企业暴露越来越多的业务在公网,这对于攻击者来说,是一个非常庞大的攻击面。攻击者会在这些攻击面上进行非常多的攻击行为,试图找到突破点。从企业角度,企业购买的各类安全产品会不断的上报“遭受攻击”,每天向SOC报告上百万的安全事件,让安全运营人员疲于应对。
传统的SOC做法是不断的去调整关联规则,希望能通过关联规则来帮助他们快速从海量告警中找出最严重、最该关注的告警。常用的关联规则手段是通过判断是否有A、B、C等事件按某种模式发生,例如A发生10分钟之内,B发生了,可以生产为一条告警。通过良好的规则运营,关联规则能够将百万级的安全事件压缩至千、百条告警。
关联规则一定程度上能够解决海量告警难以下手运营的问题,但依旧存在着一些痛点问题。例如规则需要随着安全态势的改变而改变、对于出厂规则无法覆盖的安全场景,需要依赖专业的安全运营人员添加、运营的时候,需要人工去组织更多的信息来辅助研判、可能还存在一定程度的误报和漏报等问题。
为了解决上述的痛点问题,腾讯SOC提出了用一个能大幅提高运营效率的风险时间线和一个智能的风险评分算法来解决这个问题。它的做法是,首先将海量的安全事件和相关的活动日志接入进来,并根据用户和设备两个维度,将安全事件和网络活动串成一个“行为时间线”,并产品化的展示出来;其次利用算法的手段,对用户和设备进行风险评分,其中重点关注在对安全事件进行价值度评估上。一个安全事件在一个用户那是否值得关注,可以考虑“安全事件是不是一直在被上报,且之前都被忽略”、“安全事件是不是只在一个设备上发生了”、“是否发生了跟该安全事件组合时非常敏感的事件序列”等。
通过智能的风险评分,腾讯SOC将运营海量告警的问题转化为优先级明确的用户/设备的风险处置问题。通过一个用户/设备列表,可以一目了然的看到有风险的设备有哪些,哪些是已经失陷的,哪些是面临高风险的,以及哪些是安全的。在对用户/设备的运营阶段,通过一个包含安全事件和网络活动的风险时间线,运营人员可以快速的感知到这个用户/设备上发生了哪些安全事件、哪些网络活动,这些事件发生的先后顺序是怎么样的,从而可以快速判断是否需要响应。
智能化 自动化 一站式
(长按二维码快速扫描关注)
该账号主要围绕智能化技术如何帮助企业提升网络安全水平展开,内容涉及机器学习、大数据处理等智能化技术在安全领域的实践经验分享,业界领先的产品和前沿趋势的解读分析等。通过分享、交流,推动安全智能的落地、应用。欢迎关注~
本文始发于微信公众号(腾讯安全智能):SOC+UEBA:从关联规则到用户实体行为分析的运营思路分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论