關聯分析的應用

很快關聯分析我們來到的第三天的分享，
我們從基本到進階，大概簡略的介紹了關聯分析本身，
以及它可以跟其他面向的威脅偵測機制做整合應用。

今天在關聯分析的最後一篇，
我們要來從應用層面，看看關聯分析規則應用的好與否，
可以讓資安管理單位享受到什麼的效益？
我們又如何可以知道現況的關聯分析機制效果又是如何？
所以今天我們也會透過 MITRE ATT&CK 攻擊矩陣，
來作為檢視與比對關聯分析機制的一個基準參考。

案例庫 Use Cases

隨著組織面臨各種不同與變化的資安威脅
我們開始會陸續增加不同種類與內容的關聯規則，
也會開始會把相似的威脅或資安事件，
透過一個個所謂的「案例」(Use Cases)，
來開始有效的「承上啟下」發揮整體 SIEM 威脅偵測的功能，
承上：透過打包好的威脅案例庫，提供分析師靈活運用，
啟下：第一線的日誌收集、關聯規則的設計等等。

Use Cases 可以協助我們將遇到抽象的威脅情勢，
協助我們轉換與落地到實際工具的層面以及後續相應的行動。
而一個個好的 Use Cases，能夠有效提升整體威脅偵測的有效性。

MITRE ATT&CK 攻擊矩陣

MITRE ATT&CK 是近年非常知名的攻擊矩陣，
把駭客常用的攻擊手法，透過矩陣框架的形式做總理，
讓資安分析師可以知道資安事件對照到駭客攻擊手法是哪些。

一方面透過攻擊矩陣可以了解駭客使用的攻擊類別，
或是特定駭客組織攻擊行為的偏好步驟或程序，
提供給企業了解資安事件背後流程細節與建議防範方式的參考。

同時攻擊矩陣也是作為一個擁有完整攻擊資訊的來源，
它也能夠讓組織透過與之對應的對照來檢視自身防護程度，
例如有無包含與涵蓋到特定類型的攻擊手法的保護等等。
意即，MITRE ATT&CK 對於組織而言，
是對照與調整組織威脅偵測(Detection)策略現況很好的工具。

在 Use Case 使用 攻擊矩陣

在 MITRE ATT&CK 攻擊矩陣中，
主要區分攻擊前與攻擊後的兩個核心階段，
攻擊前階段，主要集中在目標選擇與弱點發掘的手法；
攻擊後階段，則是集中在惡意程式遞送、執行、連接與資訊外洩手法，
因此攻擊矩陣可以作為我們搭建 SIEM 關聯分析引，
與 Use Cases 時可以參考的攻擊偵測涵蓋範圍。

典型設計一個 Use Case 時，
大致上會按照以下的流程來設計：

1. 定義與識別當前面臨的威脅跟風險
2. 檢視哪些日誌來源跟這些威脅有關聯
3. 設定與調校日誌來源蒐集到 SIEM 平台
4. 查看事件決定如何偵測到該威脅 (ex 事件欄位)
5. 在關聯分析規則定義觸發告警的條件
6. 針對威脅偵測效果與告警後動作進行微調 (Fine-tuning)
7. 繼續維護與精進 Use Case，同時也優化偵測效能

Use Case 是 SIEM 能把關聯分析規則連接應用面的重要工具，
因此如何與時俱進的維護好每一個 Use Case 的有效性，
是 SIEM 平台能否發揮它高效威脅偵測能力的關鍵所在。

衡量關聯分析引擎的有效性

在關聯分析系列的最後，
我們要來看看可以如何來衡量關聯分析的有效性：
「如何知道關聯分析規則的有效性？」
「如何知道關聯分析涵蓋的層面廣度？」

MITRE ATT&CK 攻擊矩陣當中一個個的 Uss Cases，
也可以拿來當作跟我們自身 SIEM 的案例庫對照。
也就是除了在資安事件當中關聯出駭客手法與流程外，
我們也能運用攻擊矩陣當作關聯分析有效性的外部標準。

舉例來說，
假設我們希望能設計出能夠偵測到 25 種勒索軟體的關聯規則，

「一種是我們用了很多關聯規則去實現偵測機制」
「一種是我們設計了一條專門的關聯規則去偵測到」

兩者都能夠達到相同的偵測目的、也沒有所謂的標準答案，
但是在衡量「覆蓋範圍 (Coverage map)」的維度上，
第一種無可避免的會比較偏向防勒索病毒的偵測戰技，
在視覺化的表達上也顯示出兩者涵蓋面與傾向的不同：

(圖片參考至 IBM QRadar SIEM 測試對照 Rules Mapped to ATT&CK: Before and After）

我們可以看到前、後的關聯分析規則集，在參照一個固定的攻擊矩陣之後，
後者在攻擊矩陣各個維度與面向，都能夠覆蓋到不同戰技偵測的廣度。

這樣的思維與作法，可以幫助我們可以隨時檢視自身的案例庫與關聯分析，
哪邊還能再調整去接近理想上想要涵蓋的攻擊角度，或是
在我們現有的關聯分析引擎與機制中已滿足多少的涵蓋層度？
因此攻擊矩陣可以有效幫助我們，
衡量關聯分析引擎的有效性與調整的指導性方向。

關聯分析小結

這三天我們從基本篇、進階篇到今天的應用篇，
從最基本的一條關聯規則怎麼撰寫，
到進階的威脅優先序、威脅情資與動態風險等，
到今天的著重在 Use Cases 案例庫的應用等，
以及透過攻擊矩陣來量測與優化關聯分析引擎。

還有許多很多關聯分析的應用與實務經驗能夠著墨，
但先不著急，我們先抓大放小、著重在概念層級的了解即可。

那關聯分析的三部曲，我們就在今天做個小結了！

明日預告

謝謝各位邦友，關聯分析的三篇基本、進階與應用篇，
就在中秋連假這幾天結束了，希望不會讓各位感到太枯燥。
特意帶到一些細節的呈現，是希望能讓更多人看到資安規劃背後，
可以看見很多都是由辛苦的資安工程師幫我們逐步實現出來的。

明天開始，我們會進入到告警與報表的階段，
也就是進入到威脅偵測之後的「威脅回應」階段。
還請敬請期待，也邀請各位邦友如果喜歡的話，
再幫我多多分享、能讓更多資安好朋友認識 SIEM。