正文

建立安全运营中心(SOC)检测方法的优缺点及实践

admin
admin V管理员 /0 评论 /130 阅读
1020
此篇文章发布距今已超过400天,您需要注意文章的内容或图片是否可用!

前情回顾:









优缺点

应该选择适合组织的方法。

此列表提供了一些可帮助组织做出决定的主要优点和限制。


好处限制/成本
商业工具检测商业安全供应商通常拥有庞大的网络分析师团队,使工具能够与最新的攻击者技术保持同步。商业工具必须迎合许多不同的客户。因此,攻击检测偏向于使最广泛客户受益的技术。
自定义检测用例

可以针对您的环境制定规则 - 涵盖特定技术或威胁。

可以对新威胁做出更积极的反应 - 您无需等待商业供应商即可开发技术。

严重依赖熟练的分析师来制定警报规则。

需要可配置检测逻辑的日志分析工具,与可配置性较低的工具集相比,这些工具通常价格昂贵。

数据挖掘可以为您的环境开发定制规则,这些规则可以应用于大型数据集——涵盖特定技术或威胁,以便在大型数据集中查找异常情况。

需要能够处理大量数据的日志分析工具。

需要 SOC 内的数据科学技能。

威胁狩猎

帮助检测未知攻击。

对熟练员工进行大量投资。


检测实践

在本页

除了已经介绍的技术之外,在构建检测功能时还应该考虑一些事情。

基线比较

在构建 SOC 时执行基线测试是很常见的。这项练习的目的是准确确定组织内的“正常”是什么样子。从理论上讲,这是一种有效的方法,但您应该谨慎做出假设。这是一项艰巨的任务,尤其是在大型组织中。

考虑以下问题:

我如何知道该系统尚未受到损害?

  • 如果是,您的基线将包含任何恶意流量,您可能永远不会检测到该攻击。

新系统和开发人员会发生什么?

  • 变更控制是其中的重要组成部分,但现实是,并非所有内容都包含在该过程中。确保您了解分类新系统和开发活动的成本。

笔记:

基线比较也是用于检测系统合法使用中的恶意行为的关键技术之一。通过分析正常用户行为,可以检测可能是恶意甚至欺诈的使用情况。我们的事务监控指南对此进行了更详细的介绍

单片玻璃

攻击迹象很少是单个系统组件或系统上的孤立事件。因此,在可能的情况下,拥有一个让分析师能够查看和查询所有已安装系统的日志数据的平台是非常宝贵的。

通过访问多个(或所有)组件的日志数据,分析人员能够在整个范围内寻找攻击证据,并创建利用多种来源的检测用例。

通过创建时间(一段时间内的操作)和空间(跨领域的操作)用例,组织可以更好地应对系统范围内发生的网络安全攻击。

分类作为目标

创建警报时,请考虑对警报进行分类的分析师。警报从可用日志源获取的信息越多,调查或作为误报而被驳回的速度就越快。通常,组织会实施“操作手册”,使分析师能够对警报迅速做出反应。这是一个有争议的话题,因为每个警报都应该由有能力的安全分析师进行单独的调查。然而,遵循操作手册中的特定脚本可能会限制真正调查的水平。相反,有关如何对警报进行分类、详细说明要检查哪些日志源、要调查哪些系统以及要联系谁的指导当然非常有用。

这就是为什么 SOC 始终会尝试确保警报数量绝对最少,以便当警报触发时,可以对其进行适当的调查,并且 SOC 可以做出相应的反应。

误报

了解如何有效、安全地解决误报问题对所有 SOC 来说都是一个挑战。然而,有一些常见的方法试图减少误报。

  • 分类反馈- 将反馈流程构建到 SOC 的分类功能中将使您能够完善检测用例中使用的逻辑。

  • 允许列出- 对于某些变化频繁的开发环境来说很常见。特定用户或 IP 地址可以从某些(特定)用例中排除,直到出现更稳定的时间。非常重要的是,这是严格的对象/时间限制,以尽量减少永久允许列表和逃避监控的风险。

  • 组合警报- 由于真正的攻击通常会触发多个检测,因此当单独触发检测警报时,它更有可能是误报。这显然取决于检测的逻辑。通过基于真实攻击配置文件(即多个检测用例)实施警报,您可以尝试最大程度地减少误报。在处理更复杂的参与者时,这一点尤其谨慎,他们可能不会触发单个警报 - 可以通过组合多个较低严重性的警报来获得成功,但是需要平衡以确保单个警报不会被忽略。

用例生命周期

您不应该让驱动检测过程的规则集停滞不前,因为威胁形势、组织及其使用的技术都会随着时间的推移而发生变化,而这些变化需要与您的用例开发相匹配。

解决该问题的一个好方法是实现用例生命周期,以确保用例在整个使用过程中保持有效。这还应包括对常见触发警报的定期审查,以确保这些警报总体上对 SOC 仍然有用,并且不会让分析师陷入误报之中。

审查应寻找改进规则逻辑的机会,并且 SOC 也应(谨慎)开放以简单地删除误报率较高的警报。

确保所有检测用例都接受审查还将提供宝贵的机会来评估 SOC 的能力并确定需要改进的领域。

然而,值得注意的是,仅仅因为用例没有触发,并不意味着它是无效的。这也是练习(模拟攻击)可以合并到用例生命周期中以测试 SOC 功能的地方。

测试用例

与大多数开发实践一样,了解产品是否有效非常重要。检测用例也是如此。

通常,创建用例的过程将涉及测试,确保使用正确的字段和格式来解析和显示数据。然而,真正的攻击很难检测到,并且可能不会像您预期的那样出现在日志数据中。这就是为什么测试您的用例至关重要。

一种常见的方法是对您监控的资产进行红色或紫色团队练习:

红队演习是指授权个人或团队模拟对您的财产进行(非破坏性)攻击。这些练习的输出通常是目标系统中发现的任何漏洞的报告。这种类型的练习对于测试您的能力非常有价值,因为理想情况下您的 SOC 会检测到所有红队活动。如果没有,它肯定会突出您需要改进的领域。

在紫队演习中,同一类型的团队将执行类似的攻击,但也会与您的 SOC 合作,在发现任何差距时迭代地提高您的能力。

如果您希望实现自己的测试平台,也可以使用开源工具,但在生产环境上运行测试存在相关风险,即无意中改变生产系统的工作方式或更糟,导致它们根本无法工作。

注意:确保充分保护您的检测目录。如果这些被恶意方发现,它们可以用来识别漏洞并利用您的系统。

构架

Mitre Att&ck等框架对于确保您覆盖一系列攻击非常有帮助。与威胁建模相结合时,Mitre Att&ck 可以帮助您推理网络攻击并确保系统包含适当且相称的防御。



推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下