說明

大多數組織所產生的資料超出了SOC分析和處理的能力。

Most constituencies generate more digital data than an SOC can possibly process and act upon.

作法

資料收集規劃

收集的數據太少缺少可用於檢測入侵的相關信息，而收集的數據太多以致工具和分析人員超出負荷。

在設計、取得、部署和維護感測器和日誌收集功能可能會佔用大量資源，必須在收集、儲存與成本之間進行權衡。

資料來源

選擇資料時應考慮不同資料類型(多個維度)，例如網路和主機系統、雲端資源、應用程式和感測器收集的感測器和日誌資料。

數據量

選擇在檢測和分析方面提供了更高的性價比的資料，例如PCAP封包占用大量空間，通常不會完整保存，會先利用一些工具分析，有關連到異常的部分才會保留哪一小段，提供之後分析鑑識時使用

調教

大型分散的情境，在個各本地處理數據，再送到中心進行分析。

With large, disperse datasets, process data locally, analyze globally.

10000行Log 還可以人肉分析，當數量再往上增加就需要用不同工具或方法分析

如果只收集阻擋紀錄常常會遺漏重要的資訊(初始入侵成功的紀錄)

Do not log just the “denies”; the “allows” are often more important.

• 調整資料來源的三種方法
  • 由多逐漸減少，調整到可以處理的資料量
    • 優點: 不需要預先了解所收集的資料
    • 缺點: 資料量太多不知道從何下手；預設接收的規則在未來會有難以聚合的問題出現
  • 由少逐漸增加，只專注於那些被認為有用或重要的內容
    • 優點: 分析師可以專注於重要的資料、開銷較少
    • 缺點: 會有遺漏，未來需要更多人力來調教
  • 先傳到中間層大數據平台後再轉發到SOC
    • 優點: 減少傳輸的成本
    • 缺點: 架構複雜容易出錯，資料監管鍊難以控制(竄改)

維護

收集數據(Log)需搭配應用或服務層級的監控，有可能是IT效能或網路監控、AP服務回應監控等等，以確保它們按預期運行

Sensors and log feeds require their own routine monitoring to ensure they are performing as expected

資料保留時間

通常是依據法律和監管要求

入侵偵測

兩種方式

• 基於簽名的檢測: 已知惡意行為特徵，EX>IOC
• 異常檢測: 觀察到超出正常值時發出警報

主機監控與防禦

• EDR
• Application allow listing and deny listing
• Executable integrity checking
• Host-based firewall
• AV/antispyware
• Data loss prevention
• User activity monitoring

惡意軟體分析

Malware Detonation: 較一般沙箱收集更多資訊

在考慮商業產品時，建議SOC向供應商確認他們採用哪些技術。

結論

• 用不同的成本和性能保存不同數據，需要時常查詢，抑或是有需要時才需要從封存取出來節省成本
• 定期Review這些資料產出那些告警、誤報數量多嗎，是否因收集資料維度不夠導致
• 須確保Log時間(時區)一致，方便事件調查
• 檢查數據源是否已經中斷或損毀，這些異常行為有可能也是發生問題的癥兆
• 來自端點的資料通常被認為比來自網路流量的資料更具資訊性且更清晰，例如記憶體內資料，也因此EDR會越來越重要

參考