来自 防护 2022-06-09 02:40 的文章

香港高防ip_网络安全解决方案_打不死

香港高防ip_网络安全解决方案_打不死

警报和检测策略框架Palantirfollow2017年12月20日11分钟阅读

警报和检测策略(ADS)是有效事件响应(IR)和检测团队的关键要求之一。运作良好的IR团队投入时间和精力开发新的警报假设。如果做得好,一个新的广告可以提供非常强的信号进入异常和潜在的恶意活动。如果做得不好,IR团队可能会发出大量低信号警报,造成疲劳、士气问题,并最终对其探测和根除邪恶的任务产生净负面影响。

这篇博客文章详细介绍了Palantir的IR团队如何开发广告,我们使用的流程框架,以及我们在早期警报开发中遇到的陷阱。此外,我们正在GitHub存储库上发布示例广告。GitHub项目为希望提高其检测策略效率的组织采用该框架提供了必要的构建块,我们希望分享我们内部广告的一个子集有助于更广泛地激发讨论和分享警报。

框架的案例

广告框架是一套关于广告设计、实施和推广的文档模板、流程和约定。在商定此类框架之前,在警报策略的实施方面,我们面临着重大挑战:缺乏严格性、文档、同行审查和总体质量标准,使得低质量警报无法部署到生产系统中。这经常导致警报冷漠或额外的工程时间和资源来修复和更新警报。临时或不成熟警报开发遇到的一些潜在问题包括:

警报没有足够的文档。

待命工程师可能不熟悉软件或目标操作系统。可能缺乏关于什么可能构成误报的明确指导。可能没有针对真正攻击的响应计划。

警报未经耐久性验证。

警报可能基于狭义标准,这会产生误报。警报可能基于过于宽泛的标准,这会产生误报。警报可能依赖于不正确的假设、不一致的数据源,或技术。

生产前未审查警报。

可能不需要变更控制。警报的优先级可能不一致或定义不明确。警报在实施过程中可能没有真正的积极测试。

ADS框架

我们的ADS框架旨在缓解上述问题。它帮助我们构建假设生成、测试、,ddos云端防御,以及新广告的管理。该框架包括以下部分:

目标分类战略摘要技术背景盲点和假设其他积极性验证优先响应传统资源

在部署新广告之前,必须完成并审查每个部分。这保证了任何给定警报都有足够的可用性文件,进行耐久性验证,ddos攻击防御权衡,并在生产部署前进行审查。我们的所有生产或草稿警报都根据此模板进行记录,并且文档存储在持久、版本控制和集中的位置(如Wiki、GitHub条目等)。

广告的后续更改,如修改白名单、更改策略或注意其他盲点,应在修改时纳入ADS文档。在内部,我们使用类似于GitHub的模型,在该模型中,任何功能请求或缺陷都会作为相应ADS的问题打开。一名待命工程师将对相应的缺陷或功能请求进行分类,进行更改,然后在解决问题之前更新ADS文档。此过程确保ADS文档保持最新,同时保留更改的审核跟踪。现在让我们更详细地看一下这些部分。

目标对广告应该检测到的行为类型给出了简短的明文描述。分类将广告映射到米特对抗战术、技术和常识(ATT&CK)框架中的相关条目。ATT&CK为对手可能使用的各种攻击后技术和策略提供了一种语言。映射到ATT&CK框架允许对该技术进行进一步调查,提供将使用ADS的杀手链区域的参考,并可以进一步推动洞察和度量警报缺口。在我们的环境中,我们有一个知识库,将我们的所有广告映射到MITRE ATT&CK框架的各个组件。当生成新警报的假设时,云操作系统防御ddos系统,工程师可以根据单个ATT&CK技术简单地检查我们最强或最弱的位置。战略摘要是关于广告如何运作的高级演练。这描述了警报要查找的内容、使用的技术数据源、发生的任何充实以及任何误报最小化步骤。技术上下文提供响应者了解警报所有组件所需的详细信息和背景。这应适当链接到任何平台或工具知识,并应包括有关警报直接方面的信息。技术背景部分的目标是为响应者提供一个独立的参考,以便对任何潜在警报做出判断,即使他们对广告本身没有直接的主题专业知识。盲点和假设是公认的问题、假设和广告可能不会触发的区域。没有一个广告是完美的,识别假设和盲点可以帮助其他工程师了解广告如何无法发射或被对手击败。误报是已知的由于错误配置、环境中的特殊性或其他非恶意场景而导致广告失败的实例。应在安全信息和事件管理工具(SIEM)中抑制这些误报警报,以防止在发生已知误报事件时生成警报。验证列出了生成触发此警报的代表性真阳性事件所需的步骤。这类似于单元测试,描述了工程师如何激发ADS。这可以是用于生成警报的步骤演练、触发ADS的脚本(如Red Canary的原子红色团队测试)或警报测试和编排平台中使用的场景。优先级描述了广告可能标记的各种警报级别。虽然警报本身应反映通过SIEM中的配置触发警报时的优先级(例如,高、中、低),但本节详细说明了特定优先级的标准。响应是触发此警报时的一般响应步骤。这些步骤指导下一个响应者对警报进行分类和调查的过程。其他资源是可能有助于理解ADS的任何其他内部、外部或技术参考。

案例研究:Python Empyre警报