1. 安全运营自动化
企业的各类安全设备每天都会产生大量的告警和安全事件,安全运营人员在处理这些安全告警和事件的过程中,一方面,需要手工去对安全事件进行信息富化,搜集更多的关于告警、资产、威胁情报的相关信息,以进行调查和确认;另一方面,需要对一些低威胁的、明显未成功,或者并不关注的告警进行初步过滤。
在这个过程中,安全运营人员往往会进行大量的重复性工作,需要耗费大量的时间和精力进行各类查询和分析判断。本文旨在讨论通过一种开源的工作流引擎,Airflow,快速搭建企业的安全运营自动化平台(SOA),减少运营工作中的重复工作,提高安全运营的效率。同时,通过将安全运营的流程固化为剧本,可以帮助运营团队进行安全运营的经验的沉淀和积累。
2. 工作流引擎 Airflow
Airflow 是一款开源的工作流引擎,自带 Web 界面, 以非常灵活的方式来支持数据的 ETL 过程,并且可以自动调度任务执行,同时也支持多种插件拓展各种对数据的处理和操作方式。