前言

昨天介紹了關聯分析規則的本質，
其實是一種基於靜態條件式的偵測機制，
透過由大到小的層級逐級限縮，
去設計出一條條有效果也有效率的關聯規則。
所以如何能快速替企業客戶設計出適切的關聯分析機制，
就是各家廠商經年累月部署建置累積下的的硬本事了。

今天我們會繼續再針對關聯分析與其規則進行介紹，
同時也著墨它跟威脅情資、動態風險以及威脅偵測等面向的說明。

關聯規則的種類 (Types)

一個完整的 SIEM 關聯分析規則何其繁多，
如果每次都得靠工程師從頭到尾慢慢堆積起來，
實在是非常辛苦與很不經濟的一件事情。

所幸現在主流的商售的 SIEM 產品，
都標榜有開箱即用 (out-of-box) 的規則可以運用，
讓資安工程師、分析師只需待日誌導入完畢後，
可以盡量專注在關聯分析規則的優化與微調。

而當成千上百的規則集合在一起的時候，
就會開始依照用途、種類或屬性，
將相關規則集合在一起，
舉幾個常見的關聯規則的「種類」大概會有：

異常偵測 (Anomaly)、
認證 (Authentication)、
殭屍網路 (Botnet)、
合規性 (Compliance)、
惡意軟體 (Malware)、
偵查型事件 (Recon)
...

每個種類都會有為數不等的關聯規則在內，
當然我們也能夠自行新增、撰寫獨一無二的種類或規則，
透過這樣的層級關係我們可以在設計關聯分析機制時，
把更多相同或希望引用的規則 (種類) 同時納入，
讓關聯分析規則設計時能更有效率。

關聯分析的威脅優先級(Priority)

前一篇我們舉了在一定時間防火牆連線被拒的例子，
但其實 SIEM 解決方案絕對不是只能這麼簡單運用，
相反的它是可以非常複雜、多樣化、所有日誌、對象都可以是彼此關聯的對象。
只要透過結合更多的端點、閘道、應用程式等不同來源日誌，
就能達到更快、更精準的資安威脅的偵測與判定。

再者，當關聯分析出眾多的資安告警後，
在為數眾多的事件裡，我們應該先處理哪一筆是最要緊的？
這時候關聯分析引擎通常能夠根據一套各自規則與算法，
告訴我們哪一個是最具威脅或影響範圍最廣的，
資安分析師就能優先將寶貴時間都用在最關鍵的事件調查。

關聯分析與威脅情資(T.I.)

威脅情資 (Threat Intelligence)，
指的是與網路攻擊相關的資訊，經由專業團隊收集、轉換、分析後，
所產出的有價值且具參考性的入侵指標 (Indicator of Compromise, IoC)，
主流上通常會提供包含 IP、URL、MD5 或 Hash 的威脅情報。
而普遍的 SIEM 解決方案都會支援 STIX/TAXII 機制，
來接收各式專業機構發布或訂閱的威脅情資，
如 IBM X-Force、AlienVault OTX、
Cisco Threatgrid 或是 MaxMind 等等。

威脅情資的的使用需求，
通常會發生在外部世界發生重大資安攻擊時，
尤其當同產業領域或甚至同業發生嚴重營業損失或災損時，
企業都會非常關切自身有無相應的潛藏風險需要補救或強化。

關聯分析機制可以有效整合威脅情資的入侵指標，
讓企業環境快速掃瞄內部是否有相關的潛在風險，
進而讓組織能即時掌握整體的安全威脅情勢 (Security Posture)。

關聯分析與動態風險(Dynamic Risk)

當基於靜態規則撰寫的關聯分析規則，
遇到了無法第一時間定義或釐清的告警條件時，
又該如何去撰寫相關的規則？

舉例來說，
如果今天員工異常時段或位置登入重要系統，
這樣的行為能否直接算是有問題？
還是只能說它是具風險性的？

答案通常是後者，
而這也導致我們無法僅僅透過關聯規則，
去直接決定這樣的告警與資安事件。

這時候我們就必須仰賴現在 AI 的技術，
像是透過機器學習的建立基準線 (Baseline)，
或是離峰值 (Outlier) 的偵測等等，
來確認當前的行為或連線，是在正常水平附近還是異常，

這時關聯分析規則就能針對這樣的情況，
撰寫：「當風險分數高於 80，且同時連線重要資料庫時...」，
把「行為風險」結合其他權重來區分高、中、低風險，
再按風險高低聚焦在風險本身的根因與細節，
最後再決定是否為一起真實的資安事件，
還是是單純的正常使用行為。

威脅偵測 (Threat Detection)

當 SIEM 系統開始全天候運行時，
關聯分析引擎就會依據我們設定好的規則，
開始即時性或歷史性的檢測相關符合規則的事件，
而當滿足條件時，SIEM 就會產生告警 (Alert)，
或是資安事件 (Incident) 後續才會進到事件回應的階段。

如果從「Detection & Response」偵測與回應來看，
其實日誌的收集與正規化加上關聯分析偵測機制，
都是為了「Detection」的目的、讓企業組織能達到威脅可視化與偵測。
因為唯有先偵測得到威脅，
才能夠往「Reponse」去談事件回應該如何規劃與執行。

明日預告

這兩天我們介紹了關聯分析機制與規則的說明，
今天的進階篇也針對威脅優先級、威脅情資與動態風險進行介紹。
最後以 D.R. 的資安策略做爲日誌與分析的偵測機制的小結與呼應。

明天第三篇的關聯分析 (應用篇)，
我們會就 MITRE ATT&CK 與 SIEM 關聯規則來做探討，
讓我們看看如何透過完整的攻擊矩陣資訊，
來檢視企業既有的關聯規則設計現況。

中秋連假，祝福各位佳節愉快，
我們明日繼續空中相會！