来自 应用 2021-07-13 04:15 的文章

ddos防御_ddos清洗费用_免费测试

ddos防御_ddos清洗费用_免费测试

Daniel Dallmann,高级信息安全工程师,是Payworks的客座博主,也是一位很有价值的LogRhy投稿人。Dan是LogRhym第三届年度用户大会Rhythworld的SOAR客户小组成员,他非常慷慨地与我们的博客读者分享了他在会议上提出的一些标记模式。如果您是logrythym用户,cc防御哪家好,那么您可能已经在日常的案例管理方面涉猎了不少。无论您是在处理警报还是处理报告的问题和事件,案例管理都为您提供了协作、存储证据、启动行动手册以及完成事件管理流程所需的工具。但是案例管理编辑器中的标签部分呢?如果你没有以某种方式探索过Case标签,那么你并不孤单。对Rhythymworld 2019 SOAR用户小组的一项快速民意调查显示,许多logrythym用户并不使用该功能,代理服务器防御ddos,即使他们愿意。他们只是不知道从哪里开始。LogRhym案例标签介绍logrythm的Case-Tags特性非常灵活和动态。有了这个功能,你可以标记任何你想要的,你想要的。我的团队首先在这个主题的博客文章中介绍了案例管理标签。我们看到了使用标记可以为案例和事件添加的详细程度,并受到启发使用标记模式。作为一个中小型企业(SME),我们发现LogRhym的博客文章中描述的分类法对于我们当时需要的部门报告来说是相当先进的。因此,我们集思广益地讨论了我们认为哪种类型的信息在高层次上最有价值,这不仅有助于改进分析过程,也有助于深入了解安全运营中心(SOC)处理的案例类型。我们如何建立标签分类法使用Case标记可能非常强大,但是如果没有正确定义的模式和标记准则,它可能会很快变成混乱。标签只有在一致的情况下才有效。我们的团队一起创建了一个类似下图的分类法。在较高的层次上,我们提出了一组主要属性,这些属性被分配了一个前缀,如1_u,以便于识别。我们创建的每个案例都遵循一个循序渐进的案例标记行动手册,其中规定每个案例应该有一个或多个主要案例分类,以及一个适用的子分类。随着案例的进展,您可以包括一个或多个相关的子分类,这些子分类也将具有一个前缀,以指示它从哪个主分类派生。如果子分类不存在,那么您可以考虑创建一个子分类以用于跟踪和报告。图1:示例标记分类法如何使用"动态标记"改进筛选除了主分类法之外,您还可以使用我所称的动态标记。动态标记与个人、资产、实体或环境相关,只需标记用户名、电子邮件地址、身份、计算机或资产名称即可创建动态标记。动态标签有很多好处。它们帮助您的团队深入研究与特定用户或资产相关的案例,并为上下文案例搜索和报告建立一个良好的基础。图2:使用标签过滤案例工作流和用例让我们来看看一个真实的场景,分析人员将如何在日常基础上使用标记。在用户的某个端点上,您会收到可疑的web浏览活动警报。你还没有收到任何其他确凿的警报,但这不是你今天收到的第一个这样的警报。在对警报日志进行初步深入查看后,您确定此活动需要额外的分析。因为这不是当今环境中的第一次,所以您可以创建一个案例来跟踪您的工作和活动。由于案件本质上主要是技术性的,开发防御ddos,所以您添加了[1_technical]威胁标签。使用您收集的信息,您还认为它可能与恶意软件有关,因此添加了[T_malware]标签。图3:在案例中添加更多标记您可以指定与动态标记相关的资产和个人,以便可以将这些属性与案例一起分配。你的动态标签是:[janedoe][janedoe@yourdomain.com],[desktop-a135v]。图4:在案例中添加动态标记接下来,运行与属性和动态标记关联的事件和日志的搜索。在更彻底的调查之后,你注意到没有其他确凿的证据表明用户或计算机有问题。您继续研究,最终确定是假阳性,并添加了[1_false pos]标签。您已经在两个不同的资产上看到这个警报两次了,所以您决定对AI引擎进行配置更改™ 应该制定规则来帮助减少误报。您可以将排除过滤器添加到AI引擎规则中,并将[1_EXCEPTION]标记附加到案例中。图5:一个异常标记被添加到案例中你把相关的笔记和证据添加到案件中,然后结案!在您有机会完成此过程几次之后,您将能够引用您在以前案例中添加的标记,这些标记将有助于您的团队:在调查过程中迅速发现相关事件。创建部门级报告,以总结不同用户、计算机和环境的行为。对可能导致运营成本上升的事件有更多的可见性。例如,标记可以帮助您筛选导致计算机扫描后重建的恶意软件案例的数量。建立自己的分类法的技巧以下是一些可以帮助您构建自己的分类法的技巧。您甚至可以使用这些技巧来构建上述示例。看看LogRhym的博客。关于用案例管理优化绩效的帖子可以提供更多的想法和概念。简单至上。将标签的数量保持在最低限度,尤其是如果你的标签系统是手动的。然而,ddos与防御相关的论文题目,使用logrythreapi和SmartResponse总是有实现自动化的空间™ 自动化。logrythresponse有很多资源,比如SmartResponse™ 自动化插件库,让你熟悉他们支持的插件。团队协作是关键。与你的分析团队合作开发一个有效的标签系统。请参阅提示1以帮助您的团队开始工作。在静态标记上附加前缀。这将使它们易于识别。确定您将一致使用哪些标准作为动态标记。考虑人员、用户名、计算机或资产名称。首先,我建议您避免将文件完整性校验和(md5、sha1、sha256)存储为标记。这种方法很快就会变得混乱,而且可能无法提供立竿见影的价值。利用案例管理仪表板和小部件,使您能够混合和匹配标记。例如,有多少与恶意软件相关的案例导致计算机重建,或者有多少案例具有假阳性警报,该警报还导致配置更改,以减少将来的误报通知。创建一个案例剧本**,概述如何以及何时使用标签系统。Playbooks在平台内提供了一个易于使用的参考指南。让分析员使用剧本几次,这样他们就可以快速掌握概念,并考虑制作一个像我上面分享的那样的图表,让事情变得更简单、更快。您在组织中使用什么分类法?请在下面的评论中告诉我们并提供反馈。我们还鼓励您与社区中的其他logrymethy用户共享您自己的标记模式或问题。Dan是一个很有价值的logryth贡献者,cdn高防应急中心,已经获得了40个社区徽章。LinkedIn Twitter Facebook Reddit电子邮件