安全操作中心(SOCs)遇到的威脅很快就會從傳統(tǒng)的網(wǎng)絡(luò)攻擊轉(zhuǎn)變成大范圍的破壞性勒索軟件攻擊，甚至是復(fù)雜的民族國家攻擊。在這種情況下，目前通過警報進(jìn)行的分流和補(bǔ)救措施可能會失敗。

[[443307]]

雖然警報是一個很好的調(diào)查起點，但它們并不能幫助防御者有效地補(bǔ)救攻擊的嚴(yán)重性、影響和蔓延。安全團(tuán)隊需要從孤立的警報隊列轉(zhuǎn)變?yōu)槟軌蛱幚碚麄€端到端攻擊的事件。

從基于警報的分流和補(bǔ)救系統(tǒng)轉(zhuǎn)向圍繞全面的事件補(bǔ)救而建立的系統(tǒng)有巨大的優(yōu)勢，包括節(jié)省時間和資源，大大減輕安全團(tuán)隊的負(fù)擔(dān)，以及全面加強(qiáng)建立在零信任和深度防御方法上的安全態(tài)勢。

事件視圖讓分析人員立即看到大局，了解攻擊的嚴(yán)重性和程度，這有助于SOC對關(guān)鍵事件進(jìn)行優(yōu)先排序，并制定一個明智的行動方案。它還大大減少了分析員隊列中的工作項目。

關(guān)聯(lián)性提供了活動是惡意的信心，因此事件得到更快、更容易的分流。確定事件中的一個活動是惡意的，就會對整個事件定罪，這有助于消除假陽性事件。

事件使分析人員能夠發(fā)現(xiàn)殺戮鏈中的 "空白"，并通過將事件中的警報與MITRE ATT&CK知識庫中的技術(shù)和戰(zhàn)術(shù)進(jìn)行映射，根據(jù)上下文填補(bǔ)這些空白。例如，如果我們看到事件中的初始訪問和橫向移動活動，我們就可以利用這一點來發(fā)現(xiàn)那些不足以觸發(fā)警報的持久性、指揮和控制以及憑證盜竊戰(zhàn)術(shù)。我們可以通過執(zhí)行路徑自動回滾，找到最初的進(jìn)入點，并向前滾動以揭示攻擊的全部范圍--這對決定如何遏制威脅、驅(qū)逐攻擊者和補(bǔ)救資產(chǎn)損失至關(guān)重要。

因為我們是針對事件而不是單個警報采取行動，所以SOC游戲手冊也可以針對整個事件。這消除了 "追逐 "單個警報的需要，并實現(xiàn)了持久的更高層次的指導(dǎo)，不會因為每個新的警報類型而改變。在弄清事件的影響后，游戲手冊現(xiàn)在可以清楚地識別、優(yōu)先考慮和協(xié)調(diào)遏制步驟，以便一次性地完全驅(qū)逐攻擊者。

最后，事件模型將所有受影響的資產(chǎn)收集到一個共同的桶中，從而可以全面執(zhí)行補(bǔ)救措施。

隨著威脅防護(hù)的發(fā)展，SOC需要調(diào)整和擴(kuò)展其流程。立即采取四項行動來開始這個旅程。

1. 從警報到事件的分類

無論您的SOC使用SIEM還是XDR安全產(chǎn)品進(jìn)行初始分流，都要確保它能在警報之上提出有意義的相關(guān)事件。根據(jù)對你來說很重要的參數(shù)，如該威脅的潛在風(fēng)險、技術(shù)的范圍和殺傷鏈的進(jìn)展，以及受影響資產(chǎn)的重要性，對你的事件隊列進(jìn)行優(yōu)先排序。

將您的 SOC 操作手冊與網(wǎng)絡(luò)釣魚、勒索軟件和廣告軟件等事件類別相匹配。針對每個事件類別，定義 SOC 分析師應(yīng)采取的措施，以快速了解該事件是真正的威脅還是虛驚一場，并立即阻止其發(fā)展。

根據(jù)階段或技術(shù)，為調(diào)查個別事件警報提供指導(dǎo)。確保發(fā)現(xiàn)并捕獲事件中的所有攻擊者活動和受影響資產(chǎn)--這構(gòu)成了事件補(bǔ)救計劃的基礎(chǔ)。

最后，在考慮了整個事件(包括所有受影響的資產(chǎn)和證據(jù))后，在受影響的資產(chǎn)中調(diào)用補(bǔ)救措施，使其恢復(fù)到干凈的運行狀態(tài)。

2. 自動化

以結(jié)構(gòu)化和持久的方式將SOC的游戲手冊映射到事件上，可以實現(xiàn)協(xié)調(diào)的流程自動化。有些事件類別可以完全自動處理，并在不需要SOC關(guān)注的情況下得到端正的解決。對于其他事件，有些部分可能是自動化的(例如，初始分流、批量修復(fù))，而其他需要專業(yè)知識的部分仍然是手動的(例如，調(diào)查)。自動化應(yīng)該利用事件圖來確定在哪里以及如何協(xié)助分析員，節(jié)省重復(fù)的手工工作，并使SOC能夠?qū)Ｗ⒂诟鼜?fù)雜和高風(fēng)險的事件。

3. 帶著團(tuán)隊一起行動

花時間解釋與相關(guān)事件合作的好處，以及這種方法如何改變防御者的游戲。探索MITRE ATT&CK框架，并使用它來構(gòu)建你的SOC游戲手冊的事件指導(dǎo)，使其具有擴(kuò)展性和耐久性。當(dāng)一個新的警報檢測到滲透，并且它被映射到適當(dāng)?shù)膽?zhàn)術(shù)或技術(shù)，現(xiàn)有的指導(dǎo)適用，不需要特殊的警報上機(jī)或新的指導(dǎo)。

記錄對先前案例采取的行動--集成到你的安全工具中--并使用這些數(shù)據(jù)來幫助分析人員了解如何更好地處理新的事件，并隨著時間的推移調(diào)整流程。將這些經(jīng)驗擴(kuò)展到整個行業(yè)的合作中，可以為組織和整個安全社區(qū)帶來巨大的好處。

4. 先試后買

尋找一種安全產(chǎn)品，使您的組織能夠轉(zhuǎn)向事件并支持這種SOC流程的演變。它應(yīng)該實現(xiàn)將警報自動關(guān)聯(lián)到事件、優(yōu)先級、事件分類，以及在事件和警報層面將您的SOC游戲手冊映射到MITRE ATT&CK戰(zhàn)術(shù)和技術(shù)的能力。

不要忘記定制，每個組織都有自己的偏好和特殊流程。尋找能夠根據(jù)組織內(nèi)部和整個行業(yè)的事件歷史整合行動建議的產(chǎn)品。