检测

检测、分析和用例是用于描述攻击检测的 SOC 方法的一些术语。这些术语可能会有所不同，所采取的方法也可能有所不同。

在这里，我们将扩展运营模型部分中概述的方法，探索关键差异，同时保持技术不可知论。

下图根据攻击的复杂程度和可能实现的攻击量描述了 SOC 的能力。它表明，大多数低复杂度、高容量/频率的攻击应该通过商业工具和预防性控制来处理。

相反，如果您的威胁概况包括高度复杂的、有针对性的攻击，您可能需要雇用一些有能力的人员来解决该问题。

SOC 功能与攻击复杂度和数量

• 检测方法

• 检测方法 - 优缺点

  应该选择适合组织的方法。

• 检测实践

  除了已经介绍的技术之外，在构建检测功能时还应该考虑一些事情。

检测方法

了解了选择一种方法背后的基本原理后，更详细地了解每种方法所涉及的内容非常重要。

---

商业工具检测

可用于分析日志数据和识别潜在安全问题的工具可以是传统的检测技术，例如反恶意软件工具和网络入侵检测系统。这些也可能是更先进的技术，例如利用机器学习的行为分析工具。无论其性质如何，这些工具通常都会生成警报以响应检测到的安全事件，以供分析人员进行调查。

这些工具将具有供应商提供的规则集，并应定期更新。有些是可配置的，因此它们可以吸收新规则或威胁情报（TI）源。威胁情报页面对此进行了进一步探讨。

---

自定义检测用例

这是指 SOC开发和维护一组基于检测用例触发的警报逻辑或警报规则。

例如，您可能想知道是否有文件在工作时间之外通过电子邮件发送到公司之外，或者是否有大量数据通过 SSH 发送到公司之外。只要您配置警报规则，典型的监控平台就能够检测到这些类型的事物。

用例用于检测潜在恶意事件的行为指标。

这些通常在 SIEM 工具中实现，自动搜索日志源中匹配的逻辑模式。这些警报将在收集和分析日志信息时近乎实时地生成（取决于所使用的技术）。

需要工作人员来构建和维护这些警报及其逻辑。因此，与仅依赖商业工具相比，这需要对人员及其专业知识进行更多投资。这将员工的注意力更多地转移到能力建设上，而不是简单地维护工具。

---

数据挖掘（或日志分析）

数据挖掘允许使用比开发的警报更复杂的警报逻辑。如果您有大量数据，这可能会很有利。

数据挖掘在许多场景中都很有用。例如，如果组织没有针对特定类型的攻击实施警报或检测，则攻击者可能会逃避检测并可能出现在 IT 资产中。

通过开发检测大型数据集异常的逻辑（例如未经授权的出站连接、高流量或随机文件传输），您可能会发现其他未检测到的危害的证据。

数据挖掘及其使用的高级逻辑是检测系统性风险的关键。基于单一漏洞或操作的攻击很少会成功。相反，攻击者通常会结合使用多种技术。如果您了解攻击如何成功及其实施的生命周期，您就可以开发复杂的逻辑来检测它们。

攻击通常遵循的事件顺序通常称为杀伤链。MITRE ATT&CK 将这一序列编纂为 14 种不同的战术 ，洛克希德·马丁公司创建了包含 7 个阶段的网络杀伤链 ®。

---

威胁狩猎

威胁搜寻是对规避现有安全控制的网络威胁进行主动、迭代和以人为中心的识别。简而言之，威胁搜寻需要了解攻击技术的熟练分析师通过数据进行搜寻，以找到安全漏洞的证据。

威胁狩猎的主要好处是可以帮助发现“未知攻击”。由于它们是未知的，SOC 将无法开发用例并从中检测活动。

由于威胁狩猎是一项以人为本的活动，因此需要对熟练员工进行最高的投资。

英国内政部制作了一份 关于威胁搜寻的有用指南 ，其内容适用于大多数考虑威胁搜寻能力的组织。

原文始发于微信公众号（祺印说信安）：建立安全运营中心（SOC）检测及检测方法10