黑客业务

24小时接单的黑客,黑客业务,黑客怎么找,网络黑客,黑客技术

2022年04月07日 11:33:00

高效 SIEM 用例快速指南

成功设立安全运营中心 (SOC) 的一个环节是定义 SIEM 用例。

用例能够在安全分析师和威胁监控目标上提供帮助和支持。什么是用例?用例可以是 SIEM 工具中多个技术规则的组合也可以是多个规则中的操作组合,这取决于需求。例子可以将业务威胁转化为 SIEM 技术规则,然后检测可能的威胁并向 发出警报SOC。建立和定义正确的用例有助于区分真实的警报和误报。该用例还将根据当前或历史活动提出建议,这可能是未来攻击的一部分。了解如何设置 SIEM 用例及其对 SOC 的帮助。

部分 SIEM 用例

首先,我们可以在各种用例之间建立联系。本质上,单独使用用例的效果并不好。用例的组合输入或操作链将决定进入攻击的复杂性或类型。

所有用例都有三个主要组成部分:

·根据目标事件检测和触发报警规则

·如何考虑事件或规则

·在满足逻辑或条件时,确定操作。

如何构建 SIEM 用例?

在开始选择用例之前,一定要确定一个框架。

1.选择工具,选择一个可以设计和映射用例框架的工具。在决定使用哪个框架后,开始确定优先级,重点处理影响团队财务、声誉和数据的业务威胁和风险。

2.考虑攻击类别。这意味着定义可能产生影响的商业威胁,如在线钓鱼、数据提取等。将适用的每种攻击类型链接到一个或多个商业威胁。最后,我们将得到一张显示业务风险与攻击关系的图片。

3.创造另一种关系:通过创建另一种关系来指定解决攻击的方法和方法。确定列出的攻击类型,并将其放置在所选框架中。例如,我们可以将外部扫描攻击归类为框架内的侦察/目标。

4.在两种关系之间建立联系:即业务威胁与攻击的关系,以及攻击与框架的关系。

在此基础上,您可以将这些关系纳入 SIEM 用例。已识别的业务威胁将是高级用例。我们可以进一步细分为低级用例。两三个用例可以嵌套在每个高级用例中。一般来说,当用例适用于多个业务威胁/高级用例时,我们总会发现一些重叠。例如,如果是“数据丢失”嵌套在数据丢失用例中的高级用例将是未经授权的服务器泄密、从服务器导出数据和管理员活动。

每个低级用例都与某些攻击类型有逻辑连接,然后辅助定义技术规则。每个低级用例可能适用于多个规则,一个规则可能与多个低级用例有关。有必要定义其结构来显示连接,因为这将进一步定义技术规则生效所需的日志源。

SIEM 用例生命周期

图片由 IBM 提供

在 SIEM在 用例的生命周期中,用例有多个输入点。这取决于将数据馈送到用例的源头。SOC 在日常操作过程中,用例将通过 1级或 2级SOC 分析师获取输入信息。这些输入信息大多是由于误报检测。SOC 配备威胁搜索和情报功能,根据当前用例未检测到的流量或其在威胁情报输入信息中识别的新威胁输入信息。

1级和 2级SOC我们可以通过修改用例来减少 分析师发现的误报SIEM 平台生成的不良警报。SIEM 管理员或用例工程师还将通过识别半匹配事件、重复报警和其他标准来研究用例的效率。

用例管理

与任何其他应用程序或产品一样,用例必须不时管理和维护,以确保其有效性。从计划到部署的周期需要多个阶段才能完成:

图片由 IBM 提供

设置 SIEM 在使用之前,我们应该首先考虑业务威胁和风险。如何构建用例,请参见上述章节。

识别数据源:在明确目标数据后,我们将考虑如何找到这些数据。攻击是根据攻击源定义的。

内部/外部数据源:将识别数据/日志源集成到 SIEM 中。这可能需要在源头上进行一些配置,取决于配置 SIEM 决定。防火墙也可能需要更换,以确保数据源和 SIEM 之间。

设计/审计逻辑:在获取数据/日志后,我们可以查看日志并确定检测攻击所需的内容(事件字段)。构建这一逻辑/规则的重要因素是识别正确的事件字段以执行关联或聚合。

定义基线规则中,定义阈值/基线以聚合类似事件。

测试和优化:我们必须测试用例中定义的逻辑和基线。我们需要根据测试结果进行调整,以确保噪音降低。

优化结果:根据测试,优化基线以检测攻击。

监控性能:部署生产用例,开始监控性能和生成报警,检查误报和整体运行状态。

用例框架

我们可以用各种框架来构建 SIEM 用例MITRE ATT&CK 和 Lockheed Martin Cyber Kill Chain。这两个框架包括两部分:攻击前后。攻击前包括所有与目标选择和发现漏洞相关的用例/规则。攻击后,涉及与交付、执行、连接和提取相关的用例/规则。

图片由 IBM 提供

SIEM 用例是保证 SOC 处于最佳状态的重要环节。这些用例可以确定是检测到还是错过了网络中的攻击,以及我们可以在什么阶段检测到传入威胁。SOC 分析师的专业水平也会因定义用例而异。用例的优化和改进程度越高,检测和分析的质量就越高。

作者简介

Asheesh Kumar

IBM Security 安全架构师、顾问、从事网络安全领域工作的安全架构师兼顾问。

*立即前往2021年全新安全区,掌握 SIEM安全技术的最新趋势。

IBM1月29日、2月19日、3月12日下午16:30-17:00

推荐 历史精彩文章>>>

*2021 SIEM 看趋势:如何选择安全分析供应商

*SOC 2.0 时代:建设更强大、更安全的安全运营团队指南

关于 IBM Security>>>

IBM Security 是 IBM 信息安全解决方案和服务部门在全球和地方各行各业都有多年的客户深度培养经验。IBM Security 保护全球500强企业和组织95%的信息安全,客户覆盖金融、医疗、汽车、科技、电信、航空等行业的公司和集团,包括49家最大的金融和银行机构,15家最大的医疗机构,15家最大的科技企业。IBM Security 在 Gartner、Forrester、IDC 与其他机构发布的12份不同的分析报告中,有12项技术解决方案被列为行业领先者。

   

标签:SOC/SIEM/安全运营/IBM 

作者:访客 , 分类:黑客技术 , 浏览:571 , 评论:5

  • 评论列表:
  •  森槿饮惑
     发布于 2022-06-05 20:24:11  回复该评论
  • 单独使用用例的效果并不好。用例的组合输入或操作链将决定进入攻击的复杂性或类型。所有用例都有三个主要组成部分:·根据目标事件检测和触发报警规则·如何考虑事件或规则·在满足逻辑或条件时
  •  断渊南简
     发布于 2022-06-05 22:16:22  回复该评论
  • 事件。测试和优化:我们必须测试用例中定义的逻辑和基线。我们需要根据测试结果进行调整,以确保噪音降低。优化结果:根据测试,优化基线以检测攻击。监控性能:部署生产用例,开始监控性能和生成报警,检查
  •  礼忱苍阶
     发布于 2022-06-05 13:11:45  回复该评论
  • 套在每个高级用例中。一般来说,当用例适用于多个业务威胁/高级用例时,我们总会发现一些重叠。例如,如果是“数据丢失”嵌套在数据丢失用例中的高级用例将是未经授权的服务器泄密、从服务器导出数据和管理员活动。每个低级用例都与某些攻击类型有逻辑连接,然后辅
  •  丑味旧竹
     发布于 2022-06-05 14:28:12  回复该评论
  • 的最新趋势。IBM1月29日、2月19日、3月12日下午16:30-17:00推荐 历史精彩文章>>>*2021 SIEM 看趋势:如何选择安
  •  泪灼挽鹿
     发布于 2022-06-05 18:04:26  回复该评论
  • 。这可能需要在源头上进行一些配置,取决于配置 SIEM 决定。防火墙也可能需要更换,以确保数据源和 SIEM 之间。设计/审计逻辑:在获取数据/日志后,我们可以查看日志并确定检测攻击所需的内容(事件字段)。构建这一逻辑/规则的重要因素是识别正确的事件字段以执行关联或聚合。定义

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.