来自 DDOS 2021-02-20 07:10 的文章

阿里云抗ddos_能不能防_阿里云服务器防御购买

阿里云抗ddos_能不能防_阿里云服务器防御购买

今天的组织在检测能力方面存在差距。像Mandiant M-Trends报告这样的研究表明,发现对手的平均时间是99天。即使你对此持保留态度,毫无疑问,抓住对手的能力远没有达到应有的水平。许多组织希望实现一个解决方案,解决检测能力的差距,并转向SIEM。不幸的是,他们经常发现,这会带来比解决问题更多的问题。作为SANS-class-SIEM与战术分析的作者,你可能会认为我是SIEM拥护者(我也是),我相信SIEM是最有能力的检测解决方案之一。然而,"最有能力"并不一定意味着"最好",虽然我想说的是一个SIEM是所有事情的答案,但事实并非如此。让我澄清一下这个看似矛盾的立场…组织在购买或实施SIEM时通常会做出以下假设:极快的搜索和响应时间能够与任何团队或个人共享尽可能细的数据内置威胁情报,突出对手活动高保真警报大数据能力和分析自动机器学习或行为分析自动数据关联所感知到的弱点通常包括初始和经常性资本支出,以及员工维护解决方案的成本。对于许多现代的SIEM部署,上述大多数看法都是错误的。首先,我们都需要记住一个事实,即使是一个功能齐全的空间站…呃…SIEM…仍然是一个更大的安全计划的一部分。要使SIEM成功,必须首先存在其他组件。在本文中,我将详细介绍:组织在部署SIEM时面临的5个常见问题解决其中一个问题的组织的用例对希望购买SIEM的组织的建议和成功要求我们挖吧!5个常见的SIEM问题问题1:SIEM的好坏取决于您提供给它的数据简单地部署一个SIEM对您的实际安全态势没有任何意义。加载到SIEM的数据就是赋予它价值的东西。问题是,有很多不好的数据源,而且大多数数据不容易以二进制"好/坏"的方式进行分类。例如,Windows日志几乎是普遍收集的,它们同时代表安全操作要使用的最佳和最差数据源之一。首先,Windows系统甚至不记录所有通常重要的事件。默认情况下,PowerShell和进程日志不会被启用。但是,在不进行调优的情况下启用这些功能可能会使SIEM过载,使其拥有大量无用的数据。即使如此,默认启用的Windows日志也很有用,但也包含大量的噪音。日志收集、解析和过滤是一门需要时间和耐心的艺术,同时还需要对有效性进行持续的重新评估。这甚至没有考虑数据是如何输入到SIEM中的。如果日志是通过syslog(一种通用的日志传输协议)来的,则管理部门必须强制执行解析。这可能意味着SIEM中日志的结束状态包括丢失原始事件的一些数据和上下文。在Windows中找到了一个返回到Windows的二进制结构中的10个字段的例子。然而,大多数siem解析、减少和转换源集合到大约200个字段。结果就像骑马,而你可以开车。当我说里程数根据你收集的东西和你收集的方式而变化时,我是认真的。问题2:SIEM需要用例实现您的组织是否可以检测到一个使用VBScript调用PowerShell的对手,而PowerShell反过来又删除了base64模糊代码,然后建立了一个后门,最后通过扫描您的内部网络来完成?使用正确的日志和日志应用程序可以很容易地检测到这个过程的每一个步骤。SIEM不能自动化信息安全领域的专业知识和日志应用程序以满足您的特定需要。一旦数据在您的SIEM中,您必须是那个告诉SIEM如何处理它的人。基本上,这就像买玩具一样。不包括电池。你必须去把它们接上电源。很酷的玩具…没有电池。是否曾要求供应商提供警报规则或技术来抓坏人,结果却被告知:"每个组织都是独一无二的"?虽然这是有一定道理的,但也有许多技术可以在任何组织中基于通用的攻击方法来使用。不相信我?看看这些例子:MITRE ATT&CK:这个开源框架是一个攻击者方法和对手行为的模型。防御者可以使用它来识别攻击者可能展示的技术范围,然后查看他们的过程和控制,以确定检测和预防覆盖范围的差距。Sigma:这是一种与SIEM无关的规则语言,允许编写规则来支持任何环境和SIEM。为了使这个概念起作用,转换过程采用不可知论的SIEM编写的规则,并将其转换为特定于给定的SIEM。最后,SIEM+用例应用程序=幸福婚姻。没有使用案例申请的SIEM意味着您将在稍后的日期申请离婚。锡姆誓言的爱,信任和令人敬畏的检测能力将被打破。问题3:更多的数据并不意味着更好的检测大数据时代即将来临。安全行动小组正争先恐后地收集他们能得到的所有数据。这…太疯狂了!我见过的最常见的缺点之一就是塞满了无用数据的SIEM。结果就是我所说的"咖啡休息时间",当一个简单的搜索需要几秒钟或更长时间才能完成时,就会出现这种情况。如果一个分析员总是要等待一个搜索完成,那么他或她就要经过一段时间的训练来选择什么是值得搜索的——无论是返回速度最快的。SIEM应该加强分析,而不是阻碍分析。简言之:少即是多。分析师们的数据越落越差。问题4:缺乏背景一个SIEM应该由分析师来构建,对于分析师来说。这意味着,cc防御的优势,当分析员查看警报或日志时,SIEM应以有意义的方式提供上下文和信息。幸运的是,cc防御软件linux,日志充实,或者说是向日志添加上下文的艺术,是SIEM非常成功的。不幸的是,大多数SIEM实现优先考虑数据收集而不是日志扩展。举个例子,假设一个分析师正在查看一个被访问的潜在可疑域,这个域名为"covertc2.com"(我知道,富有想象力)。DNS日志包含域、源和目标IP头信息、结果IP地址和DNS记录类型。这些信息是否足以帮助分析员判断域是恶意的、可疑的还是良性的?显然,基于这一有限的数据集做出这样的决定充其量只是一种推测。现在,考虑一下如果SIEM添加了以下上下文,您可以推断出什么:该域不在访问的前100万个站点中该域名于2016年11月1日注册知识产权与伊利诺伊州的一家企业有关IP属于Total Server Solutions L.L.C。该域不会出现在威胁情报数据库中域似乎不是随机生成的这种级别的上下文不能100%确定是好是坏,但它确实为分析员提供了上下文,服务器防御ddos的方法,以便对域观察本身做出更明智的决定。问题5:维护太多奇怪的是,组织很容易接受SIEM的一个弱点,那就是它伴随着一个有时是巨大的劳动承诺。因此,他们雇佣专职员工或保留当前团队的时间来支持数据收集需求和SIEM本身的温柔关爱。所以他们没有照顾他们,防御ddos攻击路由器,而是照顾他们。一直在浪费本来可以花在别处的大量劳动力。如果您将80%的时间用于执行诸如部署代理、解析日志或执行升级之类的维护任务,那么您可能无法从SIEM中获得最大的价值。自动化是成功实施SIEM的关键。您的环境是不断变化的,自动化是跟上它的必要条件,这样您就可以更好地将时间花在实现战术能力上。用例:6周vs.14个月让我们看一个问题5的例子。有一次我和一个组织合作,这个组织已经推出了5大幻方SIEM解决方案。该组织有1.5名全职员工(FTE)分配到该项目14个月。由于已经过了一年多,高防打不死cdn推荐,他们暂停了这个项目,并仔细研究了他们目前从SIEM获得的功能。结果并不好。14个月后,它们仍然几乎没有检测能力,处于数据收集模式。在这一点上,我有幸介入并提供帮助。不到一个月,一个新的解决方案就推出了。自动化用于部署日志代理、网络提取和数据源配置。修改或禁用了默认警报或屏蔽警报,并根据丰富的日志数据实施了新警报。到六周结束时,不到0.5全职员工提供的解决方案超过了14个月内1.5全职员工的能力。显然,客户的投资回报要高得多。想买一个床单吗?6成功要求SIEM可以非常成功,但它需要以下所有条件:受过信息安全知识培训的员工具有SIEM产品知识的训练有素的员工(重要性低于上述数据点)丰富数据的能力支持自动化收集和使用重要的数据将用例应用于检测目的机器学习和行为分析也有帮助。但是,不要把重点放在机器学习或行为分析上,直到你