概述
监控与事件模块是 ThreatZ 平台的运营安全层。它使汽车网络安全团队能够检测、关联、调查和响应网联汽车中的安全事件。该模块将实时事件采集、自动化威胁关联、事件生命周期管理、异常告警以及外部 VSOC 连接集成到单一的运营环境中。
核心概念
观测到的安全事件
观测到的安全事件是从车辆系统、传感器或外部源采集的原始信号。每个事件携带严重级别(严重、高、中、低、信息)、原始载荷、来源元数据和上下文值。事件遵循定义好的状态工作流:
待处理 → 处理中 → 已关联 / 未关联 → 已确认 / 已忽略 → 已升级 → 已解决事件
事件是通过手动创建或升级关联的安全事件而建立的结构化调查。每个事件包括:
- 严重级别(严重、高、中、低)
- 状态跟踪(新建 → 调查中 → 处理中 → 已解决)
- 指定的分析师
- 线程化评论和证据附件
- 与相关资产、损害、威胁和风险的关联
- 可选的威胁情报源关联
威胁关联
威胁关联是将观测到的事件与 TARA 模块中定义的威胁场景指标进行匹配的过程。关联引擎使用加权评分:
| 指标严重级别 | 权重 |
|---|---|
| 严重 | 100 |
| 高 | 75 |
| 中 | 50 |
| 低 | 25 |
匹配支持精确值、通配符(ECU_*)、正则表达式模式(/MAC.*failed/)和数组包含——并为基于上下文的匹配提供加分。
VSOC 配置
VSOC 配置定义安全事件如何导出到外部车辆安全运营中心:
- 端点 URL 和认证方式(API Key、Bearer Token、Basic Auth、OAuth2、证书)
- 导出格式(JSON、AUTOSAR、STIX、自定义)
- 源到目标转换的字段映射
- 带指数退避的重试配置
- 导出统计和状态跟踪
仪表板与可视化
安全仪表板通过多个小组件提供实时态势感知:
- 安全状态:带趋势指示器(改善 / 稳定 / 恶化)的整体风险级别
- 发现趋势:7 天和月度周期的严重级别分布
- 攻击面地图:带有风险级别指示器、发现计数和威胁路径的组件节点(ECU、网关、TCU)
- 活跃的测试活动:实时测试活动监控
- 合规记分卡:当前合规态势
- 最新告警:按优先级排列的异常信息流
所有仪表板数据通过 WebSocket 订阅传递,并按项目进行基于房间的隔离。
异常告警
异常告警引擎持续评估安全状态并生成按优先级排列的告警:
| 告警类型 | 触发条件 | 优先级 |
|---|---|---|
| 严重发现 | 检测到严重级别的发现 | P1 |
| 发现激增 | 短时间内出现多个高严重级别发现 | P2 |
| 安全事件 | 测试执行期间发生致命安全事件 | P1 |
| 合规违规 | 合规阈值被超过 | P2 |
告警通过应用内通知(WebSocket)、电子邮件和仪表板小组件传递。每个告警包括严重级别、描述、受影响实体以及指向相关资源的直接链接。
事件响应工作流
发现
↓
检测——安全事件被观测并采集
↓
关联——事件与威胁场景指标匹配
↓
升级——关联事件转换为事件(或手动创建)
↓
调查——分配分析师,附加证据,添加评论
↓
解决——更新状态,关闭事件
↓
事后审查——活动日志分析,发现文档化其他工作流包括:
- 威胁情报 → 事件:将外部威胁情报源直接转换为跟踪的事件
- 批量事件采集:批量导入事件并进行自动关联处理
- VSOC 导出:将事件推送到外部系统,带重试逻辑和状态跟踪
通知系统
该模块支持多渠道通知,并提供基于偏好的过滤:
- 应用内:通过 WebSocket 实时传递
- 电子邮件:可按通知类别配置
- 触发条件:事件分配、分析师提及、事件关联、威胁情报转换
- RBAC 感知:通知遵循基于角色的访问控制
基础设施监控
平台级别的监控通过以下方式提供:
- Prometheus 指标:测试活动状态转换、安全事件计数、WebSocket 健康状态、测试活动持续时间直方图
- 告警规则:测试活动卡死检测(>24h)、高错误率、致命安全事件、代理响应检查
- Grafana 仪表板:预配置的运维监控面板