MSSP 每天都处理大量警报——但最成功的合作伙伴如何管理涌入的警报?
此 的MSSP 业界已经看到对 MSP 的攻击显着增加 MSSP合作伙伴 今年。 这导致了对所有事物的几次新攻击,从 RMM 工具 到应用程序。 我们每天都要处理大量的警报——那么最成功的合作伙伴是如何处理这个问题的呢?
从杀伤链开始。 今天最流行的框架是 迈特 攻击框架。如果您能从这个角度看待您的警报,就可以开始减少您的损失。 SOC 团队的工作量将大幅减少。首先从侦察阶段开始。为什么要从这里开始?因为如果能在攻击者站稳脚跟之前切断连接,就能省去团队目前大部分的搜寻和清理工作。
一个很好的例子是 日志4j. 在过去一个月左右的时间里,这一直是个大麻烦。 许多攻击者正在利用这一点,因为目前它会产生如此多的噪音。 在某种程度上,它通过多个攻击组的众包被放大了——使用它的攻击者越多,你看到的与之相关的警报就越多。
这些初始扫描不会提供任何有效负载,但它们确实为您创造了大量工作 SOC. 如果您可以将扫描连接到与网络中资产的通信,则可以限制您对客户的实际威胁的响应。 这是一个机器学习可以显着提高成功机会的领域。
利用无监督机器学习,您可以确定特定机器是否曾与外部主机通信或运行特定应用程序,例如 日志4j. 更重要的是,您还可以检测数据是否被泄露。 Stellar Cyber 开发了一个平台,可以将其映射到 迈特 攻击框架,以快速识别此行为,将其置于杀伤链中,并推荐补救策略。 在此背景下,您可以采取更有针对性的方法进行响应,而无需从多个供应商处购买或部署特殊检测。
此外,如果您检测到与已知恶意主机的连接,您可以在防火墙和设备上自动终止连接。 使用自动威胁搜寻规则,您可以选择检测、设置条件和 恒星网络平台 可以通过与您的防火墙集成来启动响应,并且 EDR 工具. 最终,这完成了三个非常重要的事情:
- 减少检测实际事件的时间。
- 调出噪音。
- 自动响应以降低风险。
当您拥有一个完全集成的平台来执行这些任务时,这很简单。 如果您有兴趣了解更多,请联系 布莱恩·斯通纳(Brian Stoner) 在恒星网络。
