[FortiSOAR-20] 解決方案包套件下載與演練使用

/ FortiSOAR Hands-on Lab, 資訊安全 / 2026 年 3 月 2 日

FortiSOAR 核心解決方案安裝

實戰演練:解決方案包 Demo 劇本

1. FortiSOAR 核心解決方案安裝

安裝 MITRE ATT&CK 解決方案包套件

MITRE ATT&CK 為通用的知識庫,是一種策略和技術知識庫,專為威脅捕捉專家、防禦者和紅隊而設計 。它可以協助對攻擊進行分類、識別攻擊歸因和目標,並評估企業的風險 。作為 FortiSOAR 系統中用於增強資安事件分析與威脅搜尋能力的模組化擴充套件,正確的安裝與配置是非常重要的一步

Step 1: Install MITRE ATT&CK Enrichment Framework

首先,請至系統內的 Content Hub 進行套件安裝

  • 搜尋並找到 MITRE ATT&CK Enrichment Framework 解決方案包 。
  • 確認安裝,套件及其依賴項目將會在安裝期間自動處理 。
  • 左側工具欄 進入Connect Hub,篩選條件Solution Packs,點選Discover 搜尋 Mitre 關鍵字
  • 點選 Install 下載
  • 點選 Confirm 接著下一步
  • 開始下載
  • 安裝完成

Step 2: Config MITRE ATT&CK Connector

💡 重要提醒: 安裝完 Connector 後必須點擊保存並配置 “Data Ingestion”

系統需要透過此動作將 MITRE ATT&CK 的知識庫數據「攝取」到本地環境中,系統才能具備相關的關聯分析能力

  • 進入 Connector 設定頁面,啟動 Data Ingestion 精靈 。
  • 依照精靈指示完成 Fetch Data 與 Field Mapping 等步驟,直到畫面顯示 “Data Ingestion Successfully Configured!” 。
  • 左側工具欄 進入Connect Hub,篩選條件Connectors,點選Discover 搜尋 Mitre 關鍵字
  • 點擊 Install,安裝
  • 安裝完成
  • 點選 Configure Data Ingestion ( 資料抓取設定 )
  • 選擇 Let’s start by fetching some data
  • 點選右下角 FETCH DATA
  • 點選 Save Mapping & Configure
  • 點選 Trigger Ingestion Now
  • YES
  • 完成
  • 點選右上角 Icon,可以看到剛剛Fetch 的 Log
  • 左邊工具欄,MITRE ATT&CK 打開就有相關數據

Step 3: Install MITRE ATT&CK Threat Hunting

完成 Connector 配置與數據攝取後,接續的步驟才是安裝 “MITRE ATT&CK Threat Hunting” 以及 SOC Simulator

  • 此步驟可以讓系統後續能夠支援進階的威脅搜尋功能 。
  • 安裝完成後,SOC Simulator 中也會提供對應的 MITRE ATT&CK Scenario 供後續模擬演練使用 。
  • 點擊 Install 安裝
  • 點擊 Confirm
  • 安裝中
  • 安裝完成
  • 顯示 Installed 已安裝
  • 左邊工具欄 進入 Simulations,可以看到 MITRE 套件的Scenario

安裝 Vulnerability Management (漏洞管理) 與 Knowledge Base (知識庫) 套件

除了 MITRE ATT&CK 之外,我們還需要安裝漏洞管理與知識庫相關的套件,以進一步擴充 FortiSOAR 系統在演示環境中的能力

Step 1: Install Vulnerability Management Solution Pack

首先,我們來安裝漏洞管理解決方案包

  • 請至 Content Hub 搜尋並安裝「Vulnerability Management」套件 。
  • 依序確認依賴套件(如 SOAR Framework 與 SOC Simulator)並完成安裝 。
進入 Vulnerability Management 的介面點擊 Install 後顯示所安裝之依賴
安裝成功後會狀態顯示 Installed

💡 驗證安裝: 安裝完成後,你可以觀察到系統左側導覽列中,已經成功多出了「Vulnerability Management」以及底下的「Scans」項目

安裝成功, 左側工具欄出現 Vulnerability Management 選項

Step 2: Knowledge Base Solution Pack

接著,我們繼續安裝知識庫套件

  • 同樣在 Content Hub 中搜尋「Knowledge Base」並執行安裝 。
  • 安裝完畢後,系統左側會出現「Knowledge Base」選單,點擊進入即可看到預設匯入的各項資安事件回應與處理指引清單 。
按照之前安裝步驟,安裝 Knowledge Base
安裝成功,左側工具欄出現 Knowledge Base 選項

2. 實戰演練:解決方案包 Demo 劇本

情境一:憑證竊取與資料外洩 (Stolen credential leading to data exfiltration)

此情境主要針對攻擊者利用合法憑證進行內部滲透與資料竊取的應變流程 。在本情境中,系統偵測到使用者 jack 的一系列可疑活動,這些活動串連成一個典型的攻擊情境 。

關聯分析與事件升級

當 SOC 分析師收到上述任一活動觸發的告警時,首要任務是釐清這些獨立告警之間的關聯性

操作步驟:

Step 1: 安裝 “Stolen Credential Leading to Data Exfiltration” Solution Pack 。

  • 安裝完成狀態
  • 到 Simulations,可以看到Stolen Credential Leading to Data Exfiltration劇本
  • 進入到 Stolen Credential Leading to Data Exfiltration劇本,可以看到此劇本說明。
  • 點擊Source,可以看到此劇本更詳細之內容,及其相關Playbook。

Step 2: 從事件回應 (Incident Response) -> 警報 (Alert) -> 模擬場景 (Simulate Scenario) 執行「被盜憑證導致資料外洩」 (Stolen credential leading to data exfiltration)。

💡 操作提醒: 如已觸發過相同劇本要再觸發一次劇本,需要先 reset 劇本

警示項目列表整理

在模擬情境中,系統會觸發以下一系列的警示,請依序觀察:

  • ID 7: Outbound File Transfer (對外檔案傳輸)
    • 嚴重性 (Severity): Medium (中)
    • 類型 (Type): Data Exfiltration (資料外洩)
    • 內容: 偵測到內部檔案正被傳輸到外部,這通常是資料外洩的跡象 。
  • ID 6: CUSTOM Windows Scheduled Task Created (已建立自定義 Windows 排程任務)
    • 嚴重性 (Severity): Low (低)
    • 類型 (Type): Scheduled Task Created (建立排程任務)
    • 內容: 系統中建立了一個新的排程任務 。這雖然可能是合法的管理行為,但也常被駭客用來建立「持久性(Persistence)」,即確保惡意程式在重開機後仍能執行 。
  • ID 5: Windows User Added to Groups (Windows 使用者被加入群組)
    • 嚴重性 (Severity): Medium (中)
    • 類型 (Type): User Group Changed (使用者群組變更)
    • 內容: 有使用者帳號被加入到某個群組(通常監控的是管理員群組),這可能代表權限提升(Privilege Escalation) 。
  • ID 4: Windows User Password Changed (Windows 使用者密碼已變更)
    • 嚴重性 (Severity): Medium (中)
    • 類型 (Type): Password Reset (密碼重設)
    • 內容: 偵測到帳號密碼被修改 。如果不是用戶自己操作,可能是帳號被盜用後的行為 。
  • ID 3: Windows User Created (已建立 Windows 使用者)
    • 嚴重性 (Severity): Medium (中)
    • 類型 (Type): Domain User Created (建立網域使用者)
    • 內容: 系統中建立了一個新的使用者帳號 。攻擊者常會建立後門帳號以便日後登入 。
  • ID 2: FortiGate Configuration Change Detected (偵測到 FortiGate 設定變更)
    • 嚴重性 (Severity): Medium (中)
    • 類型 (Type): Firewall Configuration Change (防火牆設定變更)
    • 內容: 防火牆的設定被修改了 。
  • ID 1: FortiGate Configuration Change Detected (偵測到 FortiGate 設定變更)
    • 嚴重性 (Severity): Medium (中)
    • 類型 (Type): Firewall Configuration Change (防火牆設定變更)
    • 內容: 顯示有多次或連續的防火牆設定變更 。

透過推薦引擎進行事件升級

Step 3: 透過推薦引擎 (Recommendation -> Link Similar Alerts -> 右上角齒輪圖示),我們可以篩選使用者名稱 = jack 以找到類似的升級記錄

在升級的事件中,我們可以在分析圖表中看到使用者 jack 及其相關的警報

  • 透過推薦引擎(建議 -> 連結相似警報 -> 右上角齒輪圖示),我們可以篩選使用者名稱 = jack 以找到類似的升級記錄。
  • 在升級的事件中,我們可以在分析圖表中看到使用者 jack 及其相關的警報。

情境二:暴力破解攻擊 (Brute force attempt)

此情境主要處理針對系統帳號的密碼猜測與登入嘗試攻擊。當在特定主機上發生數次失敗的登入時,即表示可能正遭受暴力破解攻擊。此情況會觸發系統產生警報,讓分析師在自動化工作流程的協助下進行調查(包含:執行模組分析警報、互動模組進行修復,最後更新記錄)。

🎥 實作參考影片: 可以參考此教學影片進行環境部署 https://youtu.be/BBDhrLK4blc

Step 1: Install “Brute Force Attack Response” Solution Pack

首先,我們需要安裝對應的解決方案包來啟動此情境的防護機制。

  • 請至 Content Hub 安裝「Brute Force Attack Response」套件。
  • 安裝完成狀態。
  • 點擊左側工具欄的Simulations,找到Brute force attempt劇本。
  • 可以查看Brute force attempt劇本說明。

情境演示重點說明

這個場景演示了一個典型的攻擊情況:針對一台暴露在網際網路上的資產(例如對外公開的伺服器),發生了多次登入失敗的事件。這通常意味著攻擊者正嘗試用暴力破解的方式猜測密碼。

在接下來的模擬中,請特別留意以下兩個觀察重點:

  1. 自動提取與豐富化 (Enrichment): 系統會自動抓取關鍵欄位,即來源 IP (Source IP) 和目的 IP (Destination IP),並將它們視為威脅指標 (Indicators)。同時,系統會對這些 IP 進行「豐富化」處理(例如:自動查詢地理位置、比對是否為已知的惡意 IP 等情資)。
  2. 自動化劇本執行: 系統會觸發並執行一個名為「調查暴力破解嘗試 (FortiSIEM)」的自動化劇本 (Playbook)。這個劇本會展示如何一步步地對此類攻擊進行應變與處理(例如:通知管理員、封鎖 IP 等)。

Step 2: 執行模擬場景 (Simulate Scenario)

  • 從左側選單進入 事件回應 (Incident Response) -> 警報 (Alert) -> 點選 模擬場景 (Simulate Scenario)
  • 選擇執行「Brute Force Attempt (FortiSIEM)」。

💡 操作提醒: 如已觸發過相同劇本要再觸發一次劇本,需要先 reset 劇本。

  • 模擬劇本。
  • 只有一個Alerts:Sudden Increase in Failed Logons To A Host.
  • 可以觀察到主機 srcip&dstip 登入失敗次數突然增加,FSR 預設評級劇本會自動檢查 dstip 是否惡意,並將警報等級設為嚴重。執行暴力破解調查劇本進行分析。

警報分析與自動化處置流程

執行模擬後,我們可以在 Alerts 列表中觀察到只有一個名為「Sudden Increase in Failed Logons To A Host」的警報。

  1. 自動評級與調查: 可以觀察到主機的 srcipdstip 登入失敗次數突然增加。FortiSOAR (FSR) 預設的評級劇本會自動檢查 dstip 是否為惡意,並將警報等級設為「嚴重 (High/Critical)」,接著執行暴力破解調查劇本進行分析。
  2. 執行調查劇本 (Execute Investigation Playbook): 緊接著,執行「Investigate Brute Force Attempt (FortiSIEM)」調查劇本進行深入分析。透過視覺化的劇本流程,你可以看到系統自動檢查了該 IP 是否位於公網,並查詢了 IP 的聲譽 (Reputation) 是否為惡意。
  3. 手動阻擋與確認: 如果確認為惡意 IP,系統會提示分析師進行處置。在設定防火牆 (FW) 阻擋該 IP 後,等待確認。
    • (註:也可以考慮改為使用 Connector 連接器自動化此阻擋步驟。這將大幅加速事件回應時間,讓分析師可以專注於更高階的威脅。)
  4. 驗證處置結果: 完成阻擋後,現在可以看到該惡意 dstip 的狀態已經成功變更為「Blocked (已封鎖)」。最後,我們可以切換到 Playbooks 頁籤,並移除搜尋列中的「System」標籤,就能完整展開並檢視系統剛剛執行過的所有自動化處置軌跡。
  • 手動執行Brute Force Attempt (FortiSIEM)。
  • 此執行流程與提示分析師,在設定防火牆(FW)阻擋 IP 後等待確認,或考慮改為使用連接器自動化此步驟。這將加速事件回應時間,並讓您可以專注於高階威脅。

完成阻擋後,現在可以看到該惡意 dstip 的狀態已經變更為「Blocked (已封鎖)」。此時可以進一步檢查 playbooks 並移除「System」標籤,檢視系統相關的詳細處置紀錄。

  • 現在可以看到 dstip 的狀態變更為「Blocked」
  • 接著檢查 playbooks 並移除「System」標籤,也看看系統相關的東西。
  • 接著檢查 playbooks 並移除「System」標籤,也看看系統相關的東西。
  • 點選”ALL” 和 “>>”,可以看到所有執行的playbooks
  • 點選”ALL” 和 “>>”,可以看到所有執行的playbooks
  • 看看流程,IP 是不是公網?檢查 IP 聲譽?有沒有惡意?如果是惡意,如果有的話,手動阻擋那個 IP 並更新指示狀態。

情境三:釣魚郵件 (Phishing Email)

此情境展示了從郵件分析、指標萃取到惡意連結封鎖的完整應變程序。我們將模擬一個常見的企業內部場景:一名員工收到了可疑信件,並將其轉寄或通報給資安團隊的專屬信箱。

Step 1: Install “Phishing Email Response” Solution Pack

首先,請至 Content Hub 搜尋並安裝釣魚郵件防護專用的解決方案包。

  • 搜尋「Phishing Email Response」套件並完成安裝。
  • 安裝完成狀態。
  • 點擊左側工具欄Simulations,可以找到Phishing Email劇本。
  • 點進來可以看到此劇本的說明。
  • Source 可以查看更詳細資訊。

情境演示重點說明

在執行模擬前,請先了解系統在背景處理可疑郵件時的兩大核心動作:

  1. 郵件解析與附件處理: 系統能夠處理被當作「附件」轉寄過來的原始郵件(例如 .MSG 格式),而不僅僅是處理轉寄信本身的內文。這對於保留原始郵件標頭 (Header) 非常重要。FortiSOAR 會自動從原始郵件中「拆解」出調查所需的關鍵欄位(如寄件者、收件者、主旨、內文、郵件標頭、寄件網域等),並整齊呈現,省去分析師人工複製貼上的時間。
  2. 自動執行調查劇本 (Investigate Suspicious Playbook): 系統會自動執行「調查可疑郵件」的 Playbook,其中包含兩個具體的自動化調查範例:
    • 檢查偽造 (Spoofing): 比對「寄件者地址 (From)」與「回信路徑 (Return-Path)」是否一致,這是判斷 Email 是否為偽造/詐欺的常見技術指標。
    • 黑名單關鍵字比對 (Blacklisted Keyword Match): 掃描郵件內文是否包含敏感或惡意關鍵字(例如在此案例中,系統會偵測到通常與勒索軟體或詐騙高度相關的 “bitcoin” 關鍵字)。

Step 2: 執行模擬場景 (Simulate Scenario)

  • 進入 事件回應 (Incident Response) -> 警報 (Alert) -> 模擬場景 (Simulate Scenario)
  • 選擇執行「Phishing Email」場景。

💡 操作提醒: 若先前已執行過,請記得先 reset 劇本。

警報分析與處置觀察:

  1. 提取與分析: FSR 會從郵件系統中提取原始郵件內容放入警示中。在警示面板的右側欄位與摘要區段,會顯示所有被提取的相關資訊。
  2. 確認並封鎖: Playbook 在分析後,會要求分析師確認是否封鎖從信件中萃取出的可疑網址(例如 http://demo.gumblar.cn/)。
  3. 狀態更新: 確認封鎖後,該網址指標的狀態會變更為「Blocked (已封鎖)」,並且該警報會被正式標記為「Phishing (釣魚)」。
  • FSR 從郵件系統中提取郵件並進行分析。
  • 來自報告者,將此郵件升級給 SOC 分析師進行分析的郵件內容。
  • FSR 將會將原始郵件內容放入警示中,並提取所有相關資訊。右側欄位會顯示詳細資訊,並且在郵件詳細資訊上方還有一個摘要區段。
  • FSR 將會將原始郵件內容放入警示中,並提取所有相關資訊。右側欄位會顯示詳細資訊,並且在郵件詳細資訊上方還有一個摘要區段。
  • FSR 將會將原始郵件內容放入警示中,並提取所有相關資訊。右側欄位會顯示詳細資訊,並且在郵件詳細資訊上方還有一個摘要區段。
  • 所有指標也都已提取。有一份行動指南可以進一步「調查可疑郵件」。
  • Playbook 要求封鎖可疑網址 :: http://demo.gumblar.cn/。並要求確認是否由其他基礎設施系統封鎖。確認後,該網址狀態變更為「已封鎖」
  • 可以填寫原因。
  • 可以填寫原因。
  • 完成封鎖。
  • 完成封鎖。
  • 完成封鎖。
  • 完成封鎖。
  • 完成封鎖。
  • 完成封鎖。
  • 完成封鎖。
  • 在作業空間中,我們可以看到執行結果,例如從郵件中擷取指標、透過比較發件人電子郵件地址與回傳路徑電子郵件地址來偵測偽造(警告已標記為「偽造」)、尋找可疑關鍵字「比特幣」、阻擋惡意指標「URL」並標記警告為「釣魚」
  • 偽造偵測,透過比較發件人電子郵件地址與回傳路徑電子郵件地址(警告已被標記為「偽造」),尋找可疑關鍵字「bitcoin」

Step 3: 進階操作 – 編輯 Playbook 加入自動化通知

為了展現 SOAR 的靈活性,我們可以示範如何輕鬆編輯現有的 Playbook,在流程最後增加一個「通知報告者」的步驟,提醒該員工此為釣魚郵件並請其立即刪除。

  1. 進入 Playbook 編輯器: 開啟「Investigate Suspicious Email」劇本。
  2. 新增郵件發送節點: 編輯該 Playbook,在判定為釣魚郵件的分支後方,新增一個 Send Email 的步驟。
    • (註:此動作需要 FSR 已設定好對應的 Email Connector,例如 SMTP 連接器,才能順利發送郵件。)
  3. 儲存並重置測試: 保存修改後的 Playbook。接著重置所有數據並再次執行模擬場景。
  4. 驗證結果: 在新一輪的自動化流程結束後,通報該信件的員工(報告者)將會自動收到一封系統發出的防範通知信。
  • 先將playbook 的 tag 拿掉。
  • 先將playbook 的 tag 拿掉。
  • 點擊 “>>” 查看已執行的所有 playbook。
  • 找到 Investigate Suspicious Email。點擊Edit Playbook。
  • 增加一個step
  • 點選 Connector。
  • SMTP → Send Email
  • 編輯 inputs
  • 編輯收件者、內容、主旨。
  • 留下概要說明。
  • 保存此操作手冊,下次運行時它就會開始向記者發送通知,以便他們調查可疑電子郵件。
  • 重置所有數據,再次執行此劇本,在警報中再次執行修改後的playbook,你將看到新設計的最新訊息,且報告者也會收到如下通知郵件