安全运营中心 (SOC) 分析师依靠各种工具来帮助他们监视他们的域。
然而,仅仅依靠工具来完成工作,而未能理解其背后的基本流程和方法,对于分析师来说可能是一个代价高昂的错误。
我们发现,近三分之一(29.5%)的专业人士认为事件处理流程和方法是SOC 分析师需要掌握的最重要的知识领域:
我从处理过的最具挑战性的事件中得到的关键启示是,拥有高效的 IR(事件响应)流程和确保正确完成真正的基础工作至关重要。
因此,对于任何安全领导团队(以及崭露头角的分析师)来说,优先考虑这些基本技能都是有意义的,因为我在该领域八年所处理的绝大多数事件并不是由 APT 链接多个零日漏洞来破坏环境触发的——人为错误、错误配置和糟糕的事件响应流程发挥了关键作用。
Sebastian Hague,Hack The Box 防御内容主管。
SOC 团队需要学习其工具的语言并了解其如何配置以避免疏忽。
soc 工具 vs soc 技术和技能
尊重蓝队工具背后的方法论
虽然 SOC 工具可以帮助自动化并减轻许多分析师的工作量,但 技术重于工具的思维模式适用于所有网络安全专业人员。
监控工具无法发现每一种可疑活动,因此 SOC 分析师还需要具备批判性思维技能。
了解您的环境是至关重要的第一步,因为发现异常的关键是了解我们的环境中什么被视为“正常”。
例如,对于Windows 事件日志,定期更改系统审计策略在您的组织中可能是正常的,但在另一个组织中可能被视为威胁。
SOC工具是现代企业环境中的必备工具,但仅仅依赖这些工具是许多大型组织至今仍犯的一个大错误。
归根结底,开发、微调和管理这些工具的是人类。例如,攻击者安装远程管理工具(也称为 rmm 工具),如 anydesk、teamviewer screenconnect 等。
这些提到的工具都是合法的,用于远程支持功能。但坏消息是,攻击者喜欢使用企业工具来攻击环境。
EDR、SIEM 或防病毒软件不会捕获此工具的安装和使用情况,因为它们根本不是恶意的。但实际上,在我们的示例中,一个恶意实体安装了它以进行持久性和远程访问。
使这一行为具有恶意的是环境的背景和基准。
虽然 EDR 没有发现这一点,但 SOC 分析师看到该工具在工作站中使用,会进一步调查并确认该工具是否属于正常操作的一部分。
正是上下文和对周围环境的了解使得这种行为变得恶意或可疑。
当分析师发现这个问题并遵循标准事件程序后,他们可以微调他们的 SOC 工具(SIEM / EDR)以捕获将来发生的此类活动。
Abdullah Yasin,Hack The Box 高级防御内容工程师。
SOC分析师工具的类型
在深入探讨网络安全分析师的最佳工具之前,我们将介绍防御性和事件响应(DFIR)的主要类型及其用例。
端点检测和响应 (EDR):检测并响应笔记本电脑、移动设备和服务器等端点上的可疑活动。
安全信息和事件管理 (SIEM):实时收集和分析来自组织的应用程序、设备、服务器和用户的数据。
漏洞管理 (VM):扫描网络和计算机系统以查找漏洞迹象。
入侵检测系统 (IDS):观察网络流量,向安全团队发出任何潜在的安全威胁警报。
访问管理工具:帮助组织管理访问权限和用户权限。
SIEM 与 EDR
如果我想选择其中一种,我会选择 SIEM。之所以选择 SIEM,是因为理想情况下,在 SIEM 中我们会拥有所有日志(进程日志、安全日志、防火墙日志、身份验证日志、Web 日志、ID 日志,如果有的话,还有 EDR 日志)。
这比任何其他工具都能更好地覆盖我们的网络。我们可以使用所有讨论的来源之间的逻辑来设置检测,利用旧数据执行威胁搜寻(但这取决于组织的保留期)。
SIEM 是现代 SOC 的支柱,而且是必须的。
EDR 的突出特点之一是其丰富的流程分析和关联机制,这也可以在 SIEM 中实现,但实现起来要困难得多。
通过 HTB Academy 掌握 Windows 事件日志分析
获得调查 Windows 事件日志以发现潜在安全漏洞的实用技能。
了解安装或更新 Sysmon 的过程并提供真实的检测示例,包括识别 DLL 劫持、非托管 PowerShell/C-Sharp 注入和凭证转储。
深入研究 Windows 事件跟踪 (ETW) 及其体系结构、了解其组件以及如何与其交互。
SOC分析师的最佳工具
市场上有各种各样的 SOC 工具,可能比我们在一篇博客文章中介绍的还要多!在这里,我们将讨论一些最常见的工具。
蓝队的最佳社交工具以及如何学习它们
- CrowdStrike Falcon
CrowdStrike Falcon AI 原生平台将 EDR、身份威胁检测和响应 (ITDR)、SIEM、数据保护、IT 自动化和托管威胁搜寻整合到一个解决方案中。
这种完全基于云的解决方案在远程安全团队中很受欢迎。结合其广泛的功能,CrowdStrike Falcon 是一种常用的 SOC 工具。需要重点介绍的一些元素包括:
MITRE ATT&CK映射:绘制对 ATT&CK 框架检测到的威胁,为安全团队提供有关攻击者目标和方法的宝贵背景信息,帮助发现漏洞。
威胁模拟:在不干扰最终用户的情况下可视化“假设”场景。
扩展检测和响应 (XDR):不仅仅是端点检测,还监控其他来源,包括防火墙、云工作负载和用户活动。
CrowdStrike Falcon 适合谁?
✅拥有多种设备和平台的组织: CrowdStrike 的统一平台使监控复杂的 IT 环境变得更加容易。
✅关注高级外部威胁的企业:人工智能和机器学习(ML)非常适合检测组织外部的复杂威胁。
✅寻求自动化的公司: Falcon 的自动化功能可以节省大量监控时间。
CrowdStrike Falcon 不适合哪些人?
❌内部威胁: CrowdStrike 专注于检测未经授权的用户,内部不良行为者可能会被忽视。
❌预算有限:这种解决方案成本较高,这意味着小型企业可能希望从更便宜的选择开始。
❌有限的安全专业知识: Falcon 用户友好,但包含许多高级功能,如果组织没有专门的安全团队,这些功能就会被浪费。
主要特色
优点
缺点
部署
端点检测和响应。
扩展检测和响应。
下一代防病毒软件。
事件管理。
威胁情报。
MITRE ATT&CK 映射。
恶意软件检测。
云原生。
集成 AI 和 ML。
统一平台,多种解决方案。
与其他解决方案集成。
方便使用的。
与其他解决方案相比成本较高。
假阳性/阴性。
云依赖性。
本地、云、多云和混合部署。
- Splunk
Splunk 是一种高度可扩展、多功能且强大的数据分析软件解决方案,以其提取、索引、分析和可视化大量机器数据的能力而闻名。
Splunk 可以推动各种计划,涵盖网络安全、合规性、数据管道、IT 监控、可观察性以及整体 IT 和业务管理。
在网络安全方面,Splunk 可以作为日志管理解决方案发挥关键作用,但其真正价值在于其分析驱动的安全信息和事件管理 (SIEM) 功能。
Splunk 作为 SIEM 解决方案,可帮助进行实时和历史数据分析、网络安全监控、事件响应和威胁搜寻。此外,利用用户行为分析可帮助组织增强其检测能力。
Splunk 适合谁?
✅经验丰富的团队:寻求 SIEM 解决方案来提高其绩效且了解基础知识的 SOC 团队。
✅有时间的人:为了正确操作数据,用户需要学习和理解 Splunk 处理语言(SPL)。
Splunk 不适合哪些人?
❌安全知识较少的 IT 团队:没有特定网络安全背景的个人可能无法获得 Splunk 提供的所有好处。
❌即插即用用户:您需要花时间学习语言并了解如何获得正确的答案,这意味着时间投入是不可协商的。
主要特色
优点
缺点
部署
西门子信息与电子工程专辑。
高级威胁检测
事件调查与取证
安全操作自动化
日志管理。
用途广泛。
高度可扩展。
高级分析。
可视化并处理数据。
其好坏取决于使用它的人。
优化搜索需要学习语言。
本地、云、混合和完全托管的 Splunk 云部署。
标签:SOC,Elastic,蓝队,SIEM,Splunk,工具,日志 From: https://www.cnblogs.com/lusuo/p/18374453