01自動化安全事件運營--雷春.pdf

《01自動化安全事件運營--雷春.pdf》由會員分享，可在線閱讀，更多相關《01自動化安全事件運營--雷春.pdf（15頁珍藏版）》請在三個皮匠報告上搜索。

1、自動化安全事件運營Author：雷 春company：度小滿Research：安全檢測/應急響應/紅藍對抗等ID：lcamryNG-SIEM架構的缺陷 輸出的結果是什么？（是事件嗎）能直接響應處置嗎？(準確性、富化度)處理需要多久？（手動、多人）ROI：實用性、時效性、復用性等舉個安全事件例子是真實的告警嗎？為什么會產生這個告警？機器上什么應用發出的請求？應用的漏洞點是什么？純內網的機器為什么會被控？橫向攻擊路徑有哪些？攻擊者的開始路徑是哪里？。如何快速切斷攻擊者的控制？如何加固當前的場景？如何挖掘攻擊者的痕跡？如何清理掉所有被控的點？如何挖掘攻擊者的身份？。為什么只有這么簡單的告警？為什么不

2、可以做富化的告警？為什么會有大量的手工工作？為什么一線運營人員無法挖掘？為什么止損耗時那么久？為什么同類問題頻頻發生？舉個安全事件例子威脅發現分析研判響應溯源甲方安全事件運營流程海量數據關聯分析的計算能力不足（join等）信息富化（資產屬性、ti、相關payload）多平臺之間的調用（hive等）安全能力的調用（沙箱等）泛報警的分析研判能夠有輔助指示（相關case歸并）數據的二次定向挖掘安全分析能力的調用（ti、內存分析、沙箱等）事件影響面&損失評估，進行定級自動化處置（微隔離、sdw、蜜罐牽引、流量延時、樣本庫自動迭代等）環境加固反向溯源（數據調查、社工庫等）業務需求（備案、通知等）任務調度

3、平臺安全事件處置平臺（研判+響應）SOARSecurity Orchestration,Automation and ResponseGartner對SOAR定義：將事件響應、編排和自動化以及威脅情報平臺管理功能結合在單一解決方案中。Soa理念是否能用在非Response場景中呢？數據類的安全能力調用soa對于威脅發現，是一個檢索引擎的升級功能威脅發現中的SOA準檢測 攻擊特征（解碼&解密）攻擊有效性確認（回包關聯&多包關聯）泛檢測（行為規則、數理統計、機器學習、模式識別）警報疲勞（關聯分析）自動化調整策略關聯檢測 海量數據下的任務拆分 跨平臺數據關聯 攻擊鏈條還原（依賴資產鏈條、payloa

4、d、時間序列等）信息富化 資產信息（資產鏈條挖掘）信息補充（owner、屬性等）關聯情報數據非數據類的安全能力調用數據直接導入數倉 全量分析，消耗資源用時調用接口 需具備api調用能力soa對于威脅發現，也是一個安全能力聚合的方式威脅發現中的SOA安全能力IDSURL分析OCR二維碼病毒引擎sandbox商業采買的安全能力 支持靈活調用、數據的全量輸出自研的安全能力 基于開源的二開 根據業務場景的純自研判斷決策失陷情報匹配到異常告警DGA模型輸出的異常告警暴力破解的閾值觸發告警存在異常id用戶VPN異常時間節點登錄等等soa對于分析研判來說，更像一個運營工程師的工具庫(NG哆啦A夢)分析研判中

5、的SOA高級告警攻擊路徑調查影響面評估&定損 泛檢測的告警告警量可能超過人工能處置的范疇運營一段時間后，發現都是誤報（沒有安全事件），沒有成果 輔助判斷（信息富化、二次定向手工分析、歷史數據）；反饋完善檢測攻擊路徑很難被完整的定義出來（ATT&CK）復雜環境下極高的數據完備性要求 排查思路推薦：歷史使用的方法、固定場景的sop 排查小工具的自動化執行 自動評估影響面（受影響資產統計等、資損量統計等）響應溯源中的SOA（SOAR的補充）自動化處置（hvv和非hvv的不同策略）防火墻封禁微隔離SDW-蜜罐牽引流量延時樣本庫自動迭代等 環境加固熱補丁漏洞修復數據備份細致策略調整（u盤封禁等）反向溯源

6、（hvv和非hvv的不同打法）jsonp大數據社工庫gr等 業務需求IM及時通知業務特殊情況進行備案業務特殊需求（凍結賬戶等）等SOA數據能力平臺數據的豐富程度數據的檢索能力安全能力豐富程度安全能力的復用性平臺的標準化能力平臺的智能化助力 SOA并不適配于所有的場景，合適的固化場景可轉化為playbook；不局限不亂擴。SOA只是一種能力；可以作為單獨的一個平臺，也可以集成到SIEM、sirp等平臺。并不是側重于一鍵止損，而是優化運營的各個流程，減少運營同學手工操作，同時達到標準化、平臺化，不斷做知識庫沉淀。成熟的SOA總結實際案例釣魚威脅發現分析研判響應溯源郵件檢測能力協議安全檢測內容安全檢測附件安全檢測URL安全檢測機器學習OCR反向爬蟲沙箱釣魚事件研判DNS流量挖掘HTTP流量挖掘終端進程挖掘文件信息挖掘關聯分析攻擊有效性釣魚事件研判網絡封禁安全通知&統計EPP/EDR定向釣魚反溯關聯分析反制日均手動處理釣魚郵件1MTTR：30分鐘 on the way，一直在路上，不曾停下 持續思考，持續嘗試，持續落地，持續分享細節內容，線下交流志同道合，歡迎騷擾關注我們安世加 專注于網絡安全行業，通過互聯網平臺、線上線下沙龍、峰會、人才招聘等多種形式，致力于創建亞太地區最好的甲乙雙方交流學習的平臺，培養安全人才，提升行業的整體素質，助推安全生態圈的健康發展。