海量数据下的安全事件运营（16页）.pdf

《海量数据下的安全事件运营（16页）.pdf》由会员分享，可在线阅读，更多相关《海量数据下的安全事件运营（16页）.pdf（16页珍藏版）》请在三个皮匠报告上搜索。

1、海量数据下的安全事件运营Author：雷 春company：度小满Research：安全检测/应急响应/红蓝对抗等ID：lcamry安全发展历程应急响应单兵作战，无法联动，效果不佳单设备报警过多，有限人力无法处置基础建设环境不断变化，产品需不断迭代未知威胁感知能力不足自建安全能力与商业化产品割裂事件驱动阶段安全架构阶段安全运营阶段TDIR事件来源单一且存在滞后性事件处置完全依赖人力未知威胁感知能力不足安全能力联动复杂性高数据量巨大，耗费资源较大计算能力需求较高运营人员能力要求较高及时响应安全事件风险看不见、摸不着安全产品自研or采购安全能力风险看得见、摸不着体系作战有限资源下的安全对抗风险看得

2、见、摸得着基于端点安全能力的整合基于数据内容的整合安全运营转型的选择XDRExtended Detection And Response扩展检测响应(EDR+EPP+NDR+UBR)基本为商业软件（PA、Trend Micro、Trellix、Nsfocus等）如自研实现XDR，投入研发精力较大需推动终端agent部署且终端消耗大集成程度高，省心省力能力整合NG-SIEM+SOARNG-Security Information and Event ManagementSecurity Orchestration Automation and Respones(数据源的整合)商业软件(Splun

3、k、QRadar等)开源(elastic)安全运营人员要求高（数据理解+安全落地）安全集成程度低（搜索能力最为重要）方案构建灵活性高（适应基础环境变化、自定义安全能力）NG-SIEM能力不足无法运营IPDRR报警事件被动响应主动防守威胁情报NG-SIEM解决的痛点 安全能力缺失覆盖部分攻防点IT环境变化单点设备的缺陷 应急能力不足0day应急应急排查没有数据源MTTR/MTTD 报警数据泛滥设备类型众多日均报警10W+报警数据准确率低无法形成有效事件 分析能力不足无上下文分析无法关联分析检测方式单一不能定制化分析NG-SIEM架构NG-SIEM之数据建设哪些数据可以玩NG-SIEM之数据建设数

4、据难点&解决方案8数据难点 多源数据来源众多：kafka、安全设备、生产服务器、云盘、数据库等数据接入通道方式多样化：syslog、http、tcp、udp等 多元数据结构多样化：文本、可执行文件、pcap、文档、数据库等需提供多种不同结构数据的存储&分析引擎 多量数据量众多，日增TB级别数据甄别工作量巨大：需分析大量已有数据，确定有用数据&字段数据解决方案 设立数据PM岗位，理解全量数据(字段级别)，并按需接入有价值的数据 制定数据接入标准，只收集“高质量”数据 建立数据相关服务，例如数据通道、数据监控等服务 提供多种数据接入方式&多种数据分析引擎数据相关服务有用的数据&字段存在上下文信息尽

5、可能准确的数据尽可能为基础数据自生产的数据数据接入标准终端数据采集能力多条数据接入通道数据传输监控数据Meta信息管理数据格式化存储NG-SIEM之数据建设数据解决方案推荐splunksyslogHdfskafkalogstashElasticsDataBase数据仓库数据通道数据管理+监控NG-SIEM之检索建设检索能力为核心检索能力数据优化检索优化增加硬件计算数据结构化流式计算检索语句优化选择优秀平台数据分区分桶通用数据模型特殊处理引擎hivesplunksparkprestoCH/Mongo/flink等NG-SIEM之安全方案建设安全架构建设自建检测能力数理统计数理统计基于机器学习的基

6、于机器学习的异常检测异常检测/预测分析预测分析Active Threat Hunting规则判断规则判断模式识别模式识别关联分析关联分析基础安全能力终端检测终端检测情报辅助情报辅助网络检测网络检测MITRE ATT&CK/MITRE SHIELD/D3fend/Engage邮件检测邮件检测安全建设方案11兼容性自适应NG-SIEM之安全方案建设主动hunting添加检测规则1.注重规则准确率（攻击的深入理解），减少报警数据；-frp2.开放性规则，哨兵带来的惊喜-dnslog添加数理统计1.统计学的阈值设定的合理性，检测率和报警数量的平衡2.规律性统计：