Try Hack Me — SOAR 实战演练

0x01 引言

安全事件和攻击正变得日益复杂，攻击者展现出精密的工具和能力。这给安全防御团队带来挑战，也促使我们以新方式重构安全体系。本实验将探讨通过安全编排、自动化和响应（SOAR）技术来组织防御的新范式。

学习目标

• 通过 SOAR 扩展安全运维知识体系

• 熟悉常见 SOAR 工作流

• 构建恶意软件调查工作流

预备知识

建议先完成以下实验：

• 《安全运维基础》

• 《初级安全分析师入门》

• 《检测工程导论》

0x02 安全运营中心演进

SOC 代际发展

1. 第一代：IT 团队兼任安全监控，主要职能包括设备监控、杀毒软件管理和有限的日志收集

2. 第二代：SIEM 工具出现，新增事件关联分析、网络/Syslog 日志收集和案例管理功能

3. 第三代：SIEM 增强漏洞管理和事件响应能力

4. 第四代：引入大数据安全分析和数据富化技术，支持实时威胁检测

核心能力矩阵

• 监控检测：持续扫描网络异常活动

• 事件响应：隔离受感染终端、清除恶意软件

• 威胁情报：持续更新攻击 TTPs 知识库

• 日志管理：建立行为基线支持取证调查

• 恢复补救：构建事件恢复枢纽

典型挑战

• 告警疲劳：大量误报导致分析师效率下降

• 工具碎片化：防火墙日志与终端安全数据孤立

• 流程手工化：依赖经验而非标准化文档

• 人才短缺：复杂威胁环境下人力缺口扩大

0x03 SOAR 技术框架

三大核心组件

1. 安全编排：集成孤立安全工具形成协同工作流

2. 自动化：对重复模式实现预防性响应机制

3. 响应：通过预案快速遏制威胁扩散

SOAR vs SIEM

工作流生命周期

1. 检测：通过 NIDS/SIEM 触发事件

2. 富化：关联威胁情报补充上下文

3. 分级：评估事件严重性（降低 MTTD）

4. 响应：自动隔离系统/阻断恶意 IP（降低 MTTR）

5. 补救：根因分析与漏洞修补

6. 报告：生成标准化处置报告

0x04 典型工作流构建

网络钓鱼调查

graph TD    A[邮件沙箱隔离] --> B[创建案件工单]    B --> C[提取IOC指标]    C --> D[VirusTotal分析]    D --> E{恶意确认?}    E -->|是| F[删除邮件+通知]    E -->|否| G[人工分析]    G --> H[更新工单状态]

CVE 补丁管理

1. 监控安全公告获取新 CVE

2. 查询内部补丁数据库

3. 创建虚拟测试环境验证补丁

4. 生产环境灰度发布

5. 漏洞扫描验证修复效果

0x05 威胁情报实战

通过 TryHackMe 交互式实验完成以下步骤：

1. 激活威胁情报订阅源

2. 执行指标提取（IP/域名/Hash）

3. 信誉评分检查

4. 制定响应预案

5. 获取验证 flag：THM{AUxxxxxxBLOCKEDxxxxx1T¥}
   

技术价值总结

SOAR 系统通过标准化 playbook 将平均事件响应时间缩短 60%，使三级安全分析师能处理原本需专家介入的复杂事件。实验证明在钓鱼邮件场景中，自动化分析可将处置效率提升 3 倍。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手