OctoMation专用术语 - flagify-com/OctoMation GitHub Wiki
剧本(Playbook)
通过OctoMation剧本编排界面,可视化拖拽编排生成的一组动作执行流程,直观上是一组图形卡片组织的流程逻辑图,通常包括:
- 剧本的名称、描述和属性配置
- 剧本开始节点
- 剧本中间逻辑
- 一个或者多个应用动作
- 一个或者多个执行路径
- 必要的判断规则和分支
- 0个或者多个嵌套的子剧本
- 剧本结束节点
附加描述:
- 剧本可以有0个或者多个入参数
- 剧本可以被嵌套执行
- 剧本在正式发布之前属于草稿状态
- 剧本运行的方式包括:
- 在作战室或事件处置界面手工运行
- 特定类型的上游事件触发后,自动执行剧本
- 通过设置计划任务,定时自行剧本
应用(App)和资源(设备)
应用(APP) 通常是指在OctoMation中可以直接被编排的一个现成的专项技术能力,是一类产品或服务的抽象代称,例如:华为USG防火墙、钉钉IM工具、微步在线威胁情报TIP、青藤云主机安全HIDS、腾讯电话会议、Fortigate防火墙……
资源(设备) 通常是指某个应用的具体运行实体,例如:公司办公网某个华为防火墙、钉钉IM工具中的某个聊天群组、公司总部的两台Anti DDoS设备。
每个应用,都有对应的动作,如:
- 华为USG防火墙
- 封禁一个IP
- 解封一个IP
- 查看设备运行状态
- 在防火墙上执行一条命令
- ……
- 微步在线威胁情报TIP
- 查询一个IP的情报分析结果
- 查询一个域名的情报分析结果
- 查询制定HASH值的威胁信誉度评分
- ……
每个设备通常都有对应的配置参数,如:IP、URL、用户名、密码、API KEY等。
针对每个应用可以创建和绑定多个资源(设备),例如:钉钉应用可以支持绑定多个钉钉群,Fortigate防火墙可以绑定企业内部多个防火墙设备。
执行引擎
执行引擎,顾名思义,它是一个执行代理,遵照已编排的剧本逻辑,根据入参(应用APP、设备资源信息、动作和动作参数)执行对应的应用APP(Python或者Java),然后返回执行结果。
事件与作战室
每一个事件都有一个对应的沟通频道——作战室。
OctoMation是面向事件的编排自动化产品,当收到外部系统发来的事件时,会先对事件文本进行格式化并识别出是何种事件类型,然后执行该事件类型所绑定的剧本。
每一个进入系统的事件,都会在事件列表中展示,同时每一个事件都有一个对应的沟通频道——事件作战室。
用户可以在作战室中:针对当前事件进行协同沟通处置,执行剧本或动作,邀请其他人员参加……
CEF
CEF是Common Event Format的缩写,最早由SIEM厂商ArcSight设计,是一种通用的日志格式描述规范。完整的CEF规范,包含数百个基于设备、Agent、源、目标、目的、类别等分组的数百个事件描述字段,如:
- DeviceName
- DeviceAddress
- destinationIPAddress
- sourceMACAddress
- targetUserName
- categoryObject ...
在OctoMation,用户可以按需定义自己需要的字段名称,但我们更建议遵从行业最佳实践和标准去设置和使用字段。