COSSAS/SOARCA

使用 CACAO 安全剧本自动化威胁和事件响应工作流程 ## 背景与来源 组织越来越多地通过以剧本驱动的安全工作流编排来自动化威胁和事件响应。这一概念的核心是，特定安全事件会触发一系列预定义的响应动作，且这些动作在执行时无需或仅需极少的人工干预。这些自动化的工作流程被封装在机器可读的安全剧本中，通常由所谓的安全编排、自动化与响应（SOAR）工具执行。SOAR 解决方案的市场在过去几年中已经显著成熟，当前产品支持复杂的自动化工作流程以及与外部安全工具和数据资源的广泛集成。然而，通常所采用的技术是专有的，难以适应研究和实验用途。SOARCA 旨在为此类解决方案提供一个开源替代方案，免受供应商依赖，并支持适用的标准化格式与技术。 SOARCA 是为研究与创新目的而开发的，允许 SOC、CERT 和 CTI 专业人员实验剧本驱动的安全自动化概念。它开放且可扩展，接口定义清晰且文档详尽。重要的是，它原生支持新兴的技术标准 CACAOv2 和 OpenC2，两者均由 OASIS Open 开发和维护。CACAO（协同自动行动流程）提供了一种机器可读的安全剧本标准化方案，而 OpenC2 则提供用于控制网络安全技术（例如防火墙或身份与访问管理解决方案）的标准化语言。 ## 软件 SOARCA 是一个安全编排器，能够摄取、验证并执行 CACAOv2 安全剧本。这些剧本及其触发执行的条件通过 JSON API 消费。SOARCA 原生具备 http(s)、SSH 和 OpenC2 能力，可与外部工具和数据资源进行交互。这些原生能力可通过专用的 MQTT 接口进行扩展，允许开发者根据需要编译额外的集成。 开发工作仍在进行中。当前版本仅支持机器和命令行界面，但图形用户界面将在可预见的未来添加。此外，其当前顺序执行 CACAOv2 剧本的能力将演变为支持并行运行多个剧本。此类进一步的发展将在 SOARCA 的 Github 仓库上公布并发布。 ## 文档 有关最新文档，请参考我们的 [Github 页面](https://cossas.github.io/SOARCA/)。 ## 源项目 更多关于该项目来源的信息，请访问 [此处](https://cossas.github.io/SOARCA/docs/about/)。

标签：CACAO, CERT, EVTX分析, FTP漏洞扫描, Homebrew安装, LIDS, Playbook 驱动, SOAR, 企业安全, 创新实验, 可扩展安全平台, 响应流程自动化, 威胁响应, 安全工作流, 安全工具集成, 安全编排, 开放接口, 标准化格式, 网络资产管理, 自动化响应, 逆向工具