免責聲明:
- 禁止用于非法用途,一切違法行為與作者無關。
- 所有插件的使用均符合國家相關法律法規,網絡安全法等,我方遵守開源協議及 APP 廠商的相關要求。
什么是 W5 SOAR
W5 是一款基于 Python 開發的安全編排與自動化響應平臺,為了企業安全做出了精心的打造,無需編寫代碼即可實現自動化響應流程,可節約企業 80% 的成本。
- 無代碼 : 無需編寫代碼,即可讓企業內部人員快速實現事件響應。
- 擴展強 : 提供插件模塊,可以擴展讓所有的應用平臺集成 W5 自身插件
- 自動化 : 提供
Webhook、Mail、用戶輸入、API等入口,無需人工即可實現全部流程
架構圖
安全能力編排化
通過平臺的可視化工具,基于應用的基礎上編排出實際中企業可落地的場景劇本,實現無人值守全自動化操作
-
應用(Application)是指企業和組織安全運營過程中需要用到的各種安全設施通過 API 或 GUI 暴露出來的功能,經過標準化統一封裝后形成的安全能力,并以服務的方式對外呈現出來。應用執行的最小操作單元是動作,即這個應用中所包含的操作指令。通常,一個應用包括多個動作(Action)。
-
安全編排(Security Orchestration)是將企業和組織在安全運營過程中涉及的不同系統或者一個系統內部不同組件的安全功能通過可編程接口(API)封裝后形成的安全能力(即應用)和人工檢查點按照一定的邏輯關系組合到一起,以完成某個特定的安全運營過程和規程。安全編排是將安全運營相關的工具/技術、流程和人員等各種能力整合到一起的一種協同工作方式。
-
劇本(Playbook)是安全運營流程在安全編排系統中的形式化表述,通常是在編排器中的工作流引擎驅動下執行。編寫劇本的過程就是將安全運營流程和規程轉換為劇本,并在劇本中將各種應用編排到一起的過程,也是將人讀安全運營流程轉換為機讀工作流的過程。
實際應用場景
- 通過蜜罐系統獲取到了黑客的 IP ,通過 W5 SOAR 執行自動化封鎖阻止黑客入侵,無需人工干預。
- 對接情報系統,發現企業內部有危險文件 (木馬),通過 W5 SOAR 執行自動化阻止木馬的執行,隨后進行分析
- 服務器告警后,可以通過 W5 SOAR 分析因為什么告警,隨后執行對應的劇本執行修復操作。
- 白帽子通過 W5 SOAR 實現自動化滲透測試,降低人工成本
- 運維團隊,通過 W5 SOAR 實現告警自動修復處理
Docker 部署
- Docker hub :https://hub.docker.com/repository/docker/w5team/w5
下載鏡像
docker pull mysql
docker pull w5team/w5
使用 Docker 的 Mysql
# 下載 W5,進入到 Docker 目錄,需要配置 Mysql
git clone https://github.com/w5teams/w5.git && cd w5/docker
# 啟動 Mysql,name 為 W5_MYSQL,Nysql 初始化大概需要 5-10 秒左右
docker run -d --name W5_MYSQL -p 3307:3306 -e MYSQL_ROOT_PASSWORD=w5_12345678 -v $PWD/sql:/docker-entrypoint-initdb.d -v $PWD/conf.d:/etc/mysql/conf.d -v $PWD/mysql_db:/var/lib/mysql mysql
# 啟動 W5 SOAR, --link W5_MYSQL
docker run -itd --name W5_SOAR --link W5_MYSQL -p 8888:8888 -e MYSQL_HOST="W5_MYSQL" -e MYSQL_DATABASE="w5_db" -e MYSQL_USER="root" -e MYSQL_PASSWORD="w5_12345678" -e MYSQL_PORT="3306" w5team/w5 /root/start
W5_MYSQL 參數說明:
- --name :啟動 Docker 的名稱,默認 W5_MYSQL
- -p :映射服務到本地的端口,宿主機端口:Docker 端口
- -e MYSQL_ROOT_PASSWORD :設置 Mysql 服務密碼
- -v $PWD/sql:/docker-entrypoint-initdb.d :找到 docker 目錄下的 sql 文件進行初始化,創建
w5_db數據庫 - -v $PWD/conf.d:/etc/mysql/conf.d :找到 docker 目錄下的 conf.d 文件進行配置 Mysql
- -v $PWD/mysql_db :數據持久化,不加此項重啟數據就會丟失
W5_SOAR 參數說明:
- --name :啟動 Docker 的名稱,默認 W5_SOAR
- --link :連接 Mysql 鏡像
- -p :映射服務到本地的端口,宿主機端口:Docker 端口
- -e MYSQL_HOST :Mysql 地址,設置自己的 Mysql 服務地址
- -e MYSQL_DATABASE :Mysql 數據庫
- -e MYSQL_USER="root" :Mysql 賬號
- -e MYSQL_PASSWORD :Mysql 密碼
- -e MYSQL_PORT :Mysql 端口
訪問 W5 SOAR
- 訪問地址:
ip:8888, (訪問不了請檢查服務器防火墻) - 賬號密碼: 賬號:
admin,密碼:12345678(登錄后請及時修改密碼)
Hello Word
- 打開劇本列表 -> 創建一個新的劇本(Hello Word)
- 編輯應用參數
- 執行劇本
- 查看執行報告
遠程執行 Linux 命令
- 創建一個 Linux 遠程執行 的 劇本,可以通過 用戶輸入 命令執行
- 編輯 應用參數,此處使用了APP 變量,可以獲取到用戶輸入的命令
- 執行劇本 , 輸入命令
- 執行成功
- 查看報告
總結
本文簡單介紹下 W5 SOAR 的使用,下期會帶來如何在企業內部實戰中落地。
W5 SOAR 目前支持,全局變量、局部變量、APP 變量、條件分支判斷、WebHook,另外支持企業內部 APP 編寫,完全可以在生產環境使用。
直達連接
- 官網:https://w5.io
- 文檔:https://w5.io/help/ (文檔有完整的教程)
- Github: https://github.com/w5teams/w5 (感覺項目好的請來個 Star)
- Gitee: https://gitee.com/w5team/w5 (感覺項目好的請來個 Star)
