OctoMation专用术语 - flagify-com/OctoMation GitHub Wiki

剧本(Playbook)

通过OctoMation剧本编排界面,可视化拖拽编排生成的一组动作执行流程,直观上是一组图形卡片组织的流程逻辑图,通常包括:

  • 剧本的名称、描述和属性配置
  • 剧本开始节点
  • 剧本中间逻辑
    • 一个或者多个应用动作
    • 一个或者多个执行路径
    • 必要的判断规则和分支
    • 0个或者多个嵌套的子剧本
  • 剧本结束节点

image

附加描述:

  • 剧本可以有0个或者多个入参数
  • 剧本可以被嵌套执行
  • 剧本在正式发布之前属于草稿状态
  • 剧本运行的方式包括:
    • 在作战室或事件处置界面手工运行
    • 特定类型的上游事件触发后,自动执行剧本
    • 通过设置计划任务,定时自行剧本

应用(App)和资源(设备)

应用(APP) 通常是指在OctoMation中可以直接被编排的一个现成的专项技术能力,是一类产品或服务的抽象代称,例如:华为USG防火墙、钉钉IM工具、微步在线威胁情报TIP、青藤云主机安全HIDS、腾讯电话会议、Fortigate防火墙……

资源(设备) 通常是指某个应用的具体运行实体,例如:公司办公网某个华为防火墙、钉钉IM工具中的某个聊天群组、公司总部的两台Anti DDoS设备。

每个应用,都有对应的动作,如:

  • 华为USG防火墙
    • 封禁一个IP
    • 解封一个IP
    • 查看设备运行状态
    • 在防火墙上执行一条命令
    • ……
  • 微步在线威胁情报TIP
    • 查询一个IP的情报分析结果
    • 查询一个域名的情报分析结果
    • 查询制定HASH值的威胁信誉度评分
    • …… image

每个设备通常都有对应的配置参数,如:IP、URL、用户名、密码、API KEY等。

image

针对每个应用可以创建和绑定多个资源(设备),例如:钉钉应用可以支持绑定多个钉钉群,Fortigate防火墙可以绑定企业内部多个防火墙设备。 image

image

执行引擎

执行引擎,顾名思义,它是一个执行代理,遵照已编排的剧本逻辑,根据入参(应用APP、设备资源信息、动作和动作参数)执行对应的应用APP(Python或者Java),然后返回执行结果。

事件与作战室

每一个事件都有一个对应的沟通频道——作战室。

OctoMation是面向事件的编排自动化产品,当收到外部系统发来的事件时,会先对事件文本进行格式化并识别出是何种事件类型,然后执行该事件类型所绑定的剧本。

image

每一个进入系统的事件,都会在事件列表中展示,同时每一个事件都有一个对应的沟通频道——事件作战室。

image

用户可以在作战室中:针对当前事件进行协同沟通处置,执行剧本或动作,邀请其他人员参加……

image

CEF

CEF是Common Event Format的缩写,最早由SIEM厂商ArcSight设计,是一种通用的日志格式描述规范。完整的CEF规范,包含数百个基于设备、Agent、源、目标、目的、类别等分组的数百个事件描述字段,如:

  • DeviceName
  • DeviceAddress
  • destinationIPAddress
  • sourceMACAddress
  • targetUserName
  • categoryObject ...

在OctoMation,用户可以按需定义自己需要的字段名称,但我们更建议遵从行业最佳实践和标准去设置和使用字段。