成功設(shè)置安全運(yùn)營中心 (SOC) 的環(huán)節(jié)之一是定義 SIEM 用例。

用例能夠在安全分析師和威脅監(jiān)控目標(biāo)上提供幫助和支持。什么是用例？用例可以是 SIEM 工具中多個(gè)技術(shù)規(guī)則的組合，也可以是多個(gè)規(guī)則中的操作組合，具體視需求而定。用例能夠?qū)I(yè)務(wù)威脅轉(zhuǎn)換為 SIEM 技術(shù)規(guī)則，然后檢測(cè)可能的威脅并將警報(bào)發(fā)送給 SOC。建立和定義正確的用例有助于區(qū)分真實(shí)警報(bào)和誤報(bào)。用例還會(huì)根據(jù)當(dāng)前或歷史活動(dòng)來給出建議操作，這些活動(dòng)可能就是進(jìn)行中或未來攻擊的一部分。了解如何設(shè)置 SIEM 用例及其對(duì) SOC 的幫助。

部分 SIEM 用例

首先要注意，我們可以在各種用例之間建立關(guān)聯(lián)。從本質(zhì)上講，單獨(dú)采用用例的效果不佳。用例的組合輸入或操作鏈將決定傳入攻擊的復(fù)雜性或類型。

所有用例都有三個(gè)主要的組成部分：

· 規(guī)則，用于根據(jù)目標(biāo)事件檢測(cè)和觸發(fā)警報(bào)

· 邏輯，定義如何考慮事件或規(guī)則

· 操作，確定在滿足邏輯或條件時(shí)需要執(zhí)行的操作。

如何構(gòu)建 SIEM 用例？

在開始選擇用例之前，務(wù)必為其確定一個(gè)框架。

1.選擇工具，選擇一個(gè)可以設(shè)計(jì)和映射用例框架的工具。決定使用何種框架后，開始確定優(yōu)先級(jí)并集中處理對(duì)團(tuán)隊(duì)財(cái)務(wù)、聲譽(yù)和數(shù)據(jù)有影響的業(yè)務(wù)威脅和風(fēng)險(xiǎn)。

2.考慮攻擊類別。這意味著定義可能會(huì)產(chǎn)生影響的商業(yè)威脅，比如網(wǎng)絡(luò)釣魚、數(shù)據(jù)提取等。將適用的每種攻擊類型鏈接到一個(gè)或多個(gè)商業(yè)威脅。最終，我們將得到一張圖，顯示業(yè)務(wù)風(fēng)險(xiǎn)與攻擊之間的關(guān)系。

3.創(chuàng)建另一種關(guān)系：通過創(chuàng)建另一種關(guān)系來指定化解攻擊的途徑和方式。確定列出的攻擊類型，并將其置于所選框架中。舉例來說，我們可以將外部掃描攻擊歸于框架內(nèi)的偵察/目標(biāo)之中。

4.在兩種關(guān)系之間建立聯(lián)系：即業(yè)務(wù)威脅和攻擊的關(guān)系，以及攻擊和框架的關(guān)系。

在此基礎(chǔ)上，您可以將這些關(guān)系編入 SIEM 用例。已識(shí)別的業(yè)務(wù)威脅將會(huì)是高級(jí)別用例。我們可以進(jìn)一步將其細(xì)分為低級(jí)別用例。每個(gè)高級(jí)別用例中可以嵌套兩三個(gè)用例。一般在用例如何適用于多個(gè)業(yè)務(wù)威脅/高級(jí)別用例的情況下，我們總會(huì)發(fā)現(xiàn)一些重疊。舉例來說，如果已有“數(shù)據(jù)丟失”這個(gè)高級(jí)別用例，嵌套在數(shù)據(jù)丟失用例中的低級(jí)別用例將是服務(wù)器泄密、從服務(wù)器導(dǎo)出數(shù)據(jù)以及服務(wù)器上未經(jīng)授權(quán)的管理員活動(dòng)。 

每個(gè)低級(jí)別用例都會(huì)與某些攻擊類型之間有邏輯連接，進(jìn)而輔助定義技術(shù)規(guī)則。每個(gè)低級(jí)別用例可能都適合多個(gè)規(guī)則，而且一個(gè)規(guī)則可能與多個(gè)低級(jí)別用例有關(guān)。我們有必要通過定義其結(jié)構(gòu)來展示連接情況，因?yàn)檫@將進(jìn)一步定義要使技術(shù)規(guī)則生效所需的日志源。

SIEM 用例生命周期

圖片由 IBM 提供

在 SIEM 用例的生命周期中，用例有多個(gè)輸入點(diǎn)。這取決于將數(shù)據(jù)饋送到用例的源頭。在 SOC 的日常操作過程中，用例將通過 1 級(jí)或 2 級(jí) SOC 分析師獲取輸入信息。這些輸入信息中的大部分均歸因于誤報(bào)檢測(cè)。如果 SOC 內(nèi)配備威脅搜捕和情報(bào)功能，則將根據(jù)當(dāng)前用例未檢測(cè)到的流量或其在威脅情報(bào)輸入信息中識(shí)別的新威脅來輸入信息。

根據(jù) 1 級(jí)和 2 級(jí) SOC 分析師發(fā)現(xiàn)的誤報(bào)，我們可以通過修改用例來減少 SIEM 平臺(tái)生成的不良警報(bào)。SIEM 管理員或用例工程師還將通過識(shí)別半匹配事件、生成的重復(fù)警報(bào)數(shù)和其他標(biāo)準(zhǔn)來研究用例的效率。

用例管理

和任何其他應(yīng)用或產(chǎn)品一樣，用例必須不時(shí)地加以管理和維護(hù)，方可確保其有效性。用例要經(jīng)歷多個(gè)階段才能完成從計(jì)劃到部署的周期：

圖片由 IBM 提供

定義/審核需求：在設(shè)置 SIEM 用例之前，我們要先考慮業(yè)務(wù)威脅和風(fēng)險(xiǎn)。有關(guān)如何構(gòu)建用例，請(qǐng)參見上述章節(jié)。

識(shí)別數(shù)據(jù)源：明確目標(biāo)數(shù)據(jù)后，我們緊接著就是要考慮如何找到這些數(shù)據(jù)。攻擊是根據(jù)攻擊源定義的。

內(nèi)接/外接數(shù)據(jù)源：開始將識(shí)別的數(shù)據(jù)/日志源集成到 SIEM 中。這可能需要在源頭進(jìn)行一些配置，具體視配置的 SIEM 而定。這其中還可能需要對(duì)防火墻進(jìn)行一些更改，以確保數(shù)據(jù)源與 SIEM 之間進(jìn)行通信。

設(shè)計(jì)/審核邏輯：在獲得數(shù)據(jù)/日志之后，我們就可以查看日志并確定檢測(cè)攻擊所需的內(nèi)容（事件字段）。構(gòu)建此邏輯/規(guī)則的重要因素是識(shí)別正確的事件字段以執(zhí)行關(guān)聯(lián)或聚合。

定義基線：在用例/規(guī)則中，定義閾值/基線以聚合類似事件。

測(cè)試和調(diào)優(yōu)：我們必須對(duì)用例中定義的邏輯和基線進(jìn)行測(cè)試。根據(jù)測(cè)試結(jié)果，我們需要進(jìn)行調(diào)整以確保降低噪聲。

基于成效進(jìn)行優(yōu)化：根據(jù)測(cè)試，優(yōu)化基線以檢測(cè)攻擊。

監(jiān)控性能：在生產(chǎn)中部署用例并開始監(jiān)控性能和生成的警報(bào)，以檢查誤報(bào)和總體運(yùn)行狀況。

用例框架

我們可以采用多種框架來構(gòu)建 SIEM 用例。在本例中，我們來了解一下兩種最有效的框架：MITRE ATT&CK 和 Lockheed Martin Cyber Kill Chain。這兩種框架都包含兩個(gè)部分：攻擊前和攻擊后。攻擊前包括與目標(biāo)選擇和發(fā)現(xiàn)漏洞相關(guān)的所有用例/規(guī)則。攻擊后則涉及與交付、執(zhí)行、連接和提取相關(guān)的用例/規(guī)則。

圖片由 IBM 提供

SIEM 用例是確保 SOC 處于最佳狀態(tài)的重要環(huán)節(jié)。這些用例可以確定是已檢測(cè)到還是已錯(cuò)失網(wǎng)絡(luò)內(nèi)的攻擊，以及我們可以在什么階段檢測(cè)到傳入威脅。SOC 分析師的專業(yè)程度也會(huì)因定義的用例不同而有所差異。用例的優(yōu)化和完善程度越高，檢測(cè)和分析的質(zhì)量也就越高。

作者簡(jiǎn)介

[[378124]]

Asheesh Kumar

IBM Security 安全架構(gòu)師、咨詢師，從事網(wǎng)絡(luò)安全領(lǐng)域工作的安全架構(gòu)師兼顧問。

* 立即前往2021全新安全專區(qū)，掌握 SIEM 最新安全技術(shù)趨勢(shì)。

IBM安全專家在線時(shí)間：1月29日、2月19日、3月12日，下午16：30-17：00

---

歷史精彩文章推薦 >>>

 * 2021 SIEM 必看趨勢(shì)：如何選擇安全分析提供商

 * SOC 2.0 時(shí)代：更強(qiáng)大、更安全的安全運(yùn)營團(tuán)隊(duì)的構(gòu)建指南

---

關(guān)于 IBM Security >>>

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗(yàn)。IBM Security 在全球守護(hù)95%的全球五百強(qiáng)企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團(tuán)，包括50家全球最大的金融和銀行機(jī)構(gòu)中的49家、15家最大的醫(yī)療機(jī)構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機(jī)構(gòu)發(fā)布的12份不同的分析報(bào)告中，有12項(xiàng)技術(shù)解決方案被列為領(lǐng)導(dǎo)者，在產(chǎn)業(yè)中躋身首列。