来源:How to build a Security Operations Center
一、SOC基础知识
无论你是在保护银行还是当地的杂货店,一定的安全常识规则是适用的。至少,你需要在出入口、收银台和金库上锁,以及对准这些地方和整个设施其他地方的摄像头。
保护你的网络也是一样。使用密码、访问控制列表(acl)、防火墙规则等工具来控制访问还不够好。您仍然必须不断地监视您的关键基础设施,以便您能够发现异常活动,这些活动可能表明可能的暴露。
注意:用于进行安全监视和分析的工具可能比CCTV监视器更多样化,但概念是相同的。
不幸的是,与闭路电视摄像头不同,你不能只是看着监视器,立即看到一个积极的威胁展开,或使用视频记录起诉一个罪犯后,在他们的行为在磁带上。
网络安全事件和暴露的“面包屑”比一个摄像头捕捉到的信息更多样、更分散、更隐蔽,这就是为什么需要比一个工具更有效地监控你的环境。
二、建设安全运营中心
安全操作中心(SOC)团队负责监视、检测、包含和纠正其公共和私有云环境以及物理位置中的关键应用程序、设备和系统中的IT威胁。
SOC团队使用各种技术和流程,依靠最新的威胁情报来确定是否发生了主动威胁、影响的范围以及适当的补救措施。
SOC的角色和职责随着事件的频率和严重性的不断增加而不断演变。
2.1用有限的资源构建SOC是一场与时间的赛跑
对于许多组织(除非您为大型银行工作),构建SOC似乎是一项不可能完成的任务。在有限的资源(时间、人员和预算)下,建立一个由多种安全监控技术和近实时威胁更新支持的操作中心似乎并不那么简单。事实上,您可能会怀疑是否有足够的全职和熟练的团队成员来持续地实现和管理这些不同的工具。这就是为什么寻找简化和统一安全监控的方法来优化SOC流程和团队是至关重要的。
值得庆幸的是,由美国电话电报公司(AT&T)网络安全提供的AlienVault®统一安全管理(USM)平台为您提供了构建soc所需的基础,而不需要昂贵的实现服务或大型团队来管理它。通过AlienVault®USM™,由AT&T Alien Labs™安全研究团队和AlienVault®Open threat Exchange®(OTX™)提供的威胁情报支持,您可以快速实现人员、流程、工具和威胁情报的良好“组合”。几乎是构建SOC的所有关键要素。
三、第一章:人们
就像人一样,每个安全组织都是不同的。在一些公司,管理团队认识到网络安全对业务底线的重要性。在这些情况下,SOC团队处于一个很好的位置,有足够的预算来开发好的工具,有足够的人员来管理它们,以及执行人员的可见性和支持的“人力”资本。
不幸的是,在大多数情况下,事实并非如此。
大多数SOC团队都是在没有足够的人员、没有足够的时间、没有足够的可视性或确定性的情况下灭火。
这就是为什么集中于巩固你的工具集和有效地组织你的团队是很重要的。
创建一个拥有正确技能和使用最少资源的SOC团队,同时获得对活跃的和正在出现的威胁的可见性——这是我们的目标。
那么,我们如何才能做到这一点呢?
让我们讨论一下支持SOC所需的关键角色和职责。
3.1快速的基础知识
构建SOC有两个关键功能。
第一种是设置安全监控工具来接收原始的、与安全相关的数据(例如,登录/下线事件、持久的出站数据传输、防火墙允许/拒绝等)。这包括确保您的关键云和基础设施(防火墙、数据库服务器、文件服务器、域控制器、DNS、电子邮件、web、活动目录等)都将它们的日志发送到您的日志管理、日志分析或SIEM工具。
第二个功能是使用这些工具通过分析警报来发现可疑或恶意活动;调查危害指标(如文件哈希值、IP地址、域等);审查和编辑事件相关规则;通过确定这些警报的危险程度和影响范围,对其进行分类;评估归因和对手细节;并与威胁情报部门分享你的发现。
关键的Takeaways
了解如何构建SOC将帮助您决定如何为团队配备人员。关于招聘和员工的帮助,检查我们的S〇C技能矩阵在下一页的图表回顾构建一个4 - 5人的角色和职责SOC团队,将给你的SOC一个坚实的基础。
3.2我也需要一个威胁情报小组吗?
一些SOC团队(特别是那些拥有更多资源的团队)已经开发了专门的威胁情报功能。这个角色可以由一个或多个分析人员组成,它将涉及管理多个威胁情报数据来源,验证其相关性,并与更大的威胁情报系统在指标、工件、归属和其他关于对手的ttp(工具、战术和程序)的细节上进行协作。对于较小的团队(少于5名成员),我们建议寻找从可靠的威胁情报服务提供商自动使用威胁情报的方法(有关详细信息,请参阅关于威胁情报的第4章)。
3.3如何知道我是否需要MSSP?
我们希望有一个严格且快速的规则来精确地知道您是否/何时需要将SOC外包给服务提供商。员工规模和技能当然是一个因素。与此同时,一些最大的企业依赖于mssp,而不是构建自己的SOC。这个选择实际上可以归结为回答一个问题:您对您的团队是否有足够的资源和熟练的员工来检测、控制和响应数据泄漏有多大的信心?如果您的团队的资源集中在其他优先事项上,那么利用MSSP来管理您的SOC可能是明智的。
四、第二章:SOC过程
一个飞行员拥有的最有价值的工具之一就是最简单的工具。一个清单。清单列举了为了维护安全、避免风险和保护宝贵生命而必须做的每一件事。这样你就可以到达你的目的地而不洒出任何花生。
检查表是安全操作中心流程的基础。
SOC团队需要做的事情有一长串,并且要正确地做,以便您的组织的资产得到保护,并以最小的影响快速检测高优先级的威胁。
在本章中,我们将帮助您建立关键流程,您的SOC团队将需要执行这些流程来检测新出现的威胁,确定它们的范围和影响,并做出有效和快速的响应。
在每一步中,我们将向你展示如何使用AlienVault USM来帮助你的SOC进程。
关键要点:构建SOC所需的关键流程。这些包括事件分类和分类;优先级和分析;修复和恢复;以及评估和审计。基于实用的SOC度量来度量进展。研究AlienVault USM Anywhere如何支持这些关键过程。
4.1SOC的过程
回答每个SOC阶段的大问题
4.1.1事件分类和鉴别
为什么这很重要?
收集、关联和分析日志数据的真正价值在于,它使您能够找到“噪声中的信号”。“破坏的关键指标可以在用户活动、系统事件、防火墙接受/拒绝等中找到。此外,这些事件在特定模式中的特定序列和组合也可以表示需要您注意的事件。这个阶段成功的关键是有一种快速分类每个事件的方法,这样您就可以对需要额外调查的关键事件进行优先级排序和升级。
SOC分析师在这个阶段做什么?
一级S〇C分析师审查最近的事件,最高临界或严重性。一旦他们确认这些事件需要进一步的调查,他们将把问题升级到二级安全分析人员(请注意:对于较小的团队,可能是同一名分析人员在问题升级为更深入的调查时进行调查)。这一阶段成功的关键是记录所有的活动(例如标记、故障报告单等)。
如何使用AlienVault统一安全管理(USM)?
AlienVault USM,由美国电话电报公司(AT&T)网络安全提供,收集、分析和分析你的日志数据,以对抗最新的威胁情报,这些情报自动、连续地从Alien实验室安全研究团队和AlienVault开放威胁交换(OTX)传送到平台上。当威胁和异常活动在您的环境中被检测到时,AlienVault USM会生成警报,这些警报被映射到MITRE ATT&CK™框架中,并根据洛克希德·马丁Cvber Kill Chain®自动按目的排序。这个“链”是攻击者为了渗透一个环境并从中窃取数据而需要采取的一系列行动。此事件分类有助于突出您的资产面临的最严重威胁。这种警报优先级可以让您首先将注意力集中在最严重的威胁上,而不必手动查看所有警报以确定从哪里开始。
成功的关键是在攻击的早期阶段,即敏感数据和系统受到影响之前识别攻击者的活动。当攻击者沿着这些杀戮链的阶段前进时,他们就更有可能成功地进行攻击。通过从攻击者的角度观察环境行为和基础设施活动,您将能够确定哪些事件现在需要您注意。
记录所有的事情!作为SOC分析师,有必要记录调查的每个阶段:您检查了哪些资产、哪些资产具有“特殊”配置或属于vip(即高管),以及哪些事件是假阳性。AlienVault USM让这部分过程变得简单。通过AlienVault USM在您的环境中检测到的任何警报、事件或漏洞,您可以轻松地使用ServiceNow®和Jira®等第三方生产力工具打开和跟踪票据,而无需离开USM平台。您还可以使用USM中的标签对漏洞和警报进行分类、跟踪和搜索。记录调查提供了一个审计跟踪,以防再次成为目标或卷入未来的可疑活动。即使你的公司现在没有被审计,拥有这些有价值的信息在将来可能会被证明是有用的。
4.1.2优先排序和分析
为什么这很重要?
在任何努力中,优先级都是成功的关键,在网络安全中更是如此。风险很高,攻击的步伐继续升级,而且没有停止的迹象。与此同时,用来保护资产不受攻击的资源非常有限。关注那些对业务操作影响最大的事件,这需要知道哪些资产是最关键的。总之,保持业务连续性是交付给SOC团队的最重要的职责。
SOC分析师在这个阶段做什么?
检查和回应任何表明敌人已经渗入你的环境的活动。这包括利用现有漏洞安装rootkit/RAT或后门,以便在内部主机和与网络对手的C2(命令和控制服务器)基础设施相关的已知坏IP地址之间进行网络通信。
我怎么和AlienVault USM合作呢?
在来自Alien实验室安全研究团队的威胁情报的支持下,AlienVault USM可以检测特定的指标,表明特定的敌方工具、方法和基础设施的活动。安全研究团队的持续威胁情报更新包括对AlienVault USM收集的原始事件日志数据应用的相关规则。一旦应用,这些规则识别和分类事件和活动,以帮助您确定SOC任务的优先级。通过对开发、安装和系统危害类别中的警报进行优先排序,SOC分析人员可以将注意力集中在已经超出主要安全防御的威胁上。通过AlienVault USM,分析人员可以使用来自Alien实验室提供的威胁情报更新的响应模板来确定应对这些攻击的最佳方式。因为Alien实验室从OTX中社区支持的威胁数据中获取信息,AlienVault USM中的威胁情报反映了来自世界各地成千上万安全从业人员的集体经验,并结合了来自各种规模组织的野外攻击的经验教训。
依靠最新的威胁情报尽可能多地了解一次攻击,将有助于告知您如何对其进行优先级排序和作出反应,以及您如何加强对未来类似攻击的防御。更好的是,当您与OTX中更大的威胁情报系统共享关于对手的ttp(战术、技术和程序)的关键信息时,您将使对手的工作变得更加困难和昂贵。每个人都赢了。
了解你的网络和它的所有资产
资产发现和库存是最重要也是最容易被忽视的网络安全能力之一。在SOC团队中,能够访问更新和自动化的资产清单是非常宝贵的。
AlienVault USM不断扫描您的云和本地环境,以发现要监视的资产。在前提下,您可以发现网络上所有支持ip的设备,以及识别在这些设备上运行的软件和服务,以及它们是否包含潜在的漏洞。对于您的Amazon Web服务(AWS®)和Microsoft Azure®云基础设施,USM平台提供了对动态变化环境中的资产的可见性。
•哪些系统对公司的持续运作至关重要?
•哪些系统对日常任务至关重要?
•这些关键资产和服务依赖哪些其他系统、设备或网络?
•哪些系统管理和存储敏感信息?
4.1.3修复和恢复
为什么这很重要?
你越快发现并对事件做出反应,你就越有可能控制损害并防止类似的攻击在未来发生。请注意:在调查一个事件时需要做出许多决定,特别是您的组织是否更有兴趣从损害中恢复,而不是将其作为犯罪进行调查。确保你和你的管理团队紧密合作。一定要经常清晰地沟通,并有一个补救计划。
SOC分析师在这个阶段做什么?
针对受影响的系统,每次攻击的适当补救步骤各不相同,但通常涉及以下一个或多个步骤:
重新映像系统(和恢复备份)
•补丁或更新系统(如应用程序和操作系统更新)
•重新配置系统访问权限(例如帐户删除、密码重置)
•重新配置网络访问(如ACL和防火墙规则、VPN访问等)
•检查服务器和其他资产上的监控功能(例如启用HIDS)
•通过运行漏洞扫描来验证补丁程序和其他安全控制
顺便说一下,一些SOC团队将修复和恢复过程交给IT内部的其他组。在这种情况下,SOC分析人员将创建一个票据和/或更改控制请求,并将其委派给负责桌面和系统操作的人员。
我怎么和AlienVault USM合作呢?
AlienVault USM通过帮助您快速检测事件来简化修复和恢复,因此您可以及时响应以帮助防止进一步的损害。此外,AlienVault USM的资产发现和漏洞评估功能提供关于您的资产的更新和详细信息——安装了什么软件、存在什么漏洞、正在运行什么流程,等等——以确认修复步骤已经正确实现。
要跟踪整个团队的事件响应活动,您还可以直接从USM平台中的警报、事件或漏洞打开Jira®或ServiceNow®中的票据。AlienVault USM还支持通过多个渠道自动通知,包括Amazon SNS、Slack、PagerDuty®和Datadog,使事件发生时通知涉众更加快捷和简单。
4.1.4评估和审核
为什么这很重要?
在攻击者利用漏洞访问您的环境之前,找到并修复漏洞总是最理想的。做到这一点的最佳方法是定期进行脆弱性评估,并详细审查这些报告的发现。请记住,这些评估将识别技术上的漏洞,而不是程序上的漏洞,因此请确保您的团队也在处理SOC流程中的漏洞,这些漏洞也可能使您面临风险。
SOC分析师在这个阶段做什么?
运行漏洞扫描和生成遵从性报告是SOC团队成员最常见的审计活动。此外,SOC团队成员可以与审计团队(内部和外部)一起审查他们的SOC流程,以验证策略遵从性,并确定如何改进SOC团队的性能和效率。
我怎么和AlienVault USM合作呢?
使用AlienVault USM,您可以对所有资产(内部和外部资产,以及云环境中的资产)进行连续的漏洞扫描,以帮助检测任何可能显示出漏洞的系统更改。这些漏洞报告可以与审计人员、执行管理层和其他人员共享,以证明您符合各种监管标准。
五、第三章:SOC工具
有时,安全专家使用“深度防御”这个术语来描述如何最好地保护关键数据和系统免受网络威胁。
把这个概念想象成一个令人瞠目结舌的东西
这个想法很简单。从您在中心保护的数据开始,您添加了一层又一层的策略实施,以使攻击者很难突破每一层访问数据。
事实上,网络安全行业就是从这种分层模式中发展起来的。每个供应商都开始专门研究这些层,期望客户将这些不同的工具组合在一起,以满足安全监视所需的完整环境。对于像银行或政府机构这样拥有大量网络安全预算和高技能团队的大型组织来说,这种方法或多或少奏效了。
5.1预防和发现
这里要强调的重点是检测(与预防)的重要性。当然,组织需要实施预防工具(如防火墙、反病毒软件等),同时提供在其他预防类型的活动中修补的漏洞(如桌面配置的安全性、帐户管理和严格的密码策略等)。
但在过去几年里,检测的重要性迅速上升。攻击者已经进化了他们的能力——考虑到勒索软件和DDoS威胁等网络犯罪攻击的增加——以至于他们在执行这些攻击时没有被注意到。在美国电话电报公司的市场脉动:全球网络安全状态*中,他们发现,受害者通常会得知他们被第三方入侵,而不是自己发现这些入侵。
较小的组织,由于预算和时间有限,需要一种新的方法——将构建SOC所需的基本工具组合成一个可以被小团队轻松支持的工作流。这些基本的SOC功能包括资产发现、漏洞评估、行为监视、入侵检测和SIEM(安全信息和事件管理)。
在本章中,我们将回顾这些SOC工具的细节。我们将向你展示AlienVault USM是如何将SOC构建到单一平台中的。最后,我们将介绍Alien实验室威胁情报订阅和AlienVault OTX如何在AlienVault USM中提供这些基本功能。
关键要点:回顾构建SOC所需的基本安全监视工具:资产发现、漏洞评估、入侵检测、行为监视和SIEM /安全分析。通过使用像AlienVault USM这样的单一平台,将这些工具整合到一个地方,帮助在有限的时间和资源下实现SOC的成功。
5.2资产发现
为什么这很重要?
了解环境中的资产是了解安全状况的第一步。您需要知道哪些系统存在—实例和服务器—以及在这些系统上安装和运行了哪些系统(例如,应用程序、服务和活动端口)。可靠的资产清单以及发现新资产的自动化能力是构建SOC的基础。
我怎么和AlienVault USM合作呢?
AlienVault USM能够准确、近乎实时地获取您的云环境和本地资产的信息。在现场,USM平台扫描您的环境,从设备收集信息,以帮助确定操作系统、正在运行的服务和已安装的软件(通常不需要任何凭据)。为了发现云环境中的资产,USM平台直接挂钩到云提供商的api,从而让您立即看到云基础设施。AlienVault USM利用AWS®CloudWatch®和Microsoft Azure®Monitor等本地云服务从云环境收集数据并开始检测威胁。
功能聚焦资产详情
AlienVault USM中的资产发现和库存能力是专门为SOC分析师设计的。资产清单工具以简化SOC分析人员工作流的格式提供了高层次的上下文。
关键是,关于资产的所有安全相关信息都显示在一个视图中。通过单击资产细节,您可以查看与特定资产相关的所有漏洞、警报和事件。
5.3脆弱性评估
为什么这很重要?
漏洞是指攻击者用来渗透你的关键系统的微小漏洞。这通常被称为“攻击面”,这些微小的裂缝会在你最意想不到的时候出现。这就是为什么必须不断地评估整个it环境的漏洞。此外,您可能会受到各种各样的合同和法规要求(例如PCI DSS、SOX等),这些要求定期进行脆弱性评估以证明遵从性。
我怎么和AlienVault USM合作呢?
AlienVault USM包含一个内置的漏洞评估工具,可以让你有效地检测那些微小的漏洞。传统的网络漏洞扫描和分析方法很少关注可用性,而且对于那些身戴多顶帽子的IT人员来说似乎很麻烦,而AlienVault USM采用了一种不同的方法。它提供了一个统一的、易于使用的平台,通过资产发现、简化的用户界面和简单的调度来支持漏洞扫描软件,这样您就可以进行连续的漏洞评估,而不必手动管理该过程。提前安排扫描允许您轻松地管理您的网络漏洞扫描程序,并在高峰时间最小化关键服务的中断。如果您的关键基础设施包括云环境,AlienVault USM为您的Azure和AWS环境提供云漏洞扫描功能,使用云本地传感器,让您从一块玻璃上就可以看到云和内部环境。
近距离观察:USM中的脆弱性评估
定期自动扫描:创建每天、每周或每月在非高峰时间运行的扫描。当IT环境发生变化时,自动扫描允许持续可见的漏洞。
身份验证扫描:身份验证扫描通过使用主机凭据深入探测您的资产,寻找系统上运行的脆弱软件包、本地流程和服务来执行漏洞评估。
云基础设施扫描:USM使用专门构建的云传感器与云提供商直接交互,自动执行AWS和Azure环境的网络漏洞评估,包括资产、安全组和配置。
专题报道:
漏洞扫描调度程序
灵活性是做好脆弱性评估最重要的方面之一。在高峰时间,漏洞扫描可能会破坏网络和系统性能。为了应对这一挑战,AlienVault USM在设置特别和预定的漏洞扫描时,为SOC分析师提供了控制和灵活性。
USM无处不在,你可以:
•轻松设置针对单个资产、资产组甚至整个网络的扫描作业
将扫描安排成定期自动运行,以避免管理扫描程序时的猜测
•使用默认配置文件或创建自己的配置文件来控制所使用的技术和扫描强度级别
5.4行为监测
为什么这很重要?
最基本、最有效的网络安全监控归根结底是异常管理。哪些活动是正常的例外?(例如,策略违反、错误消息、出站网络活动的峰值、意外的重新引导等)所有这些工作所需要的是对“规范”的理解。创建系统和网络行为的基线为发现异常提供了必要的基础,而异常通常是环境中网络对手存在的信号。
为了捕获基线,关键是要结合行为监视技术来提供一个完整的、360度的视角。此外,对这些数据应用相关规则将帮助您识别和分类最新的风险,并捕获数据以支持深入的取证调查。
我怎么和AlienVault USM合作呢?
AlienVault USM在其平台中提供了完全集成的行为监控技术,包括用户在云环境和应用程序中的行为可见性。USM提供云访问日志(Microsoft Azure®Monitor, AWS®CloudTrail®,S3, ELB);AWS VPC流程监控;资产访问日志;和VMware访问日志。
5.5入侵检测
为什么这很重要?
在入侵点检测入侵者对减少系统泄漏和数据泄漏影响最大。这就是为什么入侵检测系统(IDSs)被认为是“必备”之一的原因。
SOC工具,用于识别已知的攻击和已知的攻击者活动。关键字是“已知”。“在现场,入侵检测系统基于相关规则进行操作,这些规则使用独特的入侵签名来检测已知的可疑活动模式。这意味着保持你的相关规则与最新的威胁情报更新是必要的,以便能够发现新出现的威胁。如果使用云基础设施,还需要记住一些传统的IDS方法是不够的,因为云提供商限制对底层网络流量的访问。有效的云IDS需要访问云AlienVault USM的管理平面,USM提供了三种类型的IDS技术,您可以在每个网络、每个资产组或每个服务器的基础上启用它们。网络入侵检测(NIDS)分析本地网络流量,以检测已知的攻击模式,这些模式指示恶意活动(例如恶意软件感染、策略违规、端口扫描等)。
USM平台的基于主机的入侵检测(HIDS)分析系统行为和配置,这些行为和配置可以指示系统的危害。这包括识别通用的rootkit、检测恶意进程和检测对关键配置文件的修改。此外,AlienVault USM提供云入侵检测系统(CIDS),包括AWS IDS和Azure IDS,后者是一个云本地解决方案,直接与每个云服务提供商的管理平面交互,在您的云环境中提供入侵检测。
Alien实验室安全研究团队不断地更新AlienVault USM以获取最新的威胁情报,并在威胁出现时添加新的相关规则、入侵签名和响应模板。外星人实验室提供的威胁情报研究是一个重要的扩展你的S〇C团队,让你关注的回应。
专题报道:
AlienVault USM与AT&T Alien实验室威胁情报的集成
在解释这种集成如何工作之前,了解Alien实验室安全研究团队如何开发其威胁情报更新是很重要的。通过专有的结合研究,与其他安全研究机构合作,从社区驱动的威胁和见解AlienVault开放威胁中的数据交换(第一项),Alien实验室安全研究团队收集每天数以百万计的威胁指标,包括恶意IP地址和网址,域名,恶意软件样本,和可疑的文件。Alien实验室团队从广泛的来源收集数据,包括:
•外部威胁供应商(如McAfee®、新兴威胁、VirusTotal®)
•开放资源(包括SANS Internet Storm中心、恶意软件域列表,以及与国家机构和学术界的合作)
•高交互度蜜罐,我们设置它来捕获最新的攻击者技术和工具;我们根据活动扩大蜜罐的实例
•社区以OTX“pulse”的形式提供威胁数据(OTX社区共享威胁信息的格式)
•AlienVault USM和AlienVault OSSIM™用户自愿提供匿名数据
接下来,自动系统和流程评估OTX收集的每个威胁指标的有效性和严重性,包括:
•贡献系统(用于恶意软件)
•URL系统(用于可疑的URL)
•IP信誉系统(用于可疑IP地址)
然后,我们使用由Alien实验室创建的威胁评估工具来测试和验证特定的威胁指标。这些评估过程包括恶意软件分析器、DNS分析器、Web分析器和僵尸网络监视器。经过验证的威胁数据也通过OTX门户与OTX社区共享。
然后,Alien实验室团队对这些威胁进行了更深入的定性和定量分析。例如,对恶意软件样本进行逆向工程,或对特定的威胁行动者及其基础设施进行广泛研究,以检测行为和方法的模式。
Alien实验室团队通过订阅Alien实验室威胁情报向USM平台提供关于威胁和攻击基础设施的所有信息。该团队定期更新8个协调的规则集,包括相关指令、IDS签名和响应模板,这消除了组织对自己的系统进行调优的需要。被分析的威胁数据也被反馈到Alien实验室团队的分析系统和工具中,使他们能够对未来的威胁指标进行关联。
5.6SIEM
为什么这很重要?
通过网络收集和分析系统事件提供了大量的原始资源,您可以使用它们来挖掘可疑活动。安全信息和事件管理(SIEM)工具的开发基于这样的假设:通过查找特定的活动模式和事件序列,您可以帮助检测网络攻击,并验证和演示法规遵从性。SIEM工具为构建SOC提供了核心基础,因为它们能够针对大量不同的事件日志数据应用动态关联规则,以发现最新的威胁。
SIEM秘方:威胁的情报
即使我们有一整章的内容是关于威胁情报的,我们仍然觉得有必要强调动态威胁情报对于你的SIEM的价值以及你的SOC的整体功能是多么的重要。如果没有威胁情报,你的SIEM就不会有警报,也不会有有趣的报告需要审查。虽然没有需要响应的警报(因为这意味着没有任何问题或您正在度假)是件好事,但这基本上意味着对原始事件日志数据没有进行相关性或分析。或者,你可能有一些样本或DIY相关规则作为起点,但你不再寻找最新的威胁,因为自从LoveBug病毒以来,你的威胁情报一直没有更新。
关键是……威胁在不断演变,网络攻击者在不断升级他们的游戏,你的SOC也必须如此。随着新的指标和对策被发现、收集、共享、分析和实施,我们所有人都会给坏人制造麻烦。这就是为什么我们构建了平台(AlienVault USM)、社区(OTX)和威胁研究团队(Alien Labs)来为几乎所有团队创建一个SOC来实现——无论大小。
我怎么和AlienVault USM合作呢?
AlienVault USM将所有必要的安全监控技术(包括SIEM)整合到一个平台上。我们的SIEM功能对来自不同来源的事件日志数据进行规范化和分析,并应用由Alien Labs安全研究团队开发和维护的相关规则来发现和分类潜在威胁。当关联规则触发警报时,事件和活动的详细信息将根据事件分类进行分类,该分类基于洛克希德·马丁公司(Lockheed Martin)的网络攻击链(行业标准)的简化版本。这种事件分类使SOC分析人员能够优先关注哪些事件,以便快速响应和调查。
此外,USM平台的相关逻辑转换为丰富且高度详细的、准备好的遵从性数据。对来自成百上千个系统的原始事件日志数据进行聚合和分析,以识别策略违规并向审计人员演示遵从性。
由于您可能没有时间、预算或资源来不断研究全球威胁的前景,所以不要担心。外星人实验室的安全研究小组为你做了这件事。凭借其内置的威胁情报订阅,AlienVault USM平台定期更新如下:
•新的和先进的相关指令,以帮助找到最新的威胁之间的活动在您的网络
•新的IDS签名,帮助检测网络和服务器上出现的威胁
•新的漏洞检查,以确保系统和应用程序得到有效修补
•新的资产发现签名,用于准确的资产清单
•动态IP声誉数据,帮助检测最新已知的坏对手的活动
•新的数据源插件使用更多的原始事件日志数据
更新的报告模板,以帮助演示与PCI DSS, HIPAA和更多的依从性
•帮助发现新出现的威胁和上下文相关的补救的最新指导
•分析恶意软件的贡献系统
Alien实验室团队还利用了OTX的力量,OTX是世界上最大的威胁数据众包库,为全球提供关于攻击趋势和坏人的洞察。由安全专家组成的Alien实验室团队分析、验证和管理OTX社区收集的全球威胁数据。
Alien实验室安全研究团队通过提供威胁情报,帮助最大限度地提高安全监控程序的效率,您可以依赖这些情报来理解和解决您的网络中最关键的问题。
我们执行分析,允许您将宝贵的时间用于缓解威胁,而不是研究它们。
专题报道:
AlienVault USM安全仪表盘和可视化
如果你不能衡量它,你就不能管理它。这是各行各业、各地区数以百万计的商界人士最爱说的一句话。尤其是现在,我们发现自己身处大数据时代。
然而,正如许多IT专业人士所发现的那样,如果没有对大数据进行分类和解释的能力,大数据就毫无意义。
为了帮助你使用你的安全数据,AlienVault USM包括直观的仪表盘和清晰的可视化。USM平台允许您:
•快速评估您的关键基础设施的安全状态
•容易区分警报和漏洞的优先级
•立即采取行动,应对新的威胁
•用简洁的可视化处理数据
此外,您可以深入USM平台的仪表板,查看影响您的关键基础设施的威胁和漏洞的详细信息。
六、第四章:威胁情报
威胁情报
背景+归因+行动
监视您的环境中的不法活动,假设您知道那些不法分子在做什么,“它”是什么样子的,以及如何在您的关键基础设施中找到这种活动:“面包屑”。
有了这么多的信息,你实际上不可能走得那么远。作为进行深入调查的SOC分析人员,您需要能够将这些“面包屑”归因于特定的对手、了解他们的方法、了解他们的工具、识别他们的基础设施,然后构建对抗措施以防止来自他们的攻击。
有些人可能会把这些面包屑或指标(lOCs:妥协指标)称为威胁情报。这远非事实。就其本身而言,没有任何上下文,它们仅作为人工制品或线索而存在。他们可以用来开始调查,但他们依靠上下文,归因,和行动成为高质量的威胁情报,这是必不可少的建设一个SOC。
理解战术、战略和作战情报之间的区别,以及在构建SOC时使用这些区别的具体方法。研究众包和专有数据源结合的好处,并探索AlienVault OTX和Alien实验室安全研究团队的关键方面。
归因
了解谁是攻击的幕后黑手是了解如何应对攻击的一个重要部分,包括了解攻击的全部范围,以及应对攻击的关键策略。这与联邦调查局使用档案追踪嫌疑犯的方法非常相似。意图和动机是分析犯罪行为的主要因素,同样适用于网络安全领域。很容易陷入特定攻击的技术方面以及漏洞利用的工作方式。但别忘了,这些工具背后有一张人性的面孔,要么是利益驱动,要么是其他不良意图。了解这些细节会让你在揭露他们的工作以及如何建立更好的对策方面占得上风。
行动
只有当你能用你所知道的去做一些事情的时候,知道一些事情才是有价值的。就其本质而言,威胁情报的价值是短暂的。今天你可能发现的攻击细节可能在一周或一个月内就失去了价值。因为,正如我们所知,世界是不断变化的。攻击者也在不断变化。
他们改变他们的方法、工具和基础设施。这就是为什么要尽快对你的发现采取行动,而它仍然是当前的,真实的,并反映当前的风险。事实上,如果你不能实现你目前收集的情报,比如改进的监控、积极的防御和更好的决策,你可能根本就没有情报。
有了这三个要素——背景、归因和行动威胁情报,就可以实现它的基本目标:协助SOC团队做出正确的决策,以防止攻击,并减少发现攻击的时间。它还可以帮助SOC团队确定他们需要获得高管关注和赞助的紧迫性。
为SOC团队提供三种类型的威胁情报
下表概述了三种类型的威胁情报——战术、战略和作战——背景、属性和行动,并为构建SOC奠定了坚实的基础。
威胁情报的方法
有几个选择,以采购威胁情报,将饲料你的SOC,这是有帮助的,以了解什么是每个表。请记住,美国电话电报公司(AT&T)的网络安全已将上述每一种方法纳入USM平台。
众包
业内最好的创新之一是由网络安全社区本身推动的。SOC分析师明白,我们都在收集和分析大量的威胁信息。
当这些信息被共享,SOC团队可以与其他团队合作,研究最新的威胁以及如何减轻威胁时,我们就可以团结起来,让攻击者更难孤立我们中的任何一个。
AlienVault OTX是世界上第一个真正开放的威胁情报社区,通过开放访问、协作研究、与USM平台的无缝集成以及其他安全产品的插件功能,实现协作防御。OTX使OTX社区中的每个人都能够积极协作,增强他们自己的防御,同时帮助其他人也这样做。
专有的
许多网络安全硬件和软件供应商(包括反病毒、防火墙、IDS等)根据他们从客户和自己的威胁研究团队收集的信息,提供自己专有的威胁情报。通常,专有的威胁情报来源在收集和分析最新的威胁数据时依赖于各种不同的来源,这导致了低误报;高保真度、高可信度分析;以及各种格式(提要),以实现到您的安全监视基础设施中。
由Alien Labs Security Research Team提供的威胁情报可以帮助那些没有时间研究最新威胁并编写规则来检测这些威胁的IT从业者。安全研究团队花了无数个小时来描绘不同类型的攻击、最新的威胁、可疑行为、漏洞和他们在整个威胁场景中发现的漏洞。它定期以相关指令、IDS签名、漏洞审计、资产发现签名、IP信誉数据、数据源插件和报告模板的形式向AlienVault USM平台发布威胁情报更新。
自己动手(DIY)
有了OSINT(开源情报或公共情报)资源的数量,理论上可以“编写自己的”相关规则或签名来检测特定的攻击或攻击模式。你可以从AlienVault OTX下载IOCs或向VirusTotal®提交恶意软件样本,然后手动编写相关规则并将它们应用到你的日志数据中,以便在你的环境中检测它们。但是一想到所有的工作就会让你头晕目眩。对于每天发布的成千上万个漏洞来说,这样的手工过程是不可持续的。对于一个时间和资源有限的小团队来说,这是不可能的。您需要帮助,以跟上最新的威胁,因为他们的变化。