来自 DDOS 2021-07-13 05:12 的文章

阿里云高防ip_点盾云_快速接入

阿里云高防ip_点盾云_快速接入

本博客的作者包括丹·凯泽和布赖恩·库尔森。MITRE-ATT&CK框架正迅速成为安全领域的焦点,这是有原因的。此框架提供了一个一致的、行业范围的标准,您可以据此评估安全监视和警报功能的有效性。当与SIEM解决方案结合使用时,MITRE ATT&CK框架允许您针对攻击技术有效地测试安全监控环境,以验证您的技术和规则是否真正有效,并提醒您正确的异常行为。为此,logrythym实验室正在开发一个MITRE ATT&CK模块,旨在根据每种技术检测和警告异常行为。有了LogRhym MITRE ATT&CK模块,您可以确保您能捕捉到网络上的每一个威胁。什么是MITRE ATT&CK框架?MITRE ATT&CK框架是"一个基于真实世界观察的全球可访问的对手战术和技术的知识库"。缩写是对抗战术、技术和常识的缩写。ATT&CK将敌对行为分为战术、技术和程序(ttp)。战术可以看作是目标。例如,对手的目标可能是访问凭据,这意味着攻击者可能会尝试获取凭据,并在更大程度上使用它们来达到其最终的、邪恶的目标。同时,技术可以被认为是实现目标的高级方法。例如,对手可能会在文件中查找凭据。程序是对手用来执行技术的具体步骤。例如,被称为APT3的高级持久性威胁组织有一个工具,可以在文件系统上的文件中找到凭据,例如来自Firefox或Chrome的文件。MITRE ATT&CK框架如何帮助您?ATT&CK为安全专业人员提供了描述对抗性行为的通用语言、对抗性技术的缓解指南、测量探测(或渗透)能力的覆盖图,以及安全供应商描述其产品的参考模型。MITRE ATT&CK在您的组织中可以有多个应用程序,例如:当运行渗透测试或红队/蓝队演习时,您可以将演习的计划和结果映射到ATT&CK。在安全产品中开发检测规则时,可以使用ATT&CK作为需要创建的规则的路线图。如果你有一个威胁狩猎计划,ddos防御能力对比,你可以使用ATT&CK技术作为你狩猎假设的灵感。在比较安全供应商的产品时,您可以使用它对ATT&CK的覆盖范围作为比较点。这不一定是"供应商X检测到35种ATT&CK技术,供应商Y检测到37种"的数字比较。MITRE本身有一个评估(而不是认证)程序,静态能防御cc吗,在it中,供应商可以用五种不同的方式演示对给定技术的检测:遥测、妥协指标、浓缩、一般行为,30g高防能防御多少ddos攻击,以及具体行为。什么是MITRE ATT&CK模块?logrythym实验室正在开发一个MITRE ATT&CK模块,各种版本即将发布。ATT&CK模块是一个AI引擎规则和Web控制台仪表板的集合,防御cc,用于根据每种技术检测和说明敌方行为。logrythym SIEM如何支持ATT&CK技术来自产品的人工智能引擎规则,如logrythym UserXDR和logrythymetworkxdr,集中于行为检测,并围绕网络攻击生命周期进行组织。这些规则将检测正在执行的ATT&CK技术,但检测不会特定于该技术。例如,我们的UEBA模块包含一个名为"妥协:异常进程活动"的规则。这是一个趋势规则,它将用户在当前七天内启动的进程与前七天启动的进程进行比较,如果这两个时间段之间存在显著差异,则会触发警报。该规则可以检测许多ATT&CK技术的执行情况,因为其中许多技术涉及到异常进程的检测,例如T1193、T1192、T1106和T1003。但是,如果该规则被触发,则无法从警报卡中清楚地看到使用了哪个ATT&CK ttp。图1:来自UEBA模块的"妥协:异常流程活动"基于这个原因,实验室决定开发专门针对ATT&CK技术的AI引擎规则。我们现有的模块专注于安全相关场景和异常检测——MITRE ATT&CK模块侧重于特定技术。让我们用一个场景来说明这个想法:如果一个对手破坏了Bob的帐户,这个对手可能会使用Bob的凭据运行诸如"arp-a"、"ipconfig/all"和"nbtstat-n"等命令来发现机器的网络配置。真正的Bob从不运行"arp-a"(或任何命令行参数),因此折衷方案是:异常的进程活动AIE规则触发。虽然这很好,但警报没有映射到ATT&CK。启用logrythmetry ATT&CK模块后,您还将看到一个标记为系统网络配置发现技术的事件。MITRE ATT&CK模块的路线图是什么?在撰写本文时,ATT&CK Enterprise包含223种技术。LogRhym实验室打算发布人工智能引擎规则来检测所有这些规则。首次发行包含18条规则,用于检测以下技术:图2:LogRhym实验室的初始MITRE ATT&CK模块提供了检测规则的技术logrythym实验室计划每月发布一批新的规则。logrythym NextGen SIEM是确保二尖瓣覆盖的最佳工具您可能已经看过关于可视化ATT&CK的ATT&CK博客,其中包含了映射到数据源的ATT&CK技术的可视化。列出的12种(共50种)数据源类型代表了广泛的技术:端点检测和响应、防病毒、网络入侵检测系统、数据丢失预防等。图3:MITRE ATT&CK技术的摘录映射到数据源图表LogRhym NextGen SIEM支持900多种日志源类型,是收集、规范化、分析和关联这些不同日志源的理想场所,以实现ATT&CK覆盖范围的整体视图。例如,考虑技术开发面向公共的应用程序,它解决了"利用面向internet的计算机系统或程序中的弱点导致意外或意外行为"的主要用例是SQL注入。MITRE建议使用包捕获、web日志、web应用防火墙日志和应用程序日志作为数据源。您可以使用这些日志源中的任何一个来检测SQL注入,但是您也可能会发现这是一个噪声检测。事实上,针对面向公共的应用程序,可能会频繁地进行内部和外部漏洞扫描。你怎样才能减少误报呢?答案是关联日志源。在这种情况下,您可能需要将SQL注入尝试与面向公共的服务器上的新进程或源自面向公共服务器的新网络连接相关联。LogRhym NextGen-SIEM平台与MITRE ATT&CK框架的一致性不仅允许您确定网络中的可见性差距,而且还将为您提供所需的信心,以确保所有系统都能正常运行。图4:即将到来的mitreweb控制台仪表板的预览有了logrymetry MITRE ATT&CK模块,你可以运行自动测试来验证你的人工智能引擎规则,并确保你的系统是适当的警告你的威胁,因此没有任何东西从裂缝中溜走。有几个ATT&CK模拟工具存在,包括红金丝雀的红色原子队和米特自己的火山口。想了解更多关于在威胁搜索和检测中使用MITRE ATT&CK的信息吗?下载白皮书开始。在威胁搜索和检测中使用MIRE ATT&CKLinkedIn Twitter Facebook Reddit电子邮件

,cdn防御cc的原理