在前一天的內容中，我們深入探討了 Windows 事件日誌監控技術。而針對監控之後，日誌也可以整合 SIEM 以及撰寫相關的規則。

蒐集日誌後的後續步驟

標準化與處理

• 目的：將不同來源和格式的日誌統一化，方便後續分析
• 範例
• 將時間戳統一為 UTC+8 格式

  | eval timestamp=strftime(timestamp， "%Y-%m-%d %H:%M:%S")
  

• 將 IP 位址格式化

  | rex field=src_ip "(?<src_ip>\d+\.\d+\.\d+\.\d+)"
  

• 提取關鍵欄位

  | spath input=raw_log path=user output=username
  | spath input=raw_log path=action output=operation_type
  

關聯性分析

• 目的：分析多個來源的日誌，識別潛在威脅或異常行為
• 範例
• 關聯防火牆日誌和伺服器存取日誌

  | join type=inner src_ip 
    [search index=firewall] 
    [search index=web_server]
  | where firewall_action="block" AND web_server_status="200"
  

SIEM 規則設定

• 目的：建立自動化規則來檢測特定類型的資安事件
• 範例
• 檢測短時間內多次失敗的登入嘗試

  index=windows sourcetype=WinEventLog:Security EventCode=4625
  | stats count BY src_ip
  | where count > 5
  

Sigma 規則應用

• 目的：使用通用格式的規則來描述和檢測特定的資安事件
• 範例 Sigma 規則（檢測可疑的 PowerShell 指令）

title: 可疑的 PowerShell 下載行為
status: experimental
description: 檢測可能的惡意 PowerShell 下載活動
logsource:
  product: windows
  service: powershell
detection:
  selection:
    EventID: 4104
    ScriptBlockText|contains:
      - 'Net.WebClient'
      - 'DownloadFile'
      - 'DownloadString'
condition: selection

使用 Splunk SIEM 進行分析

• 目的：利用 Splunk 的功能進行深入分析和視覺化
• 範例
  1. 執行搜尋查詢：

  index=authentication sourcetype=linux_secure src_ip=192.168.1.* 
  | stats count BY user， src_ip
  

  2. 使用進階搜尋命令：

  index=network sourcetype=firewall 
  | timechart span=1h count BY src_country
  

  3. 建立警報：

  | eval data_size_mb=bytes/1024/1024
  | where data_size_mb > 1000
  | alert action=email to="security@example.com"
  

  4. 建立儀表板：

  | timechart span=1h count BY sourcetype
  

進行資安事件調查

• 目的：深入分析可疑活動，確定是否存在實際威脅
• 範例調查流程
  1. 檢視可疑帳號的所有活動

  index=* user="suspicious_user" 
  | sort _time 
  | table _time， action， src_ip， dest_ip
  

  2. 追蹤資料外洩的可能路徑

  index=dataloss 
  | transaction maxspan=1h maxpause=5m 
  | where bytes_out > 10000000
  

透過這些步驟，資安團隊可以有效地將原始日誌資料轉化為可操作的安全洞察，從而提高組織的整體資安態勢。每個步驟都是建立在前一個步驟的基礎上，形成一個完整的安全分析流程。

從日誌分析到事件回應：建立全面的資安防護體系

在了解了日誌收集、分析和 SIEM 操作的重要性後，我們需要將視野擴大到整個組織的資安事件回應流程。有效的日誌管理和分析是識別潛在威脅的關鍵，但這僅是整個資安防護體系的一部分。

組織需要建立一個全面的事件回應框架，以便在發現潛在威脅時能夠迅速且有效地做出反應。這個框架涵蓋了從事件偵測、分類、優先排序，到事故調查、緩解和事後檢討的整個過程。

接下來，我們將探討事件回應流程中的概念，包括事件與事故的區別與事件生命週期中的各個階段。這些知識將幫助組織不僅能夠及時發現威脅，還能有效地應對和管理各種資安事件，從而提高整體的資安韌性。

事件回應流程

事件與事故的區別

為什麼藍隊成員需要了解事件與事故的差異

了解事件和事故之間的區別對於藍隊的工作很重要。只有準確區分兩者，才能有效地分配資源、規劃應急回應，並最終將損失降到最低。

1. 事件
   • 指任何可能影響資訊安全的異常或未經授權的活動
   • 大多數事件並不會對組織造成實質危害
   • 事件是藍隊日常工作中經常會遇到的狀況
     • 可疑的登錄嘗試
     • 系統出現異常流量
     • 收到釣魚郵件
2. 事故
   • 指已經確認對組織資產或營運產生負面影響的事件
   • 發生事故代表企業的安全防線已經被突破
   • 攻擊者已經成功地入侵系統或竊取資料
   • 對組織造成實際的損害
     • 阻斷服務攻擊 (DoS) 導致網站癱瘓
     • 資料外洩導致客戶資料遭竊等

因此，藍隊需要建立明確的分類標準來區分事件和事故，並根據其嚴重程度採取不同的應急回應措施。

事件與事故分類標準

以下幾個標準幫助藍隊快速判斷事件是否已升級為事故：

• 影響範圍: 事件影響的系統數量、資料外洩規模、服務中斷時間等
• 損害程度: 事件造成的財務損失、營運損失、聲譽損害等
• 威脅程度: 攻擊者的技術水準、攻擊的複雜程度、攻擊者的動機等
• 應急回應需求: 事件是否需要立即採取行動進行緩解和處理

舉例

1. 事件：如果發現系統日誌中出現異常登錄嘗試時，這可能只是事件
2. 事故：如果進一步調查發現攻擊者已經成功取得系統管理員權限，則應立即將其升級為事故，並採取相應的應急措施

事件回應計畫的生命週期

參考規範 NIST SP 800-61r2 文件中詳細說明了事件回應生命週期，其主要分為四個階段：準備、偵測與分析、遏制、根除與復原，以及事件後活動。

一、準備階段

在這個階段，組織需要為事件回應做好準備，包括建立事件回應能力、制定政策和流程、培訓人員和準備工具等。

• 建立事件回應能力
  • 組織應建立正式的事件回應能力
    • 並制定相應的政策、計畫和流程
  • 這包括選擇適當的團隊結構和人員配置模型
    • 並建立團隊與組織內外部其他團隊之間的關係和溝通管道
• 預防事件
  • 儘管事件回應團隊通常不負責事件預防
    • 但預防對於事件回應計畫的成功很重要
  • 組織應採取適當的安全措施來降低事件發生的可能性
    • 進行風險評估
    • 加強主機和網路安全
    • 部署防毒軟體
    • 提升使用者安全意識

二、偵測與分析階段

在這個階段，組織需要識別和分析可能發生的事件，並確定事件的類型、程度和嚴重性。

• 識別事件徵兆
  • 事件的徵兆分為先兆和指標
    • 先兆是指事件可能在未來發生的跡象
    • 指標是指事件可能已經發生或正在發生的跡象
  • 組織應熟悉常見的攻擊媒介和攻擊指標，以便更快地識別可疑行為
• 分析事件
  • 組織需要分析事件相關資料，以確定事件是否真的發生，以及事件的嚴重程度
  • 需要深入的技術知識和經驗，以及有效的事件分析技術
    • 日誌分析、事件關聯和流量分析
• 事件分級
  • 根據事件的影響程度、資訊影響和復原工作量等因素
  • 對事件進行分級，以便優先處理更嚴重的事件
• 事件通報
  • 將事件通報給適當的內部人員和外部組織
    • 例如管理層、資訊安全團隊、執法部門和 US-CERT

三、遏制、根除與復原階段

在這個階段，組織需要採取措施來遏制事件蔓延、根除威脅並恢復受影響的系統和服務。

• 選擇遏制策略
  • 組織應根據事件類型和嚴重程度，選擇適當的遏制策略
  • 常見的遏制策略包括
    • 隔離受感染系統
    • 阻擋惡意流量
    • 禁用受影響服務
• 收集和保存證據
  • 如果需要進行法律訴訟，組織需要收集和保存事件相關證據
  • 需要遵循適當的取證流程，以確保證據的完整性和可採性
• 根除威脅
  • 組織需要採取措施來根除威脅
  • 例如清除惡意軟體、修復漏洞和恢復受損資料
• 恢復服務
  • 組織需要儘快恢復受影響的系統和服務，並確保其正常執行

四、事件後活動階段

在這個階段，組織需要從事件中汲取教訓，並改進事件回應流程和安全措施。

• 經驗教訓會議
  • 組織應召開經驗教訓會議
  • 以討論事件處理過程中的優缺點，並制定改進措施
• 事件後報告
  • 組織應編寫事件後報告
  • 記錄事件的詳細資訊、處理過程和經驗教訓。
• 使用收集到的事件資料
  • 組織可以使用收集到的事件資料
    • 改進安全措施、評估事件回應團隊的績效和衡量事件回應能力的改進
• 證據保留
  • 組織應制定證據保留政策，規定事件證據的保留期限

經驗教訓會議參考

1. 經驗教訓會議的目標
   • 識別事件處理過程中的優缺點
     • 回顧事件的整個生命週期
     • 分析每個階段的處理方式
     • 找出成功和不足之處
   • 分析事件發生的根本原因
     • 除了技術層面的漏洞
     • 也應探討流程、政策、人員等因素
     • 找出導致事件發生的根本原因
   • 制定改進措施
     • 根據會議討論結果
     • 提出具體的改進措施
     • 例如更新政策、流程、技術或加強人員培訓
   • 分享經驗教訓
     • 將會議結論和改進措施分享給相關部門和人員
     • 避免類似事件再次發生
2. 建議討論的議題
   • 事件偵測與分析：
     • 事件是如何被偵測到的？
     • 偵測的速度是否足夠快？
     • 分析的過程是否順利？
     • 是否有足夠的資訊進行分析？
   • 事件遏制與根除：
     • 遏制策略是否有效？
     • 根除威脅的措施是否到位？
     • 是否有足夠的資源和工具？
   • 事件復原：
     • 復原的過程是否順利？
     • 復原的速度是否足夠快？
     • 是否有備份和災難復原計畫？
   • 溝通與協調：
     • 內部溝通是否順暢？
     • 外部協調是否有效？
     • 是否有明確的通報流程？
   • 政策、流程和技術：
     • 現有的政策、流程和技術是否足以應對事件？
     • 是否需要更新或改進？
   • 人員培訓：
     • 事件回應團隊的技能是否足夠？
     • 其他人員的安全意識是否需要加強？
3. 參與人員
   • 事件回應團隊成員： 分享事件處理經驗和教訓
   • 管理層： 了解事件影響和改進措施
   • 資訊安全團隊： 提供專業意見和技術支援
   • 受影響部門的人員： 分享事件影響和改進建議
   • 資安顧問(不一定)： 提供專業意見和技術支援
4. 會議成果
   • 事件後報告： 記錄事件的詳細資訊、處理過程、經驗教訓和改進措施
   • 行動計畫： 列出具體的改進措施、負責人員和完成時間
   • 更新事件回應計畫： 根據會議結論，更新事件回應計畫，使其更完善、更有效

如何建立事件回應計畫

參考 NIST SP 800-61r2 規範提供建立事件回應計畫、策略和流程的指南，這些指南可以幫助組織更有效地處理事件和事故。

一、明確目標和範圍

• 定義「事件」
  • 清楚界定組織內部對於「事件」的定義，以利於後續的處理和分類
• 界定計畫範圍
  • 確定計畫涵蓋的系統、網路、應用程式和資料類型
  • 以及不同事件的嚴重程度和應急響應級別
• 設定目標: 明確事件回應計畫的目標
  • 縮短事件的偵測和響應時間
  • 最大限度地減少事件造成的損害
  • 從事件中汲取教訓，改進安全措施
  • 確保符合相關法規和政策要求

二、建立事件回應團隊

• 組建團隊
  • 選擇合適的團隊結構和人員配置模型，並指派具有必要技術和經驗的成員
• 定義角色和職責
  • 明確每個團隊成員的角色和職責，以及團隊內部的溝通和協調機制
• 提供培訓
  • 定期為團隊成員提供培訓，使其掌握最新的事件處理技術和工具。
• 建立合作關係
  • 與組織內部其他部門（例如法務部門、資訊安全部門、IT 支援部門）
  • 與外部組織（例如執法機構、其他事件回應團隊）
  • 建立聯繫和溝通管道

三、制定事件處理流程

• 準備階段
  • 收集必要工具和資源，例如
    • 聯絡清單
    • 加密軟體
    • 網路圖表
    • 備份裝置
    • 數位鑑識軟體
    • 埠清單
  • 建立事件日誌和報告模板
  • 制定證據收集和保存流程
  • 進行模擬演練，測試團隊的應變能力
• 偵測與分析階段
  • 建立事件偵測機制，例如
    • 入侵偵測系統 (IDS)
    • 防毒軟體
    • 日誌分析工具
    • 安全資訊與事件管理系統 (SIEM)
  • 定義事件的嚴重等級和分類標準
  • 收集和分析事件相關資訊
  • 判斷事件是否升級為事故，並採取相應的應急措施
• 遏制、根除和復原階段
  • 制定不同類型事件的遏制策略
  • 清除惡意軟體、修復受損系統、恢復服務
  • 收集和保存證據，以供後續調查和法律訴訟
• 事件後活動
  • 撰寫事件報告，記錄事件的詳細資訊、處理過程和教訓
  • 召開事件後檢討會議，分析事件原因、改進安全措施和應變流程
  • 追蹤事件處理結果，確保問題得到妥善解決

四、持續改進

• 定期審查和更新計畫
  • 根據最新的威脅環境和組織內部的變化
  • 定期審查和更新事件回應計畫、策略和流程
• 收集和分析事件資料
  • 收集和分析事件相關資料
  • 例如事件數量、類型、嚴重程度、響應時間等
  • 並利用這些資料來改進事件回應能力
• 參與資訊共享
  • 積極參與資訊共享社群
  • 與其他組織分享事件資訊和最佳實務
  • 並從其他組織的經驗中學習

總結

本文深入探討了藍隊如何透過整合日誌監控與事件回應，建立一個全面的資安防護體系。首先，我們介紹了日誌收集後的處理步驟，包括標準化、關聯性分析、SIEM 規則設定等。接著，我們詳細解釋了事件回應流程，包括事件與事故的區別、事件回應計畫的生命週期，以及如何建立有效的事件回應計畫。文章強調了準備、偵測與分析、遏制與復原，以及事後檢討的重要性，並提供了具體的實施建議。透過這些方法，組織可以提升其偵測、回應和管理資安事件的能力，從而加強整體的資安韌性。

小試身手

Q1: 在日誌分析過程中，關聯性分析的主要目的是什麼?
A) 統一日誌格式
B) 建立自動化規則
C) 識別潛在威脅或異常行為
D) 視覺化日誌資料

答案: C
解析: 關聯性分析的主要目的是分析多個來源的日誌，以識別潛在威脅或異常行為。這種分析方法可以幫助安全團隊發現單一日誌源可能無法顯示的複雜攻擊模式。

Q2: 下列哪項不是判斷事件是否升級為事故的標準?
A) 影響範圍
B) 損害程度
C) 威脅程度
D) 事件發生的時間

答案: D
解析: 事件發生的時間並不是判斷事件是否升級為事故的主要標準。影響範圍、損害程度、威脅程度和應急回應需求才是關鍵的判斷標準。這些標準可以幫助藍隊評估事件的嚴重性和urgency性。

Q3: 根據NIST SP 800-61r2，事件回應生命週期包含幾個主要階段?
A) 3個
B) 4個
C) 5個
D) 6個

答案: B
解析: 根據NIST SP 800-61r2，事件回應生命週期主要分為四個階段:準備、偵測與分析、遏制、根除與復原，以及事件後活動。這四個階段涵蓋了從事前準備到事後檢討的整個處理過程。

Q4: 在事件回應計畫中，「準備階段」應包含哪些元素?
A) 收集必要工具和資源
B) 建立事件偵測機制
C) 制定遏制策略
D) 撰寫事件報告

答案: A
解析: 在準備階段，組織應該收集必要的工具和資源，如聯絡清單、加密軟體、網路圖表等。此外，還應建立事件日誌和報告模板，制定證據收集和保存流程，並進行模擬演練。這些準備工作可以確保團隊在面對實際事件時能夠迅速且有效地回應。

Q5: 下列哪項不是事件後活動階段的主要任務?
A) 召開經驗教訓會議
B) 編寫事件後報告
C) 進行模擬演練
D) 制定證據保留政策

答案: C
解析: 進行模擬演練通常是在準備階段進行的活動，而不是事件後活動。事件後活動階段主要包括召開經驗教訓會議、編寫事件後報告、使用收集到的事件資料改進安全措施，以及制定證據保留政策等。這些活動旨在從事件中學習並改進未來的應變能力。