遥测的真相：主要遥测源和次要遥测源的作用

如何从海量安全数据中锚定关键信息？如何让上下文信息为告警信息注入“灵魂”？这篇The Truth About Telemetry: The Role of Primary and Secondary Telemetry Sources^[1] 给出了极具实践价值的答案，作者来自Prelude。

检测工程师、威胁猎人和SOC分析师的工作效率都依赖于一个关键要素——遥测数据。然而，尽管他们都需要遥测数据，但所需的数据类型可能不同，或者会出于不同目的使用同一数据。这种需求推动EDR产品收集并提供多样化的遥测数据源，通常需要在服务所有功能之间寻求一种平衡，或者说是某种"微妙的平衡点"。

但并非所有遥测数据都生而平等。有些数据点是检测的基石，而另一些则用于丰富、情境化和优化发现结果。这种差异促使我们将遥测数据划分为主要遥测源和次要遥测源。

理解这种分类对于优化检测工程、调查流程乃至安全工具的性能调优至关重要。在本文中，我们将解析这一概念，并探讨不同遥测数据源如何融入主次遥测源的框架。

定义"遥测源"

在深入探讨前，需要先明确"遥测源"的定义。许多人熟悉"数据源"这一术语，它通常指生成数据的传感器，例如Sysmon或Microsoft Defender for Endpoint。但我们需要更精确的划分：

• • 事件类别：指被收集事件的类型，例如注册表事件。
• • 事件子类别：描述该类别中的具体操作，例如注册表键创建。
• • 事件本身：由数据源、事件类别和子类别生成的结构化数据。

在本文中，"遥测源"将指代数据源、事件类别和事件子类的组合。这种细微差别很重要，因为在检测工程中，当有人说"我需要注册表事件"时，实际含义可能是"我需要传感器收集注册表键创建事件，以便观察X行为"。因此需要能准确表达这一诉求的术语。

主次遥测源的定义

主要遥测源：检测的锚点

主要遥测源是直接触发或锚定检测的遥测点。这类数据本身就能指示值得调查的安全相关事件，构成安全警报和规则的核心。

主要遥测源特点：

• • 包含可操作的明确行为指标
• • 可作为主要检测机制（例如"若发生X，则生成警报"）
• • 通常与攻击者战术、技术和程序（TTP）直接相关

主要遥测源示例：

• • 进程创建事件：检测恶意进程执行（如外部二进制文件生成cmd.exe /c whoami）
• • 文件事件：监控特定文件的创建或修改（如针对勒索软件的"诱饵文件"）

次要遥测源：上下午与信息丰富

次要遥测源是辅助性遥测点，用于增强、丰富或验证主要遥测源。虽然单独使用时可能不足以触发警报，但它们能提供必要的上下文来提升检测准确性和调查效率，帮助"拼凑完整的行为故事"。

次要遥测源的特点：

• • 提供强化或弱化假设的补充细节
• • 帮助减少误报，提高检测精度
• • 通过上下文线索优化事件分类和响应

次要遥测源的示例：

• • 父子进程关系：进程创建事件是主要源，但了解其父进程（如从winword.exe生成的powershell.exe）可增加额外的上下文信息
• • 命令行参数：结合进程执行提供关键证据

双重角色的遥测源

某些遥测源可同时承担主次角色。以进程创建事件为例：

• • 作为主要遥测源：成为检测锚点
• • 例：当cmd.exe携带可疑执行标志/c启动时触发警报
• • 作为次要遥测源：为其他检测提供情境
• • 例：发现C:WindowsSystem32driversetchosts文件被修改后，进程日志显示修改者为powershell.exe——强烈暗示恶意意图

另一个案例是命名管道：

• • 主要遥测源：发现svchost.exe启动已知恶意管道
• • 次要遥测源：调查可疑进程时发现其使用非常规管道

值得注意的是，某些遥测源可能通过叠加使用升级为主要源。例如单独登录事件不足以判断恶意行为，但短时间内连续4-5次失败登录后出现成功登录，则可构成暴力破解检测的锚点——尽管这类场景通常较为有限。

为什么重要？

产品需求：优先考虑正确的遥测

理解主次遥测源的区别有助于制定明智的产品需求。最有价值的遥测源是能同时承担主次遥测源的灵活数据源，而纯次要遥测源因场景局限性往往独立价值较低。

以终端网络事件（如Sysmon事件ID 3）为例：虽然可以创建检测规则来发现非常规进程通过Kerberos端口（88）与域控制器通信（用于识别Kerberoasting攻击），但在大型组织中可能导致大量误报。这类数据更适合作为次要源，与4768/4769等事件关联分析。检测团队常陷入"需要X遥测源"的误区，但实际应用中需区分其是否能作为锚点（主要遥测源）或仅作为上下文（次要遥测源）。

检测构建：每个检测都需要锚点

所有检测必须具有明确的锚点——能简明指示行为的主要遥测源，例如：

• • 进程创建
• • 文件删除
• • 注册表值修改

但仅凭主要遥测源往往不足以判定恶意行为，此时需要次要遥测源增强检测：

• • 主要遥测源：powershell.exe执行
• • 次要遥测源：携带编码命令参数
• • 主要遥测源：文件创建
• • 次要遥测源：文件名包含.ransom扩展
• • 主要遥测源：注册表修改
• • 次要遥测源：由非常用用户账户操作

随着检测复杂度的提升，叠加多个次要源成为常态。这种分层方法能有效减少误报、提高准确性，并优化调查流程。

SOC分类：主次模型的扩展应用

主次模型同样适用于SOC事件分类。在剧本驱动的流程中，警报触发后获取的数据多属次要遥测源——它们用于补充上下文而非直接触发检测。

例如在检测数据基础上叠加次要源，帮助分析师快速决策。下图展示了一个分类手册的增强上下文例子，实际应用中可添加更多上下文：

让遥测数据创造价值

理解主次遥测源不仅是理论探讨，更是提升检测效能、优化安全运营的实践框架。主要遥测源作为检测锚点，次要遥测源则通过减少误报、强化证据来支持决策。

对检测工程师而言，这种区分有助于设计基于强信号触发的高精度检测规则；威胁猎人可从主要事件切入，用次要数据源还原攻击全貌；SOC分析师则能通过上下文分层，优化事件分类和响应手册，确保警报丰富且可操作，而不仅仅是嘈杂的信号。使警报从"噪音信号"升级为"可操作情报"。

下次构建检测规则、设计SOAR剧本或评估新遥测源时，不妨自问：这个数据源是恶意行为的直接信号，还是增强清晰度的情境层？尽管许多从业者已潜意识应用这种思维，但明确的意图将帮助我们在产品规划、检测设计和分类流程中做出更明智的决策。

引用链接

[1] The Truth About Telemetry: The Role of Primary and Secondary Telemetry Sources: https://jsecurity101.medium.com/the-truth-about-telemetry-the-role-of-primary-and-secondary-telemetry-sources-6e57c867bb0c