成功设置安全运营中心(SOC)的一部分是定义SIEM用例。用例可以为安全分析师和威胁监控目标提供帮助和支持。什么是用例?一个用例可以是SIEM工具中多个技术规则的组合,也可以是多个规则中动作的组合,这取决于需求。该用例能够将业务威胁转化为SIEM技术规则,然后检测可能的威胁并向SOC发送警报。建立和定义正确的用例有助于区分真正的警报和误报。用例还建议基于当前或历史活动的操作,这些活动可能是正在进行或未来攻击的一部分。了解如何设置SIEM用例以及它如何帮助您的SOC。一些SIEM用例首先指出我们可以在各种用例之间建立关联。从本质上讲,单独使用用例并不能很好地工作。用例的组合输入或操作链将决定传入攻击的复杂性或类型。所有用例都包含三个主要组件:规则,根据目标事件检测和触发警报逻辑,定义如何考虑事件或规则操作,确定满足逻辑或条件时需要执行的操作。如何构建SIEM用例?在开始选择用例之前,为它定义一个框架很重要。1.选择工具,选择可以设计和映射用例框架的工具。一旦您决定使用哪个框架,就可以开始优先考虑并关注影响团队财务、声誉和数据的业务威胁和风险。2.考虑攻击类别。这意味着定义可能产生影响的业务威胁,例如网络钓鱼、数据提取等。将每种适用的攻击类型与一种或多种业务威胁联系起来。最终,我们将有一个图表来显示业务风险和攻击之间的关系。3.创建另一个关系:创建另一个关系来指定解决攻击的方式和方法。识别列出的攻击类型并将它们置于选择的框架中。例如,我们可以将外部扫描攻击归因于框架内的侦察/瞄准。4.在两种关系之间建立联系:业务威胁和攻击之间的关系,以及攻击和框架之间的关系。从那里,您可以将这些关系编程到SIEM用例中。已识别的业务威胁将是高级用例。我们可以进一步将其分解为低级用例。每个高级用例中可以嵌套两个或三个用例。通常,我们总会发现一个用例如何应用于多个业务威胁/高级用例的重叠。例如,如果您有“数据丢失”的高级用例,则嵌套在数据丢失用例中的低级用例将是服务器泄露、从服务器导出数据以及服务器上未经授权的管理员活动。每个低级用例都会与某些攻击类型有逻辑联系,这反过来有助于技术规则的定义。每个低级用例可能符合多个规则,一个规则可能与多个低级用例相关。有必要通过定义其结构来显示连接,因为这将进一步定义技术规则起作用所需的日志源。IBM提供的SIEM用例生命周期图在一个SIEM用例的生命周期中,一个用例有多个入口点。这取决于将数据提供给用例的来源。在SOC的日常操作期间,用例将接收来自1级或2级SOC分析师的输入。大多数这些输入都归因于误报检测。如果SOC中存在威胁搜索和情报,则输入将基于当前用例未检测到的流量或威胁情报输入中识别的新威胁。根据Tier1和Tier2SOC分析师发现的误报,我们可以通过修改用例来减少SIEM平台生成的错误警报的数量。SIEM管理员或用例工程师还将通过识别半匹配事件、生成的重复警报数量和其他标准来研究用例的效率。用例管理与任何其他应用程序或产品一样,用例必须随着时间的推移进行管理和维护,以确保其有效性。一个用例经历多个阶段以完成从规划到部署的周期:图片由IBM提供定义/审查要求:在设置SIEM用例之前,我们首先考虑业务威胁和风险。请参阅以上部分了解如何构建用例。确定数据源:指定目标数据后,我们接下来需要考虑如何找到数据。攻击是根据攻击源来定义的。内联/外部数据源:开始将已识别的数据/日志源集成到SIEM中。这可能需要在源头进行一些配置,具体取决于配置的SIEM。这可能还需要对防火墙进行一些更改,以确保数据源与SIEM之间的通信。设计/审计逻辑:一旦我们有了数据/日志,我们就可以查看日志并确定检测攻击所需的内容(事件字段)。构建此逻辑/规则的一个重要因素是识别正确的事件字段以执行关联或聚合。定义基线:在用例/规则中,定义阈值/基线以聚合类似事件。测试和调优:我们必须测试用例中定义的逻辑和基线。根据测试结果,我们需要进行调整以确保降噪。基于性能优化:基于测试,优化基线以检测攻击。监控性能:在生产中部署用例并开始监控性能和生成的警报以检查误报和整体健康状况。用例框架有几个框架可用于构建SIEM用例。在这个例子中,我们来看看两个最有效的框架:MITREATT&CK和LockheedMartinCyber??KillChain。这两个框架都由两部分组成:攻击前和攻击后。预攻击包括与目标选择和漏洞发现相关的所有用例/规则。后攻击涉及与交付、执行、连接和提取相关的用例/规则。图片由IBM提供SIEM用例是让您的SOC保持最佳状态的重要部分。这些用例可以确定是否检测到或未检测到网络内的攻击,以及我们可以在什么阶段检测到传入的威胁。SOC分析师的专业水平也会因定义的用例而异。用例越优化和细化,检测和分析的质量就越高。关于作者AsheeshKumarIBMSecurity安全架构师、顾问、安全架构师和网络安全领域的顾问。*即刻前往2021新安全专区,掌握SIEM最新安全技术动向。IBM安全专家在线时间:1月29日、2月19日、3月12日下午16:30-17:00历史精彩文章推荐>>>*2021SIEM必看趋势:如何选择安全分析提供商*SOC2.0时代:构建更强大、更安全的安全运营团队的指南关于IBMSecurity>>>IBMSecurity是IBM的信息安全解决方案和服务部门,在各个行业的全球和本地客户方面拥有多年经验。IBMSecurity保护着全球95%的世界500强企业和组织的信息安全。其客户涵盖金融、医疗、汽车、科技、电信、航空等行业的公司和集团,包括全球50家最大的金融和银行机构。49、全球最大的15家医疗机构中的14家、全球最大的15家科技公司中的14家等。IBMSecurity在Gartner、Forrester、IDC发布的12份不同分析报告中被列为Leaders的12项技术解决方案位居行业第一,和别的。
