笔者曾经学习过SpecterOps公司很多大牛的理念,感觉到国内关于检测响应的认知有些落后,因此摘选了SpecterOps公司的首席策略师Jared Atkinson创作的保真度漏斗模型理论,推荐给各位安全从业者学习。
本文根据原文翻译精简,方便读者理解,先附上一些安全检测工程的科普概念:
Telemetry(遥测)- 收集和观测安全数据 Detection(检测)- 过滤和标记安全数据 Hunting (威胁狩猎) - 关联和挖掘安全数据 Signal to Noise Ratio(信噪比)- 检测过程出现大量的FP、FN情况 True Positive - 判白正确 True Negatives - 判黑正确 False Positive- 判白错误 False Negatives - 判黑错误
-
Collection(收集) -
Detection(检测) -
Triage(分类) -
Investigation(调查) -
Remediation(补救)
-
Event(日志) -
Alert(告警) -
Leads(线索) -
Incidents(事件)
Collection(收集)阶段
-
输入:遥测 -
输出: 日志
遥测是安全监控的基石,因为它提供了整个企业环境中出现恶意活动的上下文信号。如果没有遥测技术,几乎不可能检测到完整的恶意活动。成熟的组织机构应努力集中收集尽可能多的遥测数据,以支持企业的安全检测,例如集中收集Windows 事件日志、商业 EDR 解决方案日志、网关代理日志、Netflow 等,并使它们可用于检测阶段。
Detection(检测)阶段
-
输入:日志
-
输出:告警
Triage(分类)阶段
-
输入:告警
-
输出:线索
告警是检测逻辑的结果,但要预期有一定数量的误报,这是合理的。分类阶段是安全分析师将告警分类为已知的恶意活动、已知的正常情况和未知活动的阶段,已知的恶意活动会立即被识别为事件并进入补救阶段,而未知活动会被识别为线索并发送到调查阶段,因为它需要额外的调查确认。
分类阶段是我们看到许多组织机构挣扎的地方,这通常表现为恶意活动因为告警疲劳被标记为误报,导致告警疲劳的一个重要因素是告警的性质通常不明确。SOC分析师很难理解产生告警的检测逻辑、正在检测的上下文,以及他们应该采取正确分类告警的步骤,这些问题可以通过使用Palantir 的告警检测策略框架(https://blog.palantir.com/alerting-and-detection-strategy-framework-52dc33722df2)来缓解。
-
输入:线索 -
输出:事件
Remediation(补救)阶段
如何使用漏斗模型理论?
案例 1
红队评估通常包括对防御者进行攻击路径汇报。在汇报期间,检测响应团队中的某个人将了解红队如何实施的攻击,并将开始审查其SIEM 中的事件,这个过程经常以防守者说出:“是的,我们看到了……这里有告警”,这样类似的话结束。但防御者实际上说的是:“是的,我们收集了与该攻击相关的日志,但我们尚未创建检测逻辑能检测到攻击活动”。
案例 2
我们已经看到许多组织机构在红队演习中为特定的技战术构建了检测逻辑,例如Kerberoasting,但出于某种原因,SOC从未检测到该活动。我们最终发现检测确实触发了告警,但它被标记为误报。不幸的是,负责此告警的分析师对 Kerberoasting了解不够,无法区分正常和恶意服务票证请求。该恶意活动可能已经发出警报,但实际上并没有发生宏观意义上的检测。
保真度漏斗概念的一个巨大好处是我们可以诊断问题发生在哪个阶段:
案例1的组织机构似乎进行了足够的遥测,但缺少可靠的检测,我们可以与客户合作,确定使用他们当前环境中收集的数据,可以设计出可靠的检测策略。
案例2我们看到组织机构已经成功生成了告警,但在分类过程失败了。为了解决这个问题,我们可以专注于构建告警文档,以增加组织机构的威胁检测知识,并从告警分类过程中剔除掉不可靠的猜测工作。
这两个例子都不应被视为检测响应的失败。相反,它们应该被视为流程改进的机会。
原文始发于微信公众号(赛博攻防悟道):检测响应的保真度漏斗模型精解
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论