成功設置安全運營中心 (SOC) 的環(huán)節(jié)之一是定義 SIEM 用例。

用例能夠在安全分析師和威脅監(jiān)控目標上提供幫助和支持。什么是用例？用例可以是 SIEM 工具中多個技術(shù)規(guī)則的組合，也可以是多個規(guī)則中的操作組合，具體視需求而定。用例能夠?qū)I(yè)務威脅轉(zhuǎn)換為 SIEM 技術(shù)規(guī)則，然后檢測可能的威脅并將警報發(fā)送給 SOC。建立和定義正確的用例有助于區(qū)分真實警報和誤報。用例還會根據(jù)當前或歷史活動來給出建議操作，這些活動可能就是進行中或未來攻擊的一部分。了解如何設置 SIEM 用例及其對 SOC 的幫助。

部分 SIEM 用例

首先要注意，我們可以在各種用例之間建立關(guān)聯(lián)。從本質(zhì)上講，單獨采用用例的效果不佳。用例的組合輸入或操作鏈將決定傳入攻擊的復雜性或類型。

所有用例都有三個主要的組成部分：

· 規(guī)則，用于根據(jù)目標事件檢測和觸發(fā)警報

· 邏輯，定義如何考慮事件或規(guī)則

· 操作，確定在滿足邏輯或條件時需要執(zhí)行的操作。

如何構(gòu)建 SIEM 用例？

在開始選擇用例之前，務必為其確定一個框架。

1.選擇工具，選擇一個可以設計和映射用例框架的工具。決定使用何種框架后，開始確定優(yōu)先級并集中處理對團隊財務、聲譽和數(shù)據(jù)有影響的業(yè)務威脅和風險。

2.考慮攻擊類別。這意味著定義可能會產(chǎn)生影響的商業(yè)威脅，比如網(wǎng)絡釣魚、數(shù)據(jù)提取等。將適用的每種攻擊類型鏈接到一個或多個商業(yè)威脅。最終，我們將得到一張圖，顯示業(yè)務風險與攻擊之間的關(guān)系。

3.創(chuàng)建另一種關(guān)系：通過創(chuàng)建另一種關(guān)系來指定化解攻擊的途徑和方式。確定列出的攻擊類型，并將其置于所選框架中。舉例來說，我們可以將外部掃描攻擊歸于框架內(nèi)的偵察/目標之中。

4.在兩種關(guān)系之間建立聯(lián)系：即業(yè)務威脅和攻擊的關(guān)系，以及攻擊和框架的關(guān)系。

在此基礎上，您可以將這些關(guān)系編入 SIEM 用例。已識別的業(yè)務威脅將會是高級別用例。我們可以進一步將其細分為低級別用例。每個高級別用例中可以嵌套兩三個用例。一般在用例如何適用于多個業(yè)務威脅/高級別用例的情況下，我們總會發(fā)現(xiàn)一些重疊。舉例來說，如果已有“數(shù)據(jù)丟失”這個高級別用例，嵌套在數(shù)據(jù)丟失用例中的低級別用例將是服務器泄密、從服務器導出數(shù)據(jù)以及服務器上未經(jīng)授權(quán)的管理員活動。 

每個低級別用例都會與某些攻擊類型之間有邏輯連接，進而輔助定義技術(shù)規(guī)則。每個低級別用例可能都適合多個規(guī)則，而且一個規(guī)則可能與多個低級別用例有關(guān)。我們有必要通過定義其結(jié)構(gòu)來展示連接情況，因為這將進一步定義要使技術(shù)規(guī)則生效所需的日志源。

SIEM 用例生命周期

圖片由 IBM 提供

在 SIEM 用例的生命周期中，用例有多個輸入點。這取決于將數(shù)據(jù)饋送到用例的源頭。在 SOC 的日常操作過程中，用例將通過 1 級或 2 級 SOC 分析師獲取輸入信息。這些輸入信息中的大部分均歸因于誤報檢測。如果 SOC 內(nèi)配備威脅搜捕和情報功能，則將根據(jù)當前用例未檢測到的流量或其在威脅情報輸入信息中識別的新威脅來輸入信息。

根據(jù) 1 級和 2 級 SOC 分析師發(fā)現(xiàn)的誤報，我們可以通過修改用例來減少 SIEM 平臺生成的不良警報。SIEM 管理員或用例工程師還將通過識別半匹配事件、生成的重復警報數(shù)和其他標準來研究用例的效率。

用例管理

和任何其他應用或產(chǎn)品一樣，用例必須不時地加以管理和維護，方可確保其有效性。用例要經(jīng)歷多個階段才能完成從計劃到部署的周期：

圖片由 IBM 提供

定義/審核需求：在設置 SIEM 用例之前，我們要先考慮業(yè)務威脅和風險。有關(guān)如何構(gòu)建用例，請參見上述章節(jié)。

識別數(shù)據(jù)源：明確目標數(shù)據(jù)后，我們緊接著就是要考慮如何找到這些數(shù)據(jù)。攻擊是根據(jù)攻擊源定義的。

內(nèi)接/外接數(shù)據(jù)源：開始將識別的數(shù)據(jù)/日志源集成到 SIEM 中。這可能需要在源頭進行一些配置，具體視配置的 SIEM 而定。這其中還可能需要對防火墻進行一些更改，以確保數(shù)據(jù)源與 SIEM 之間進行通信。

設計/審核邏輯：在獲得數(shù)據(jù)/日志之后，我們就可以查看日志并確定檢測攻擊所需的內(nèi)容（事件字段）。構(gòu)建此邏輯/規(guī)則的重要因素是識別正確的事件字段以執(zhí)行關(guān)聯(lián)或聚合。

定義基線：在用例/規(guī)則中，定義閾值/基線以聚合類似事件。

測試和調(diào)優(yōu)：我們必須對用例中定義的邏輯和基線進行測試。根據(jù)測試結(jié)果，我們需要進行調(diào)整以確保降低噪聲。

基于成效進行優(yōu)化：根據(jù)測試，優(yōu)化基線以檢測攻擊。

監(jiān)控性能：在生產(chǎn)中部署用例并開始監(jiān)控性能和生成的警報，以檢查誤報和總體運行狀況。

用例框架

我們可以采用多種框架來構(gòu)建 SIEM 用例。在本例中，我們來了解一下兩種最有效的框架：MITRE ATT&CK 和 Lockheed Martin Cyber Kill Chain。這兩種框架都包含兩個部分：攻擊前和攻擊后。攻擊前包括與目標選擇和發(fā)現(xiàn)漏洞相關(guān)的所有用例/規(guī)則。攻擊后則涉及與交付、執(zhí)行、連接和提取相關(guān)的用例/規(guī)則。

圖片由 IBM 提供

SIEM 用例是確保 SOC 處于最佳狀態(tài)的重要環(huán)節(jié)。這些用例可以確定是已檢測到還是已錯失網(wǎng)絡內(nèi)的攻擊，以及我們可以在什么階段檢測到傳入威脅。SOC 分析師的專業(yè)程度也會因定義的用例不同而有所差異。用例的優(yōu)化和完善程度越高，檢測和分析的質(zhì)量也就越高。

作者簡介

[[378124]]

Asheesh Kumar

IBM Security 安全架構(gòu)師、咨詢師，從事網(wǎng)絡安全領(lǐng)域工作的安全架構(gòu)師兼顧問。

* 立即前往2021全新安全專區(qū)，掌握 SIEM 最新安全技術(shù)趨勢。

IBM安全專家在線時間：1月29日、2月19日、3月12日，下午16：30-17：00

---

歷史精彩文章推薦 >>>

 * 2021 SIEM 必看趨勢：如何選擇安全分析提供商

 * SOC 2.0 時代：更強大、更安全的安全運營團隊的構(gòu)建指南

---

關(guān)于 IBM Security >>>

IBM Security 是 IBM 的信息安全解決方案及服務部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗。IBM Security 在全球守護95%的全球五百強企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團，包括50家全球最大的金融和銀行機構(gòu)中的49家、15家最大的醫(yī)療機構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機構(gòu)發(fā)布的12份不同的分析報告中，有12項技術(shù)解決方案被列為領(lǐng)導者，在產(chǎn)業(yè)中躋身首列。