Day-286-剧本设计

# Day 307: 剧本 (Playbook) 设计 - 流程建模/决策树/异常处理

> 安全运维系列第 17 天 | 预计阅读时间：25 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [剧本设计概述](#剧本设计概述)
2. [流程建模](#流程建模)
3. [决策树设计](#决策树设计)
4. [异常处理](#异常处理)
5. [剧本模板](#剧本模板)
6. [最佳实践](#最佳实践)
7. [实战案例](#实战案例)
8. [总结与思考](#总结与思考)
9. [参考资料](#参考资料)

---

## 剧本设计概述

### 什么是剧本

剧本是 SOAR 平台中定义安全流程自动化的工作流，将人工操作转化为可执行的自动化步骤。

**剧本价值**：
- 标准化响应流程
- 减少人为错误
- 提高响应速度
- 知识沉淀和传承

### 剧本设计原则

**KISS 原则 (Keep It Simple, Stupid)**：
```
- 每个剧本聚焦单一场景
- 避免过度复杂
- 易于理解和维护
```

**模块化原则**：
```
- 通用步骤设计为子剧本
- 可复用的功能模块
- 便于组合和扩展
```

**容错原则**：
```
- 每步都有错误处理
- 失败可回滚或降级
- 人工介入通道
```

---

## 流程建模

### 流程图元素

**标准符号**：
```
○ 开始/结束
□ 处理步骤
◇ 决策点
文档 数据/文档
→ 流程方向
```

### 建模方法

**BPMN (业务流程建模符号)**：
```
开始事件 → 任务 → 网关 (决策) → 任务 → 结束事件

示例：
告警接收 → 数据丰富 → 风险评估 → [高风险? 是/否] → 响应/关闭
```

**泳道图**：
```
┌─────────────────────────────────────────────────────────────┐
│                      钓鱼响应泳道图                          │
├────────────┬────────────────────────────────────────────────┤
│ SOAR       │ 接收告警 → 提取 IOC → 查询情报 → 执行响应      │
├────────────┼────────────────────────────────────────────────┤
│ 分析师     │                    ↑              ↓            │
│            │              人工审核 ←── 高风险判断           │
├────────────┼────────────────────────────────────────────────┤
│ 邮件网关   │                              ↓                 │
│            │                        封禁发件人              │
└────────────┴────────────────────────────────────────────────┘
```

### 流程设计步骤

**步骤 1：定义触发条件**
```yaml
trigger:
  type: "alert"
  source: "SIEM"
  alert_type: "phishing_detected"
  severity: ["medium", "high", "critical"]
```

**步骤 2：定义输入输出**
```yaml
inputs:
  - name: "alert_id"
    type: "string"
    required: true
  - name: "email_id"
    type: "string"
    required: true

outputs:
  - name: "verdict"
    type: "string"
  - name: "actions_taken"
    type: "list"
  - name: "case_id"
    type: "string"
```

**步骤 3：设计主流程**
```
接收告警
   ↓
提取邮件 IOC (发件人、URL、附件哈希)
   ↓
查询威胁情报 (发件人信誉、URL 信誉、文件分析)
   ↓
综合风险评估
   ↓
[风险等级决策]
   ↓
执行响应动作
   ↓
创建案例记录
   ↓
关闭或升级
```

---

## 决策树设计

### 决策点设计

**单条件决策**：
```
         ┌─ 评分 >= 80 ─→ 高优先级响应
评分 ≥ 80?┤
         └─ 评分 < 80  ─→ 继续评估
```

**多条件决策**：
```
                  ┌─ 是 ─→ 高优先级
评分 >= 80? ──是─┤
                 └─ 否 ─→ 检查其他条件
                       ↓
                  涉及敏感数据？
```

### 决策矩阵

**风险评分决策**：
```yaml
decision:
  name: "Risk Assessment"
  type: "scoring"
  
  factors:
    - name: "threat_intel_score"
      weight: 40
    - name: "asset_criticality"
      weight: 30
    - name: "user_privilege"
      weight: 20
    - name: "indicator_count"
      weight: 10
  
  thresholds:
    critical: 80
    high: 60
    medium: 40
    low: 0
  
  actions:
    critical: "immediate_response"
    high: "analyst_review"
    medium: "standard_handling"
    low: "auto_close"
```

### 嵌套决策

```
主决策：是否为恶意？
├─ 是 → 子决策：风险等级？
│      ├─ 高 → 立即响应 + 通知管理层
│      ├─ 中 → 标准响应 + 创建工单
│      └─ 低 → 记录关闭
│
└─ 否 → 子决策：是否误报？
       ├─ 确认误报 → 加入白名单
       └─ 不确定 → 升级分析师
```

---

## 异常处理

### 错误类型

**API 错误**：
```
- 连接超时
- 认证失败
- 速率限制
- 服务不可用
```

**数据错误**：
```
- 数据格式错误
- 必需字段缺失
- 数据不一致
```

**逻辑错误**：
```
- 条件不满足
- 状态冲突
- 资源不可用
```

### 错误处理策略

**重试机制**：
```yaml
error_handling:
  type: "retry"
  max_retries: 3
  retry_delay: "5s"
  backoff: "exponential"  # 指数退避
  
  retryable_errors:
    - "timeout"
    - "rate_limit"
    - "temporary_unavailable"
```

**降级处理**：
```yaml
error_handling:
  type: "fallback"
  
  primary: "threat_intel_api_1"
  fallback: "threat_intel_api_2"
  
  if_all_fail:
    action: "manual_review"
    message: "威胁情报查询失败，转人工处理"
```

**通知升级**：
```yaml
error_handling:
  type: "escalate"
  
  notify:
    - type: "slack"
      channel: "#soc-alerts"
    - type: "email"
      to: "soc-manager@company.com"
  
  escalate_after: "15m"
  escalate_to: "L3_analyst"
```

### 补偿事务

**回滚机制**：
```yaml
# 如果后续步骤失败，回滚已执行的操作
compensation:
  - action: "block_ip"
    rollback: "unblock_ip"
  
  - action: "disable_user"
    rollback: "enable_user"
  
  - action: "quarantine_file"
    rollback: "restore_file"
```

---

## 剧本模板

### 钓鱼响应剧本

```yaml
playbook:
  name: "Phishing Email Response"
  version: "2.0"
  description: "自动化处理钓鱼邮件告警"
  
  trigger:
    alert_type: "phishing_email"
    sources: ["email_gateway", "user_report"]
  
  inputs:
    - alert_id
    - email_id
    - reporter (optional)
  
  steps:
    - name: "Parse Email"
      action: "email_parse"
      params:
        email_id: "${inputs.email_id}"
      output: "email_data"
    
    - name: "Extract Indicators"
      action: "indicator_extraction"
      params:
        email: "${email_data}"
      output: "indicators"
    
    - name: "Threat Intel Lookup"
      parallel:
        - action: "virustotal_lookup"
          params:
            indicators: "${indicators}"
          output: "vt_result"
        - action: "urlhaus_lookup"
          params:
            urls: "${indicators.urls}"
          output: "urlhaus_result"
    
    - name: "Risk Assessment"
      action: "risk_scoring"
      params:
        vt_score: "${vt_result.score}"
        urlhaus_verdict: "${urlhaus_result.verdict}"
        attachment_type: "${email_data.attachment_type}"
        recipient_count: "${email_data.recipient_count}"
      output: "risk_score"
    
    - name: "Decision"
      type: "switch"
      on: "${risk_score}"
      cases:
        - condition: ">= 80"
          playbook: "high_risk_response"
        - condition: ">= 50"
          playbook: "medium_risk_response"
        - default:
          playbook: "low_risk_response"
    
    - name: "Create Case"
      action: "case_create"
      params:
        title: "Phishing Alert: ${alert_id}"
        severity: "${risk_score}"
        indicators: "${indicators}"
    
    - name: "Notify"
      action: "slack_notify"
      params:
        channel: "#soc-alerts"
        message: "Phishing case created: ${case_id}"
```

### 恶意软件响应剧本

```yaml
playbook:
  name: "Malware Detection Response"
  version: "1.5"
  
  trigger:
    alert_type: "malware_detected"
    sources: ["EDR", "AV", "Sandbox"]
  
  steps:
    - name: "Isolate Host"
      action: "edr_isolate"
      params:
        host_id: "${alert.host_id}"
      error_handling:
        retry: 3
        fallback: "manual_isolation"
    
    - name: "Collect Forensics"
      action: "edr_collect"
      params:
        host_id: "${alert.host_id}"
        artifacts: ["memory", "processes", "files"]
    
    - name: "Analyze Malware"
      action: "sandbox_analyze"
      params:
        file_hash: "${alert.file_hash}"
    
    - name: "Search Spread"
      action: "edr_search"
      params:
        indicator: "${alert.file_hash}"
        scope: "enterprise"
      output: "affected_hosts"
    
    - name: "Contain"
      for_each: "${affected_hosts}"
      action: "edr_isolate"
      params:
        host_id: "${item.host_id}"
    
    - name: "Create Incident"
      action: "itsm_create_incident"
      params:
        type: "malware_outbreak"
        affected_count: "${affected_hosts.count}"
```

---

## 最佳实践

### 设计最佳实践

**命名规范**：
```
- 剧本名称：场景 + Response/Handling
- 步骤名称：动词 + 名词 (Parse Email, Block IP)
- 变量名称：小写 + 下划线 (alert_id, risk_score)
```

**文档化**：
```yaml
documentation:
  purpose: "剧本目的说明"
  trigger_conditions: "触发条件列表"
  prerequisites: "前置要求"
  expected_outcome: "预期结果"
  rollback_procedure: "回滚流程"
  contacts: "联系人信息"
```

**版本控制**：
```
- 使用语义化版本 (major.minor.patch)
- 变更日志记录
- 向后兼容考虑
```

### 测试最佳实践

**单元测试**：
```yaml
test:
  name: "Test Phishing Playbook"
  
  test_cases:
    - name: "High Risk Phishing"
      input:
        alert_type: "phishing"
        threat_score: 90
      expected:
        actions: ["block_sender", "quarantine_email", "create_case"]
        severity: "critical"
    
    - name: "Low Risk Phishing"
      input:
        alert_type: "phishing"
        threat_score: 20
      expected:
        actions: ["log_only"]
        severity: "low"
```

**集成测试**：
```
- 测试与外部系统集成
- 测试 API 调用
- 测试错误处理
```

### 运营最佳实践

**监控指标**：
```
- 剧本执行次数
- 平均执行时间
- 成功率
- 错误率
- 人工介入率
```

**持续优化**：
```
- 定期审查剧本效果
- 收集分析师反馈
- 更新威胁情报
- 优化决策逻辑
```

---

## 实战案例

### 案例：暴力破解响应

```yaml
playbook:
  name: "Brute Force Response"
  
  trigger:
    alert_type: "brute_force_detected"
    threshold: ">= 10 failures in 5min"
  
  steps:
    - name: "Get Context"
      parallel:
        - action: "get_user_info"
          params:
            username: "${alert.target_user}"
        - action: "get_asset_info"
          params:
            host: "${alert.target_host}"
        - action: "geo_lookup"
          params:
            ip: "${alert.source_ip}"
    
    - name: "Risk Assessment"
      action: "risk_score"
      params:
        is_privileged_user: "${user_info.is_privileged}"
        is_external_ip: "${geo.is_external}"
        failure_count: "${alert.failure_count}"
    
    - name: "Block IP"
      action: "firewall_block"
      params:
        ip: "${alert.source_ip}"
        duration: "24h"
      condition: "${risk_score} > 50"
    
    - name: "Notify User"
      action: "email_notify"
      params:
        to: "${user_info.email}"
        template: "suspicious_login_attempt"
      condition: "${user_info.email} exists"
    
    - name: "Create Case"
      action: "case_create"
      params:
        type: "brute_force"
        priority: "${risk_score}"
```

---

## 总结与思考

### 核心要点回顾

1. **流程建模**：BPMN、泳道图、设计步骤
2. **决策树**：单条件/多条件决策、决策矩阵
3. **异常处理**：错误类型、处理策略、补偿事务
4. **剧本模板**：钓鱼响应、恶意软件响应
5. **最佳实践**：设计、测试、运营最佳实践

### 深入思考

**剧本设计挑战**
- 平衡自动化与灵活性
- 处理边缘情况
- 维护复杂度

**发展方向**
- AI 辅助剧本生成
- 自适应剧本
- 剧本效果自动评估

---

## 参考资料

### 学习资源

- **SANS SOAR Best Practices**
- **NIST Automation Guidelines**

### 工具资源

- **Cortex XSOAR Playbooks**: https://xsoar.pan.dev/docs
- **Splunk SOAR Playbook Editor**

---

*Day 307 完成 | 剧本设计详解 | 字数：约 11,000 字*