首页 > 其他分享 >蓝队新手应该学习的 4 个 SOC 工具(如何掌握这些基本的 SOC 工具及其相关技能。)

蓝队新手应该学习的 4 个 SOC 工具(如何掌握这些基本的 SOC 工具及其相关技能。)

时间:2024-08-22 18:06:35浏览次数:12  
标签:SOC Elastic 蓝队 SIEM Splunk 工具 日志

安全运营中心 (SOC) 分析师依靠各种工具来帮助他们监视他们的域。

然而,仅仅依靠工具来完成工作,而未能理解其背后的基本流程和方法,对于分析师来说可能是一个代价高昂的错误。

我们发现,近三分之一(29.5%)的专业人士认为事件处理流程和方法是SOC 分析师需要掌握的最重要的知识领域:

我从处理过的最具挑战性的事件中得到的关键启示是,拥有高效的 IR(事件响应)流程和确保正确完成真正的基础工作至关重要。

因此,对于任何安全领导团队(以及崭露头角的分析师)来说,优先考虑这些基本技能都是有意义的,因为我在该领域八年所处理的绝大多数事件并不是由 APT 链接多个零日漏洞来破坏环境触发的——人为错误、错误配置和糟糕的事件响应流程发挥了关键作用。

Sebastian Hague,Hack The Box 防御内容主管。

SOC 团队需要学习其工具的语言并了解其如何配置以避免疏忽。

soc 工具 vs soc 技术和技能
尊重蓝队工具背后的方法论
虽然 SOC 工具可以帮助自动化并减轻许多分析师的工作量,但 技术重于工具的思维模式适用于所有网络安全专业人员。

监控工具无法发现每一种可疑活动,因此 SOC 分析师还需要具备批判性思维技能。

了解您的环境是至关重要的第一步,因为发现异常的关键是了解我们的环境中什么被视为“正常”。

例如,对于Windows 事件日志,定期更改系统审计策略在您的组织中可能是正常的,但在另一个组织中可能被视为威胁。

SOC工具是现代企业环境中的必备工具,但仅仅依赖这些工具是许多大型组织至今仍犯的一个大错误。

归根结底,开发、微调和管理这些工具的是人类。例如,攻击者安装远程管理工具(也称为 rmm 工具),如 anydesk、teamviewer screenconnect 等。

这些提到的工具都是合法的,用于远程支持功能。但坏消息是,攻击者喜欢使用企业工具来攻击环境。

EDR、SIEM 或防病毒软件不会捕获此工具的安装和使用情况,因为它们根本不是恶意的。但实际上,在我们的示例中,一个恶意实体安装了它以进行持久性和远程访问。

使这一行为具有恶意的是环境的背景和基准。

虽然 EDR 没有发现这一点,但 SOC 分析师看到该工具在工作站中使用,会进一步调查并确认该工具是否属于正常操作的一部分。

正是上下文和对周围环境的了解使得这种行为变得恶意或可疑。

当分析师发现这个问题并遵循标准事件程序后,他们可以微调他们的 SOC 工具(SIEM / EDR)以捕获将来发生的此类活动。

Abdullah Yasin,Hack The Box 高级防御内容工程师。

SOC分析师工具的类型
在深入探讨网络安全分析师的最佳工具之前,我们将介绍防御性和事件响应(DFIR)的主要类型及其用例。

端点检测和响应 (EDR):检测并响应笔记本电脑、移动设备和服务器等端点上的可疑活动。

安全信息和事件管理 (SIEM):实时收集和分析来自组织的应用程序、设备、服务器和用户的数据。

漏洞管理 (VM):扫描网络和计算机系统以查找漏洞迹象。

入侵检测系统 (IDS):观察网络流量,向安全团队发出任何潜在的安全威胁警报。

访问管理工具:帮助组织管理访问权限和用户权限。

SIEM 与 EDR
如果我想选择其中一种,我会选择 SIEM。之所以选择 SIEM,是因为理想情况下,在 SIEM 中我们会拥有所有日志(进程日志、安全日志、防火墙日志、身份验证日志、Web 日志、ID 日志,如果有的话,还有 EDR 日志)。

这比任何其他工具都能更好地覆盖我们的网络。我们可以使用所有讨论的来源之间的逻辑来设置检测,利用旧数据执行威胁搜寻(但这取决于组织的保留期)。

SIEM 是现代 SOC 的支柱,而且是必须的。

EDR 的突出特点之一是其丰富的流程分析和关联机制,这也可以在 SIEM 中实现,但实现起来要困难得多。

通过 HTB Academy 掌握 Windows 事件日志分析

获得调查 Windows 事件日志以发现潜在安全漏洞的实用技能。

了解安装或更新 Sysmon 的过程并提供真实的检测示例,包括识别 DLL 劫持、非托管 PowerShell/C-Sharp 注入和凭证转储。

深入研究 Windows 事件跟踪 (ETW) 及其体系结构、了解其组件以及如何与其交互。

SOC分析师的最佳工具
市场上有各种各样的 SOC 工具,可能比我们在一篇博客文章中介绍的还要多!在这里,我们将讨论一些最常见的工具。

蓝队的最佳社交工具以及如何学习它们

  1. CrowdStrike Falcon
    CrowdStrike Falcon AI 原生平台将 EDR、身份威胁检测和响应 (ITDR)、SIEM、数据保护、IT 自动化和托管威胁搜寻整合到一个解决方案中。

这种完全基于云的解决方案在远程安全团队中很受欢迎。结合其广泛的功能,CrowdStrike Falcon 是一种常用的 SOC 工具。需要重点介绍的一些元素包括:

MITRE ATT&CK映射:绘制对 ATT&CK 框架检测到的威胁,为安全团队提供有关攻击者目标和方法的宝贵背景信息,帮助发现漏洞。

威胁模拟:在不干扰最终用户的情况下可视化“假设”场景。

扩展检测和响应 (XDR):不仅仅是端点检测,还监控其他来源,包括防火墙、云工作负载和用户活动。

CrowdStrike Falcon 适合谁?
✅拥有多种设备和平台的组织: CrowdStrike 的统一平台使监控复杂的 IT 环境变得更加容易。

✅关注高级外部威胁的企业:人工智能和机器学习(ML)非常适合检测组织外部的复杂威胁。

✅寻求自动化的公司: Falcon 的自动化功能可以节省大量监控时间。

CrowdStrike Falcon 不适合哪些人?
❌内部威胁: CrowdStrike 专注于检测未经授权的用户,内部不良行为者可能会被忽视。

❌预算有限:这种解决方案成本较高,这意味着小型企业可能希望从更便宜的选择开始。

❌有限的安全专业知识: Falcon 用户友好,但包含许多高级功能,如果组织没有专门的安全团队,这些功能就会被浪费。

主要特色

优点

缺点

部署

端点检测和响应。

扩展检测和响应。

下一代防病毒软件。

事件管理。

威胁情报。

MITRE ATT&CK 映射。

恶意软件检测。

云原生。

集成 AI 和 ML。

统一平台,多种解决方案。

与其他解决方案集成。

方便使用的。

与其他解决方案相比成本较高。

假阳性/阴性。

云依赖性。

本地、云、多云和混合部署。

  1. Splunk
    Splunk 是一种高度可扩展、多功能且强大的数据分析软件解决方案,以其提取、索引、分析和可视化大量机器数据的能力而闻名。

Splunk 可以推动各种计划,涵盖网络安全、合规性、数据管道、IT 监控、可观察性以及整体 IT 和业务管理。

在网络安全方面,Splunk 可以作为日志管理解决方案发挥关键作用,但其真正价值在于其分析驱动的安全信息和事件管理 (SIEM) 功能。

Splunk 作为 SIEM 解决方案,可帮助进行实时和历史数据分析、网络安全监控、事件响应和威胁搜寻。此外,利用用户行为分析可帮助组织增强其检测能力。

Splunk 适合谁?
✅经验丰富的团队:寻求 SIEM 解决方案来提高其绩效且了解基础知识的 SOC 团队。

✅有时间的人:为了正确操作数据,用户需要学习和理解 Splunk 处理语言(SPL)。

Splunk 不适合哪些人?
❌安全知识较少的 IT 团队:没有特定网络安全背景的个人可能无法获得 Splunk 提供的所有好处。

❌即插即用用户:您需要花时间学习语言并了解如何获得正确的答案,这意味着时间投入是不可协商的。

主要特色

优点

缺点

部署

西门子信息与电子工程专辑。

高级威胁检测

事件调查与取证

安全操作自动化

日志管理。

用途广泛。

高度可扩展。

高级分析。

可视化并处理数据。

其好坏取决于使用它的人。

优化搜索需要学习语言。

本地、云、混合和完全托管的 Splunk 云部署。

标签:SOC,Elastic,蓝队,SIEM,Splunk,工具,日志
From: https://www.cnblogs.com/lusuo/p/18374453

相关文章

  • JESD79-5C_v1.30-2024 JEDEC DDR5 SOLID STATE TECHNOLOGY ASSOCIATION 最新内存技术
    JESD79-5C_v1.30-2024JEDECDDR5SOLIDSTATETECHNOLOGYASSOCIATION最新DDR5内存技术规范​JEDEC技术协会公布新DDR5内存规范、更稳定、安全,支持PRAC新技术下载: https://download.csdn.net/download/tgs2033/89661013样本下载:链接:https://pan.baidu.com/s/13-Ioep......
  • 单文件抽奖小工具(不放回抽)
    单文件抽奖小工具(不放回抽)创建时间:2024-08-12一、HTML部分这段HTML代码构建了抽奖小工具的页面结构。引入了jQuery库用于后续的JavaScript操作,定义了两个音频元素用于播放抽奖相关音效。h1标签显示“抽奖”标题,span标签用于显示时间,wrapDiv包含了抽奖的主要区域,如参......
  • 电脑录屏软件推荐:探索Win10与Mac系统最佳录屏工具
    随着科技的飞速发展,电脑录屏已成为了教育、商务演示、游戏直播等多个领域中不可或缺的功能。无论是Windows10用户还是Mac用户,寻找一款能够提供高质量录制体验的软件,都是提升工作和创作效率的关键。本文将带领您探索适用于Win10与Mac系统的顶级录屏工具,帮助您选择最适合自己......
  • 销售管理与分析,还得看这款报表工具!
    一提到报表,很多人都会联想到繁琐的数据处理、复杂的计算以及难以理解的图表。然而,有一款报表工具却以其独特的优势,彻底改变了这一现状——山海鲸报表作为一款完全免费且功能强大的报表工具,不仅支持BS(浏览器/服务器)和CS(客户端/服务器)两种架构的一键切换,还提供了丰富的可视化组件和......
  • AI编程工具简介
    AI编程工具是指利用人工智能技术来辅助编程工作的软件,它们可以帮助开发者提高编码效率、生成代码、自动添加注释、代码翻译以及智能问答等功能:1.**GitHubCopilot**:由GitHub与OpenAI合作开发,提供整行或整个函数的代码建议,支持多种编程语言和IDE。2.**CodeGeeX**:智谱AI推出......
  • 几款Linux系统实用的软件工具
    在计算机使用时间较长以后,系统难免产生较多垃圾文件,结果就是计算机反应变慢、操作卡顿,这时就需要进行系统垃圾清理了。那么Linux操作系统有一款Stacer.deb的软件,可以进行系统资源的监控、系统垃圾的清理、软件卸载、清理应用程序缓存、关闭开启自启动服务等,是一款非常使用的L......
  • [工具推荐]Hessian反序列化漏洞利用工具分享
    如果觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。免责声明本号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉......
  • Python中的常用的数据预处理所需工具
    Jupyter对于数据预处理的重要功能是支持用逐行编写和运行代码,实时查看结果。Jupyter是一个开源的交互式计算环境,它允许用户以网页的形式编写和运行代码,以及创建和共享文档,这些文档可以包含实时代码、方程、可视化和解释性文本。Jupyter的主要组件包括:1.JupyterNotebook:一......
  • 字符串值提取工具-10-java 执行表达式引擎
    值提取系列字符串值提取工具-01-概览字符串值提取工具-02-java调用js字符串值提取工具-03-java调用groovy字符串值提取工具-04-java调用java?Janino编译工具字符串值提取工具-05-java调用shell字符串值提取工具-06-java调用python字符串值提取工具-07-java调......
  • pgsql登录不上,psql: error: connection to server on socket "/var/run/postgresql/.s
    背景在ubuntu上安装postgres,发现不能直接登录。分析默认是linux系统上的某个对应的用户才能使用对应的pg数据库的用户,因此我们需要作修改。解决编辑以下路径对应的文件,此处的14是版本,不知道的cd过去看看就行了。/etc/postgresql/14/main/pg_hba.conf将下图中对应位置改成m......