iT邦幫忙

2022 iThome 鐵人賽

DAY 10
0
Security

【 30 天成為 SIEM 達人】系列 第 10

Day 10: 寫在啟程 - SIEM 關聯分析 (應用篇)

  • 分享至 

  • xImage
  •  

關聯分析的應用

很快關聯分析我們來到的第三天的分享,
我們從基本到進階,大概簡略的介紹了關聯分析本身,
以及它可以跟其他面向的威脅偵測機制做整合應用。

今天在關聯分析的最後一篇,
我們要來從應用層面,看看關聯分析規則應用的好與否,
可以讓資安管理單位享受到什麼的效益?
我們又如何可以知道現況的關聯分析機制效果又是如何?
所以今天我們也會透過 MITRE ATT&CK 攻擊矩陣,
來作為檢視與比對關聯分析機制的一個基準參考。

案例庫 Use Cases

隨著組織面臨各種不同與變化的資安威脅
我們開始會陸續增加不同種類與內容的關聯規則,
也會開始會把相似的威脅或資安事件,
透過一個個所謂的「案例」(Use Cases),
來開始有效的「承上啟下」發揮整體 SIEM 威脅偵測的功能,
承上:透過打包好的威脅案例庫,提供分析師靈活運用,
啟下:第一線的日誌收集、關聯規則的設計等等。

Use Cases 可以協助我們將遇到抽象的威脅情勢,
協助我們轉換與落地到實際工具的層面以及後續相應的行動。
而一個個好的 Use Cases,能夠有效提升整體威脅偵測的有效性。

MITRE ATT&CK 攻擊矩陣

MITRE ATT&CK 是近年非常知名的攻擊矩陣,
把駭客常用的攻擊手法,透過矩陣框架的形式做總理,
讓資安分析師可以知道資安事件對照到駭客攻擊手法是哪些。

一方面透過攻擊矩陣可以了解駭客使用的攻擊類別,
或是特定駭客組織攻擊行為的偏好步驟或程序,
提供給企業了解資安事件背後流程細節與建議防範方式的參考。

同時攻擊矩陣也是作為一個擁有完整攻擊資訊的來源,
它也能夠讓組織透過與之對應的對照來檢視自身防護程度,
例如有無包含與涵蓋到特定類型的攻擊手法的保護等等。
意即,MITRE ATT&CK 對於組織而言,
是對照與調整組織威脅偵測(Detection)策略現況很好的工具。

在 Use Case 使用 攻擊矩陣

在 MITRE ATT&CK 攻擊矩陣中,
主要區分攻擊前與攻擊後的兩個核心階段,
攻擊前階段,主要集中在目標選擇與弱點發掘的手法;
攻擊後階段,則是集中在惡意程式遞送、執行、連接與資訊外洩手法,
因此攻擊矩陣可以作為我們搭建 SIEM 關聯分析引,
與 Use Cases 時可以參考的攻擊偵測涵蓋範圍。

典型設計一個 Use Case 時,
大致上會按照以下的流程來設計:

  1. 定義與識別當前面臨的威脅跟風險
  2. 檢視哪些日誌來源跟這些威脅有關聯
  3. 設定與調校日誌來源蒐集到 SIEM 平台
  4. 查看事件決定如何偵測到該威脅 (ex 事件欄位)
  5. 在關聯分析規則定義觸發告警的條件
  6. 針對威脅偵測效果與告警後動作進行微調 (Fine-tuning)
  7. 繼續維護與精進 Use Case,同時也優化偵測效能

Use Case 是 SIEM 能把關聯分析規則連接應用面的重要工具,
因此如何與時俱進的維護好每一個 Use Case 的有效性,
是 SIEM 平台能否發揮它高效威脅偵測能力的關鍵所在。

衡量關聯分析引擎的有效性

在關聯分析系列的最後,
我們要來看看可以如何來衡量關聯分析的有效性:
「如何知道關聯分析規則的有效性?」
「如何知道關聯分析涵蓋的層面廣度?」

MITRE ATT&CK 攻擊矩陣當中一個個的 Uss Cases,
也可以拿來當作跟我們自身 SIEM 的案例庫對照。
也就是除了在資安事件當中關聯出駭客手法與流程外,
我們也能運用攻擊矩陣當作關聯分析有效性的外部標準。

舉例來說,
假設我們希望能設計出能夠偵測到 25 種勒索軟體的關聯規則,

「一種是我們用了很多關聯規則去實現偵測機制」
「一種是我們設計了一條專門的關聯規則去偵測到」

兩者都能夠達到相同的偵測目的、也沒有所謂的標準答案,
但是在衡量「覆蓋範圍 (Coverage map)」的維度上,
第一種無可避免的會比較偏向防勒索病毒的偵測戰技,
在視覺化的表達上也顯示出兩者涵蓋面與傾向的不同:

我們可以看到前、後的關聯分析規則集,在參照一個固定的攻擊矩陣之後,
後者在攻擊矩陣各個維度與面向,都能夠覆蓋到不同戰技偵測的廣度。

這樣的思維與作法,可以幫助我們可以隨時檢視自身的案例庫與關聯分析,
哪邊還能再調整去接近理想上想要涵蓋的攻擊角度,或是
在我們現有的關聯分析引擎與機制中已滿足多少的涵蓋層度?
因此攻擊矩陣可以有效幫助我們,
衡量關聯分析引擎的有效性與調整的指導性方向。

關聯分析小結

這三天我們從基本篇、進階篇到今天的應用篇,
從最基本的一條關聯規則怎麼撰寫,
到進階的威脅優先序、威脅情資與動態風險等,
到今天的著重在 Use Cases 案例庫的應用等,
以及透過攻擊矩陣來量測與優化關聯分析引擎。

還有許多很多關聯分析的應用與實務經驗能夠著墨,
但先不著急,我們先抓大放小、著重在概念層級的了解即可。

那關聯分析的三部曲,我們就在今天做個小結了!

明日預告

謝謝各位邦友,關聯分析的三篇基本、進階與應用篇,
就在中秋連假這幾天結束了,希望不會讓各位感到太枯燥。
特意帶到一些細節的呈現,是希望能讓更多人看到資安規劃背後,
可以看見很多都是由辛苦的資安工程師幫我們逐步實現出來的。

明天開始,我們會進入到告警與報表的階段,
也就是進入到威脅偵測之後的「威脅回應」階段。
還請敬請期待,也邀請各位邦友如果喜歡的話,
再幫我多多分享、能讓更多資安好朋友認識 SIEM。


上一篇
Day 9: 寫在啟程 - SIEM 關聯分析 (進階篇)
下一篇
Day 11: 寫在啟程 - SIEM 事件回應 (基本篇)
系列文
【 30 天成為 SIEM 達人】30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言