警报,事件,事件:您的安全团队应集中精力放在哪里?

警报,事件,突发事件:您的安全团队应将重点放在哪里

正如 网络安全 威胁格局在不断发展,我们应对这些威胁的方式也在不断发展。 新的违规行为持续不断。 如果您阅读该新闻,就会被认为是攻击者在攻击中仅利用了一种主要策略。 事故 违背他们的目标。 事实并非如此,我们需要一种描述和跟踪这些事件的新方法。

期限 ALERTEVENT 需要明确定义。 如今,SOC团队使用许多不同的技术来检测威胁。 许多大客户在深度防御中拥有30种或更多的安全技术。 这些技术中的每一项都会生成自己的特定警报。 这是工作 SOC分析师 审查这些单独的警报,并将它们关联起来并合并为 新闻。 需要经验丰富的分析师来编写规则以连接不同的 ALERTS 他们正在观察 新闻 或将大量相同的ALERTS重复数据删除到一个事件中。

攻击者知道这是一个手动的耗时过程。 他们利用多种策略使SOC分析人员不知所措 ALERTS 从他们的安全工具。 例如,攻击者可能利用已知的漏洞来生成大量IDS事件。 如果他们成功了,这将使他们分心 SOC 球队。

在处理这些IDS事件时,攻击者可能已经通过蛮力登录到其关键服务器之一而在环境中建立了立足点。 接下来,他们可以从该关键服务器扫描内部网络。 如果他们在环境中使用SQL数据库中的关键数据找到另一台服务器,则可以对其进行攻击并运行SQL dump命令。 这会将数据库的全部内容放入一个文件中,该文件可以在它们创建的DNS隧道中通过外部IP地址进行渗透。

这是一个非常简单的例子,说明了 事故。 多个事件需要与事件相关。 这是一个简单的层次结构:

有了大量的ALERTS,我们需要研究如何利用技术来帮助分类和关联,以提高SOC的有效性。 跨此数据集利用的人工智能和机器学习可能是一个非常强大的工具。

  • 监督机器学习 –能够检测以前无法识别的文件,域名和URL。 这是通常在以下位置找到的数据 ALERTS.
  • 无监督机器学习 –为网络,设备和用户制定正常行为的基准。 通过关联和合并,可以检测到客户网络中的事件 ALERTS.
  • 深度机器学习 –查看整个环境中的威胁情况,并寻找联系。 能够关联 新闻突发事件.

新的 机器识别 还可以帮助计分一个事件或一个事件。 当安全分析人员查看未解决的事件时,这使他们可以选择优先级最高的事件,并立即做出响应。

正确利用它们有可能更快地识别连接的威胁,因此 SOC 分析人员可以专注于补救措施,而不是关联警报以进行检测,并在此过程中从被动立场转变为主动立场。