安全操作规程核心(SOCs)碰到的危害迅速就会从传统的的互联网攻击转化成大范畴的毁灭性勒索病毒攻击,乃至是错综复杂的专制制度攻击。在这样的情况下,现阶段根据警报开展的分流和补救对策有可能会不成功。
尽管警报是一个非常好的调研起始点,但这些并无法协助防御者合理地补救攻击的严重后果、危害和扩散。安全性精英团队必须从独立的警报序列变化为可以解决全部端到端攻击的事件。
从根据警报的分流和补救系统软件转为紧紧围绕全方位的事件补救而创建的操作系统有很大的优点,包含省时省力和資源,大大的缓解安全性精英团队的压力,及其全方位加强创建在零信任和深层防御力方式上的可靠趋势。
事件主视图让剖析工作人员马上见到大局意识,掌握攻击的严重后果和水平,这有利于SOC对重要事件开展优先选择排列,并制订一个聪明的行动方案。它还大大减少了数据分析员序列中的工作项目。
关联性给予了运动是故意的自信心,因而事件获得更快、更非常容易的分流。明确事件中的一个主题活动是故意的,就会对全部事件判罪,这有利于清除阳性事件。
事件使剖析工作人员可以发觉屠戮链中的 "空缺",并借助将事件中的警报与MITRE ATT&CK知识库系统中的技术性和战略开展投射,依据前后文弥补那些空缺。例如,如果我们见到事件中的原始浏览和横着移动活动,大家就可以运用这一点来发觉这些不能开启警报的持续性、指引和操控及其凭据偷盗战略。我们可以根据实行途径全自动回退,寻找最开始的进到点,并往前翻转以揭露攻击的所有范畴--这对决策怎样抵制危害、驱赶攻击者和补救财产损害尤为重要。
由于我们都是对于事件而不是单独警报付诸行动,因此SOC手机游戏指南还可以对于全部事件。这清除了 "追求 "单独警报的必须,并达到了长久的更高端的具体指导,不容易由于每一个新的警报种类而更改。在搞清事件的危害后,手机游戏指南现在可以清晰地鉴别、优先选择考虑到和融洽抵制流程,便于一次性地彻底驱赶攻击者。
最终,事件实体模型将全部受影响的财产搜集到一个相同的桶中,进而可以全方位实行补救对策。
伴随着危害安全防护的发展趋势,SOC必须更改和拓展其步骤。马上采用四项行为来逐渐这一旅途。
1. 从警报到事件的归类
无论您的SOC应用SIEM或是XDR网络安全产品开展原始分流,都需要保证它能在警报以上明确提出更有意义的有关事件。依据对你而言很重要的主要参数,如该危害的不确定性风险性、技术性的标准和破坏链的进度,及其受影响财产的必要性,对你的事件序列开展优先选择排列。
将您的 SOC 操作指南与钓鱼攻击、勒索病毒和广告推送等事件类型相符合。对于每一个事件类型,界定 SOC 投资分析师应采用的对策,以迅速掌握该事件是真真正正的危害或是虚惊一场,并马上阻拦其发展趋势。
依据环节或技术性,为调研某些事件警报给予具体指导。保证发觉并捕获事件中的全部攻击者主题活动和受影响财产--这造成了事件补救方案的基本。
最终,在充分考虑了全部事件(包含全部受影响的资金和直接证据)后,在受影响的资本中启用补救对策,使其修复到整洁的运转情况。
2. 自动化技术
以结构型和长久的形式将SOC的手机游戏指南投射到事件上,可以完成融洽的步骤自动化技术。有一些事件类型可以彻底全自动解决,并在不用SOC关心的情形下获得摆正的处理。针对别的事件,有一些一部分可能是自动化技术的(例如,原始分流、大批量修补),而别的必须专业技能的部位依然是人工的(例如,调研)。自动化技术应当运用事件图来明确在哪儿及其怎样帮助数据分析员,节约反复的手工制作工作中,并使SOC可以致力于更繁杂和高危的事件。
3. 带上精英团队一起行为
花时间表述与有关事件协作的益处,及其这类方式怎样更改防御者的手机游戏。探寻MITRE ATT&CK架构,并运用它来搭建你的SOC手机游戏指南的事件具体指导,使其具备扩展性和耐用性。当一个新的警报检验到渗入,而且它被投射到恰当的战略或技术性,目前的具体指导适用,不用特别的警报上机操作或新的具体指导。
纪录对此前实例采用的行为--集成化到你的安全工具中--并运用这种信息来协助剖析工作人员掌握怎样能够更好地解决新的事件,并伴随時间的变化调节步骤。将这种工作经验拓展到所有领域的协作中,可以为机构和全部安全社区产生较大的益处。
4. 先试后买
找寻一种网络安全产品,使您的机构可以转为事件并适用这类SOC步骤的演化。它应当完成将警报全自动关系到事件、优先、事件归类,及其在事件和警报方面将您的SOC手机游戏指南投射到MITRE ATT&CK战略和技术性的工作能力。
别忘记订制,每一个机构都是有自身的喜好和独特步骤。找寻可以依据机构内部结构和全部领域的事件历史时间融合行为提议的商品。