高防_湖州高防服务器_超高防御

今天，许多组织正在从系统、应用程序和网络设备收集日志数据，以生成操作统计数据和/或异常行为警报。然而，这种方法的一个主要缺点是，有价值的安全数据通常在日志数据中不可见。这就省去了谜团中一个重要的部分：上下文。安全数据不仅仅是大数据，cdn高防服务，它是病态的肥胖数据。我们收集的数据有价值，如何起到防御ddos，但价值在于分析，ddos防御10g，而不是数据本身。在安全日志中看到文件哈希或IP地址有边际价值；但是，代码防御cc攻击，在确定文件哈希或IP地址与已知的攻击向量关联时，会有令人难以置信的价值。对许多组织来说，采用网络威胁情报可能很难实现。一些安全工具允许复杂的集成，而其他工具则几乎不允许集成。您是否应该购买更多的安全工具来拼凑出一个全面但不连接的解决方案？这是可能的，但它将是难以置信的昂贵。相反，有一些开源的选项可以把你的威胁情报噩梦变成梦境。采用威胁情报的第一步是决定消费的形式。你可能会说，但是特拉维斯，我希望能够采用所有的格式；你绝对是对的。我的观点是，我们应该先走后跑，所以我将重点介绍一种更适合我需要的可用格式：Mitre/Oasis的taxi、STIX和CybOX。这些格式允许您定义非常复杂的妥协指标或漏洞利用指标，添加上下文并与同事分享。获得妥协指标（IoC）数据是这个复杂难题的第一块。下一步是能够以有价值的方式存储和利用IoC数据。我更喜欢使用的工具是CSIRT维护的集体智能框架。CIF是一个很好的开源工具，可以从网上收集各种来源的威胁情报，也可以让你自己输入。CIF内置的开放api使其成为集成到现有或新工具中的理想威胁情报候选。我集成到CIF中的第一个工具是ELK堆栈。Logstash是一个日志规范化工具，它可以解析出我们利用威胁情报所需的信息。一个方便的翻译插件用于将解析的数据转换为威胁情报查找。任何输出数据的工具现在都可以输入Logstash并获得实时的威胁情报查询。我用来集成到CIF中的第二个工具是TARDIS，免费cc攻击防御，这是我去年发布的一个开源IoC解析器。虽然前面讨论的实时检测很好，但是及时回顾并发现针对您的环境的攻击同样有价值。使用TARDIS，我们可以从CIF获取IoC数据，并寻找妥协和/或利用的证据。 我将在今年的RSA安全会议上详细介绍这些解决方案。请于3月2日星期三上午10:20到莫斯科尼中心的2006房间与我一起学习如何使用这些工具。我将深入研究如何定制Logstash、Elasticsearch和威胁情报，以获得Kibana可视化的实时安全上下文。我还将演示TARDIS框架如何为您的威胁情报集成添加时间上下文。 图片由Shutterstock.com网站