として サイバーセキュリティー 脅威の状況は進化しており、脅威に対する見方も変化しています。新たな侵害の報告は絶え間なく続いています。ニュースを読むと、攻撃者が攻撃に利用する主な戦術は1つしかないと思わされるでしょう。 INCIDENT 標的に対して攻撃が行われているわけではありません。これはまったく事実ではなく、こうしたイベントを記述し追跡するための新しい方法が必要です。
用語 ALERT の三脚と EVENT 明確に定義する必要がある。今日 SOC チームは脅威を検知するために様々な技術を活用しています。多くの大規模顧客は、多層防御アーキテクチャに30以上のセキュリティ技術を導入しています。これらの技術はそれぞれ独自のアラートを生成します。 SOC アナリスト これらの個々のアラートを確認し、相関させて組み合わせることで イベント異なるデータを結びつけるルールを書くには、経験豊富なアナリストが必要です。 アラート 彼らは見ている イベント または、多数の同じアラートを単一のイベントに重複排除します。
攻撃者は、これが時間のかかる手作業であることを知っています。彼らは複数の戦術を駆使して、攻撃者を圧倒します。 SOC アナリストと アラート セキュリティツールから攻撃者が侵入する。例えば、攻撃者は既知のエクスプロイトを利用して多数のIDSイベントを生成する。攻撃が成功すれば、攻撃者にとって大きな混乱が生じる。 SOC フォーム。
攻撃者は、これらの IDS イベントに対処している間に、重要なサーバーの 1 つにブルート フォース ログインして、すでに環境内に足場を築いている可能性があります。次に、その重要なサーバーから内部ネットワークをスキャンできます。環境内に SQL データベースに重要なデータがある別のサーバーが見つかった場合、そのサーバーを侵害して SQL ダンプ コマンドを実行できます。これにより、データベースの内容全体がファイルに書き込まれ、外部 IP アドレスに作成された DNS トンネルを通じて外部に持ち出すことができます。
これは、 INCIDENT複数のイベントをインシデントに関連付ける必要があります。簡単な階層は次のとおりです。
アラートの数が膨大であるため、分類と相関関係の分析に役立てる技術をどのように活用して、アラートの有効性を向上させるかを検討する必要がある。 SOCこのデータセット全体で活用される人工知能と機械学習は、非常に強力なツールになり得ます。
- 教師あり機械学習 – これまで識別できなかったファイル、ドメイン名、URLを検出できます。これは、 アラート.
- 教師なし機械学習 – ネットワーク、デバイス、ユーザーの通常の動作のベースラインを作成します。これにより、相関関係と組み合わせによって顧客ネットワーク内のイベントを検出できます。 アラート.
- ディープマシンラーニング – 環境全体の脅威の状況を把握し、関連性を探します。相関関係を分析できます。 イベント に インシデント.
その 機械学習 イベントやインシデントのスコアリングにも役立ちます。セキュリティ アナリストが未解決のインシデントを確認するときに、最も優先度の高いインシデントを選択し、すぐに対応することができます。
適切に活用すれば、接続された脅威をより早く特定できる可能性があり、 SOC アナリストは、検出のためにアラートを相関させるのではなく修復に集中し、そのプロセスにおいてリアクティブからプロアクティブのスタンスに移行できます。
