iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 9
0

簡介

Elastic SIEM 開放原始碼的其中一項產品,藉由收集收集各種Log的應用延伸出的功能,更早之前還有wazuh這個開源專案(非Elastic產品),Elastic

REF: https://www.ithome.com.tw/news/131488

SIEM

安全信息和事件管理(Security information and event management),收集由應用程式和網路硬體產生成的安全警報做即時分析。
Wiki: https://en.wikipedia.org/wiki/Security_information_and_event_management

Elastic SIEM有報名MITRE APT29的檢測項目 https://attackevals.mitre.org/APT29/results/elastic/
下面做一些名詞介紹

APT (Advanced Persistent Threats)

參考趨勢科技: https://blog.trendmicro.com.tw/?p=123

針對特定組織所作出複雜且多方位的攻擊,通常是長期,1年甚至10幾年,
Yes

Cyber Kill Chain

一種模型描駭客攻擊的流程,提倡者宣稱只要阻擋一個環節就能避免被入侵,雖然這只是理想架構,但是方便解是攻擊環節
REF:http://malaysiasecuritymagazine.com/cyber-kill-chain/
https://ithelp.ithome.com.tw/upload/images/20200909/20077752G7vDaFzznD.png

偵察:入侵者選擇目標,對其進行研究,然後嘗試識別目標網絡中的漏洞。
武器化:入侵者創建針對一種或多種漏洞的遠程訪問惡意軟件武器,例如病毒或蠕蟲。
交付:入侵者將武器傳輸到目標(例如,通過電子郵件附件,網站或USB驅動器)
利用:惡意軟件武器的程序代碼觸發器,該觸發器在目標網絡上採取措施以利用漏洞。
安裝:惡意軟件武器安裝了入侵者可以使用的訪問點(例如“後門”)。
命令與控制:惡意軟件使入侵者可以“手動操作”持久訪問目標網絡。
目標行動:入侵者會採取行動來實現其目標,例如數據洩露,數據破壞或贖金加密。

MITRE ATT&CK

現在流行以MITRE ATT&CK (MITRE也是負責CVE的組織) ,用該矩陣統一資安的溝通語言

MITRE ATT&CK Evaluates ,各家資安公司報名來評估檢測能力
https://attackevals.mitre.org/
https://ithelp.ithome.com.tw/upload/images/20200909/20077752SVJnYH6pyM.png

對於其攻擊手法歸類某一組織的特色,給APT代號,記錄其使用過的技巧、軟體
APT29 是一個威脅組織,至少從2008年開始運作。該組織已被歸於俄羅斯政府。
https://ithelp.ithome.com.tw/upload/images/20200909/20077752rVHe4vV60S.png

後面章節預計先以實作攻防行為來看儀表板推論問題,會偏向筆記向,如實作過程有問題一樣列出,一起減少實作踩雷的時間。


上一篇
8-Filebeat-Suricata
下一篇
10-Lab-1
系列文
一目了然的資訊保健30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言