COPS-协作开放剧本标准

来源：https://github.com/demisto/COPS

https://github.com/demisto/content/blob/master/TestPlaybooks/playbook-Recorded_Future_Test_4_0.yml

这个存储库包含DFIR(数字取证事件响应)剧本的模式定义。该方案基于YAML (http://yaml.org/)，并描述了一个事件响应运行簿(aka)。(playbook，“用例”)，这是一份书面指南，用于识别、包含、根除和从网络安全事件中恢复。

之所以选择Yaml，是因为它是人类可读的，并且可以描述复杂的嵌套数据结构，所以我们使用Yaml 1.2版本。

一、DFIR Playbook规范的承诺是什么?

开放源码，这样分析师就可以用同一种语言创建、共享和贡献事件响应过程。

半/完全自动化——因为事件响应世界的剧本通常可以完全自动化，但有时必须包括一些手动步骤。

可见性——为组织成员(SOC团队、管理层)提供事件响应过程的概述。

二、剧本层次结构:

Playbook——高层次的过程。

Task——这是流程中的一个步骤，可以表示脚本执行或手动步骤。

三、剧本字段

id:剧本的唯一id，通常是UUID

名称:剧本名称

描述:剧本的目的

任务:剧本任务的(有序的)列表

starttaskid:剧本的第一个任务的id

输入:剧本输入列表

输出:剧本输出列表

四、任务字段

id:这是剧本中任务的id，它必须在剧本级别中是唯一的

taskid:这是全局任务id，应该是全局唯一的(通常是UUID)，用于在剧本之间共享任务

类型:以下类型之一:title(代表一个新的playbook部分/标题)，regular(脚本或手动任务)或condition(决定下一个分支/步骤)

名称:任务的名称

描述:任务的目的

scriptName:如果这是一个自动任务，则为该任务执行脚本

标签:添加到任务中的一般标签

条件:如果此任务是条件类型，则此字段将包含映射到分支的(任务列表)的字符串键的嵌套映射，以便此任务可以根据脚本的结果继续到正确的分支

scriptarguments:这些是任务输入，可以是简单的也可以是复杂的，每个都有不同的内部结构

nexttask:当前任务结束后要执行的导航，要移动到下一个任务id

条件:导航逻辑条件，根据结果选择下一个任务