make install
# 有时候一起执行会卡主,分开执行即可解决
make
make install
设置软链接
# 删除已经存在的软链接
rm -rf /usr/bin/python3 && rm -rf /usr/bin/pip3 && rm -rf /usr/bin/gunicorn3 && rm -rf /usr/bin/supervisord3 && rm -rf /usr/bin/supervisorctl3 && rm -rf /usr/bin/echo_supervisord_conf3
# 创建新的软链接
ln -s /usr/local/python3/bin/python3 /usr/bin/python3 && ln -s /usr/local/python3/bin/pip3 /usr/bin/pip3 && ln -s /usr/local/python3/bin/gunicorn /usr/bin/gunicorn3 && ln -s /usr/local/python3/bin/supervisord /usr/bin/supervisord3 && ln -s /usr/local/python3/bin/supervisorctl /usr/bin/supervisorctl3 && ln -s /usr/local/python3/bin/echo_supervisord_conf /usr/bin/echo_supervisord_conf3
安装成功验证
[root@VM-8-9-centos Python-3.8.2]# python3 -V && pip3 -V
Python 3.8.2
pip 19.2.3 from /usr/local/python3/lib/python3.8/site-packages/pip (python 3.8)
安装成功以后打开的web页面
具体使用
用下面的一个场景来演示一下这个工具如何使用
场景:输入一个IP去查询其威胁情报,如果判断为肉鸡,则告警
1.创建一个剧本
2.编写脚本
用户输入一个IP,通过微步查询该IP的信息,如果该IP有信誉问题,则通过飞书告警。
微步查询
判断方式
飞书配置
3.执行脚本
由于系统不能出公网,这里就不演示执行了
总结
上面展示了一些最基本的用法,在企业中实践的话还要根据企业的实际情况去设计适当的剧本。
已在FreeBuf发表 87 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 87 文章数
- 154 关注者