Hoàng Doanh
Intern
Sau khi Trend Vision One phát hiện alert, tạo Workbench case và hỗ trợ phân tích object qua Sandbox Analysis, bước tiếp theo trong quy trình vận hành SOC là tự động hóa một số hành động phản ứng. Thay vì analyst phải xử lý thủ công từng alert, Security Playbooks cho phép định nghĩa các workflow phản ứng theo điều kiện cụ thể.
Mục tiêu của bài lab là kiểm tra cách Trend Vision One xây dựng workflow tự động từ detection đến response, đồng thời quan sát kết quả thực thi playbook sau khi chạy.
I. Tổng quan về Security Playbooks
II. Các thành phần chính của chức năng Security Playbooks
IV. Thực thi playbook
V. Kết luận
Mục tiêu của bài lab là kiểm tra cách Trend Vision One xây dựng workflow tự động từ detection đến response, đồng thời quan sát kết quả thực thi playbook sau khi chạy.
I. Tổng quan về Security Playbooks
Security Playbooks là tính năng hỗ trợ tự động hóa các bước xử lý sự kiện bảo mật trong Trend Vision One. Một playbook thường bao gồm các thành phần chính:
- Trigger: điều kiện khởi chạy playbook, ví dụ tự động khi có Workbench Alert hoặc chạy thủ công từ Workbench.
- Target: loại đối tượng mà playbook áp dụng, ví dụ Workbench alert.
- Condition: điều kiện lọc để quyết định playbook có tiếp tục thực hiện hay không.
- Action: các hành động response được thực hiện khi điều kiện thỏa mãn.
Security Playbooks giúp chuẩn hóa quy trình phản ứng sự cố, giảm thao tác thủ công và đảm bảo các bước xử lý cơ bản được thực hiện nhất quán.
II. Các thành phần chính của chức năng Security Playbooks
1. Execution Results
Đây là giao diện hiển thị các kết quả thực thi của playbook.
2. Playbooks
Đây là giao diện quản lý các Playbooks trên hệ thống. Quản trị viên có thể xem thông tin, thêm, xóa hoặc disable/enable playbook.
3. Templates
Trend Vision One cho phép tạo playbook từ các template có sẵn của nền tảng. Danh sách các playbook template có sẵn sẽ được liệt kê ở mục này, cho phép quản trị viên tạo nhanh playbook từ các template mẫu.
III. Cấu hình PlaybookTại giao diện Playbooks, quản trị viên có thể tạo playbook bằng cách nhấn nút Add. Tại đây, 3 cách tạo playbook sẽ được đề xuất:
- Use a template: Chọn các template mẫu để tạo/tùy chỉnh.
- Import from file: Import từ file JSON.
- Build manually: Tạo playbook thủ công từ đầu.
Trong bài lab, mình sẽ tạo playbook mới bằng giao diện workflow builder để dễ quan sát từng thành phần trigger, target, condition và action.
- Đầu tiên ở phần Trigger Settings, cấu hình trigger cho playbook. Trend Vision One hỗ trợ 2 kiểu:
- Automatic or manual: Playbook có thể được kích hoạt tự động khi có Workbench insight/alert phù hợp, đồng thời cũng có thể được chạy thủ công từ Workbench khi analyst đang điều tra một alert cụ thể.
- Manual: Play book chỉ có thể được trigger thủ công.
- Nếu chọn Trigger type là Automatic or manual, có thể cấu hình playbook chỉ được tự động chạy trong một khoảng thời gian nhất định. Điều này hữu ích khi doanh nghiệp muốn giới hạn automation trong giờ làm việc hoặc trong một khung giờ vận hành cụ thể.
- Tiếp đến là cấu hình Target, playbook có thể được áp dụng cho các Workbench Alert hoặc Workbench Insight.
- Target được chọn là Workbench alert và Severity được đặt là All. Điều này có nghĩa là playbook có thể áp dụng cho các Workbench Alert ở mọi mức severity, sau đó điều kiện ở bước tiếp theo sẽ quyết định alert nào được xử lý tiếp.
- Ngoài ra, giao diện cũng hỗ trợ các tùy chọn lọc nâng cao như: Filter by detection models, Filter by highlighted object risk, Open a Workbench case.
- Tiếp theo, cấu hình điều kiện để lọc alert trước khi thực hiện action. Việc sử dụng condition giúp hạn chế playbook chạy trên mọi alert, tránh thực hiện response quá rộng hoặc không cần thiết. Trong môi trường production, phần condition thường được tinh chỉnh theo chính sách vận hành, mức độ nghiêm trọng của alert, loại tài sản và nhóm người phụ trách. Trend Vision One hỗ trợ nhiều loại Parameter có thể được dùng làm Condition và cho phép kết hợp nhiều điều kiện con trong cùng 1 Condition.
- Ngoài ra, Condition còn có thể được cấu hình kết hợp nhiều điều kiện Else-If rẽ nhánh.
- Sau khi condition thỏa mãn, playbook thực hiện các action response. Ở đây, action đầu tiên được cấu hình cho Workbench alert, gồm:
- Email action: Quarantine Message.
- File action: Collect File.
- File action: Submit for Sandbox Analysis.
- Các action này thể hiện một workflow phản ứng cơ bản:
- Nếu alert liên quan đến email, hệ thống có thể quarantine message.
- Nếu alert có file liên quan, hệ thống có thể collect file để phục vụ điều tra.
- File đáng ngờ có thể được gửi sang Sandbox Analysis để kiểm tra sâu hơn.
- Không chỉ dừng lại ở 1 Action, sau action response, ta còn có thể thêm 1 Action khác nối tiếp để gửi thông báo kết quả thực thi playbook đến người nhận được cấu hình.
- Sau khi cấu hình đầy đủ các node trong workflow, playbook có cấu trúc tổng quát như sau:
- Start→ Trigger: Automatic or manual (executed from Workbench)
- → Target: Workbench alert, Severity All
- → Condition: Endpoint type IS Desktop AND Asset criticality IS High
- → Action: Workbench alert response actions
- → Action: Send email notification of results
- Sau khi hoàn tất, nhấn Save để lưu playbook và Enable để có thể hoạt động.
IV. Thực thi playbook
Playbook có thể được chạy thủ công từ giao diện Workbench Insight hoặc Workbench Alert.
Trong giao diện Workbench, chọn Execute playbook. Hệ thống hiển thị danh sách playbook có thể chạy. Ở đây, mình sẽ chọn playbook mẫu của nền tảng và xác nhận thực thi.
Sau khi chạy playbook, quay lại mục Execution Results. Tại đây, hệ thống hiển thị execution result của playbook đã chạy.
Execution result cho phép kiểm tra playbook có chạy thành công hay không, action nào đã được thực hiện, action nào yêu cầu thao tác bổ sung hoặc action nào không thực thi được do thiếu điều kiện/service hỗ trợ.
Khi kiểm tra chi tiết kết quả thực thi, ở section Action, có thể thấy Playbook đã thực thi 2 hành động: Open new case và Send email notification of insight information.
Khi nhấn Check details trên từng action, có thể xem thông tin chi tiết như: Case ID đã được mở và Receipent đã nhận được notification.
Kiểm tra email receipent, email nhận được chứa thông tin về playbook, thông tin tổng quan về Workbench Insight và các file đính kèm liên quan đến execution result.
Các file đính kèm cung cấp các thông tin:
- Workbench Alert ID.
- Impact Scope.
- Highlighted Objects.
V. Kết luận
Kết quả cho thấy Security Playbooks có thể hỗ trợ tự động hóa quy trình xử lý alert, chuẩn hóa các bước response và giảm thao tác thủ công cho analyst. Đây là một thành phần quan trọng trong quy trình vận hành SOC, đặc biệt khi cần phản ứng nhanh và nhất quán với các sự kiện bảo mật có mức độ ưu tiên cao.
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới