Executive Summary
SOC 需要实时监控签名验证日志、证书状态与异常事件,并在发现异常后自动吊销、隔离并通知租户,同时产出复盘报告。
Scope & Guardrails
- In Scope:日志汇聚、告警策略、自动吊销/隔离、租户通知、复盘、白名单恢复。
- Out of Scope:证书申请、构建签名、安装校验等前置环节。
- Environment & Flags:
PX_PLUGIN_SIGNING_SIEM,PX_PLUGIN_REVOKE_AUTOMATION,PX_PLUGIN_INCIDENT_PLAYBOOK。
End-to-End Flow
- 汇聚
plugin.signing.*日志与证书状态变更到 SIEM。 - 检测未授权证书、吊销列表变化或运行时失败 → 触发自动化 playbook。
- 执行隔离/吊销、通知受影响租户、生成补丁或回滚指引。
- 完成事件复盘、白名单恢复,并将改进项写入 backlog。
Key Interactions & Contracts
- SIEM/SOAR API:
POST /alerts,POST /playbooks/revoke,POST /notifications/tenants。 - Audit:
plugin.signing.incident,plugin.signing.revoke.auto,plugin.signing.whitelist。
Acceptance Criteria
- 异常签名事件 MTTR < 15 分钟,吊销/通知自动化覆盖 ≥80%。
- 白名单/误报流程可追溯,复盘报告完整。
- 告警风暴有分级策略,避免噪声影响。
Telemetry & Ops
- 指标:
plugin.signing.alert.count,plugin.signing.revoke.time,plugin.signing.false_positive_rate,plugin.signing.postmortem.close_rate。 - 告警:SIEM 日志缺失、吊销失败、通知失败。
Open Issues & Follow-ups
| 风险/事项 | 影响 | 负责人 | ETA |
|---|---|---|---|
| 多租户通知链路缺少状态追踪 | 租户可能漏通知 | Security Ops Squad | 2025-03-02 |
| SOAR Playbook 未覆盖第三方 Marketplace | 响应滞后 | Marketplace Squad | 2025-03-06 |