KYRA MDR 包含 12 个内置 SOAR(安全编排、自动化和响应)Playbook,自动化常见的事件响应工作流。每个 Playbook 将自动化操作与引导式手动步骤相结合,加速响应时间的同时保持分析师的控制权。
Playbook 工作方式
- 触发 — 检测规则或 AI 代理识别出与 Playbook 触发条件匹配的威胁
- 自动化操作 — 平台立即执行预定义的遏制和丰富步骤
- 分析师审查 — 被分配的分析师审查自动化操作并遵循引导式手动步骤
- 解决 — 分析师关闭事件,记录发现和修复措施
Playbook 在 MDR 等级及以上可用。FREE 等级客户收到告警通知但没有自动化响应。
内置 Playbook
1. 勒索软件响应
| 字段 | 详情 |
|---|
| 触发 | 检测到文件加密模式(大量文件重命名、已知勒索软件扩展名、卷影副本删除) |
| 自动化操作 | 将受影响端点从网络隔离;快照当前磁盘状态;阻止来自源主机的横向 SMB/RDP;通知 SOC 团队 |
| 手动步骤 | 识别勒索软件变体和加密范围;确定零号病人和初始访问向量;评估备份完整性;从干净备份协调恢复;如怀疑数据泄露则向管理层和法务报告 |
2. 暴力破解响应
| 字段 | 详情 |
|---|
| 触发 | 5 分钟内对单个帐户的失败登录尝试超过 10 次,或来自一个源的跨多帐户失败尝试超过 50 次 |
| 自动化操作 | 在防火墙临时阻止源 IP;锁定目标帐户;用威胁情报丰富源 IP;创建包含时间线的事件 |
| 手动步骤 | 验证暴力破解尝试后是否有任何登录成功;检查凭据填充(多帐户目标);审查源 IP 信誉和地理位置;重置被泄露的凭据;如源为恶意则添加永久阻止 |
3. 钓鱼响应
| 字段 | 详情 |
|---|
| 触发 | 用户报告的钓鱼邮件或邮件安全网关检测到恶意链接/附件 |
| 自动化操作 | 提取并脱敏 URL 和附件哈希;查询威胁情报进行 IOC 匹配;搜索邮箱日志查找同一消息的其他收件人;在邮件网关阻止发件人域名 |
| 手动步骤 | 确认恶意意图(非营销邮件的误报);识别所有点击链接或打开附件的用户;为受影响用户发起凭据重置;检查端点是否有载荷执行;更新邮件过滤规则 |
4. 凭据泄露
| 字段 | 详情 |
|---|
| 触发 | 不可能的旅行登录(同一帐户在短时间内从地理距离遥远的位置登录),或凭据转储公开后来自已知恶意 IP 的登录 |
| 自动化操作 | 强制终止受影响帐户的会话;要求 MFA 重新注册;阻止源 IP;生成自疑似泄露以来的帐户活动时间线 |
| 手动步骤 | 审查被泄露帐户执行的所有操作;检查新邮件转发规则、OAuth 应用授权或 API 密钥创建;验证未发生横向移动;重置凭据并撤销所有活跃会话;通知用户 |
5. 横向移动
| 字段 | 详情 |
|---|
| 触发 | 哈希传递、票据传递或偏离基线的内部主机间异常 RDP/SMB/WinRM 连接 |
| 自动化操作 | 隔离源主机;阻止受影响主机对之间的通信;捕获网络流数据;用 MITRE ATT&CK 技术映射丰富(T1021、T1550) |
| 手动步骤 | 识别初始入侵点;映射横向移动的完整范围(所有被访问的主机);检查每个被访问主机上的持久化机制;验证凭据暴露范围;如有必要重建被入侵的主机 |
6. 数据泄露
| 字段 | 详情 |
|---|
| 触发 | 异常出站数据量(超过基线 2 倍)、DNS 隧道模式或向云存储/粘贴站点大量上传 |
| 自动化操作 | 限制源主机的出站流量;捕获可疑流的完整数据包数据;阻止目标 IP/域名;通知数据保护团队 |
| 手动步骤 | 识别传输的数据(分类级别);确定总泄露量;检查数据在泄露前是否已加密;评估监管通知要求(GDPR、ISMS-P);保留证据用于潜在法律诉讼 |
7. 内部威胁
| 字段 | 详情 |
|---|
| 触发 | 已认证用户的异常数据访问模式(访问角色外的文件、批量下载、与历史不一致的非工作时间活动) |
| 自动化操作 | 为该用户启用增强日志记录;快照当前访问权限;生成行为时间线;通知安全经理(不通知用户) |
| 手动步骤 | 与 HR 事件关联(辞职、绩效问题);审查数据访问范围和敏感性;确定活动是否授权但异常;在对质前与法务和 HR 协调;保留证据监管链 |
8. 欺骗检测
| 字段 | 详情 |
|---|
| 触发 | NDR 传感器检测到 ARP 欺骗、DNS 欺骗或 IP 欺骗 |
| 自动化操作 | 在交换机/防火墙级别阻止欺骗源;通知网络运维团队;捕获网络取证数据;识别收到欺骗响应的受影响主机 |
| 手动步骤 | 确定攻击者的目标(中间人、凭据捕获、重定向);验证受影响主机上的 DNS 缓存完整性;检查欺骗窗口期间的数据拦截;刷新受影响网段上的 DNS 缓存和 ARP 表;实施永久缓解措施(DAI、DNSSEC) |
9. DDoS 缓解
| 字段 | 详情 |
|---|
| 触发 | 流量超过基线 5 倍、检测到 SYN 洪泛或应用层请求率超过容量阈值 |
| 自动化操作 | 激活速率限制规则;启用上游 DDoS 清洗(如已配置);阻止顶级攻击源 IP;扩展基础设施容量;通知运维团队 |
| 手动步骤 | 分类攻击类型(容量型、协议型、应用型);如需要联系 ISP 或 CDN 提供商进行上游过滤;分析攻击模式以发现针对应用的弱点;实施应用特定的缓解措施;进行攻击后容量审查 |
10. APT 响应
| 字段 | 详情 |
|---|
| 触发 | 在活动时间框架内观察到来自同一来源的多个 MITRE ATT&CK 技术,或威胁情报与已知 APT IOC 匹配 |
| 自动化操作 | 将事件提升为严重等级;在所有网段激活增强监控;阻止所有已知活动 IOC(IP、域名、哈希);通知高管安全团队;启动全环境威胁狩猎 |
| 手动步骤 | 对 90 天历史数据执行全面威胁狩猎;映射完整攻击链(从初始访问到目标);识别所有被入侵的帐户和主机;与威胁情报合作伙伴协调;为活动 TTP 开发自定义检测规则;计划系统性修复(不要过早惊动攻击者) |
11. 威胁情报告警
| 字段 | 详情 |
|---|
| 触发 | 新威胁情报公告与环境中存在的 IOC 匹配(日志中观察到的 IP 地址、域名、文件哈希) |
| 自动化操作 | 在 30 天窗口内搜索所有日志源的 IOC 匹配;在边界阻止匹配的 IOC;生成影响评估报告;为每个确认的匹配创建事件 |
| 手动步骤 | 验证 IOC 匹配(排除来自共享基础设施的误报);评估暴露窗口(首次出现到阻止时间);检查成功利用的指标;使用公告中的新 TTP 更新检测规则;向利益相关者简报风险暴露情况 |
12. 恶意软件遏制
| 字段 | 详情 |
|---|
| 触发 | EDR 或防病毒检测到恶意可执行文件,或行为分析识别出可疑进程活动(进程注入、持久化安装) |
| 自动化操作 | 隔离受影响端点;终止恶意进程;隔离恶意文件;在所有端点阻止文件哈希;收集取证证据(进程树、网络连接、注册表变更) |
| 手动步骤 | 分析恶意软件样本(静态和动态分析);识别感染向量(邮件、Web、USB、横向移动);扫描所有端点以查找相同哈希和行为指标;验证没有持久化机制残留;如怀疑 Rootkit 则从干净镜像恢复端点;更新检测签名 |
自定义 Playbook
PRO 和 CUSTOM 等级客户可以创建适合其环境的自定义 Playbook:
- 使用检测规则组合定义自定义触发条件
- 从可用操作库配置自动化操作(阻止 IP、隔离主机、禁用帐户等)
- 添加特定于环境的手动步骤和升级程序
- 为响应的每个阶段设置 SLA 计时器
要创建自定义 Playbook,前往 控制台 > Playbook > 创建 Playbook。
Playbook 指标
平台跟踪每个 Playbook 的执行指标:
| 指标 | 描述 |
|---|
| 平均遏制时间(MTTC) | 从触发到自动化遏制的平均时间 |
| 执行次数 | Playbook 被触发的次数(30/90/365 天) |
| 误报率 | 触发中误报的百分比 |
| 分析师节省时间 | 与手动响应相比节省的预估小时数 |
在 控制台 > Playbook > 分析 中查看 Playbook 指标。
