Shuffle自动化和检测框架-开源SOAR
Shuffle自动化和检测框架-开源SOAR
Shuffle已经有将近一年的历史了,,现在是时候用Shuffle的方式来调整检测指针了。自从上次我们写Shuffle以来,它已经发展到“任何事情都有可能”的地步,不管是好是坏。这很好,因为产品可以做很多。不好,因为它不够集中。这就是为什么在可预见的未来,我们会每月写多篇博文,强调我们现在的状况,并用Shuffle解决问题。也许我们也能解决你的问题。
我们的目标是让分析师的生活更轻松、更有成就感,而要做到这一点,我们需要从简单做起。那是什么意思?这意味着,通过更有效地使用现有工具,可以减少查看所有打开的不同浏览器选项卡所花费的大量时间,并将精力集中在最重要的任务上。
你现有的工具是什么?它们如何能被用来丰富你或你的分析师的生活?为了回答这个问题,我们深入了各种操作团队,并与他们的数百种工具进行了集成。我们还找到了导致分析员极度疲劳的根本原因。很明显,你的SOC检测有误。这是为什么。
一、开始检测
检测工程很难。这是每个人都应该做的事情,我们中的一些人确实在做,但不是我们大多数人积极关注的事情。为什么?因为这给我们自己创造了更多的工作。意思是抓住更多不好的事情,但不要太多。为什么这是个问题?因为我们都有有限的能力,并希望保持我们的理智。这与发现本身没有多大关系,而更多的是与后来发生的事情有关;事件处理和花费的时间。
检测有很多变种;SIEM, IDS, EDR, IAM, WAF, AV和许多其他(缩写-)工具都有这种能力。但是你知道如何很好地使用它们吗?如果你这样做了,对你和你的团队都很好,但机会是;你不。你也不必这么做。这些工具的存在是为了帮助您进行检测,您不需要成为各个方面的专家。但这不是今天的现实。现实情况是,它们都不是最优的,或者根本就不是。这是Shuffle可以解决的问题。让你对你的资源有一个更好的概述,并尽可能以最好的方式利用它们——用于检测或其他。如何?
二、我们将如何帮助您获得事件上下文
上图是安全操作工具的简化视图。你在SOC中需要的所有东西都可以放到这些盒子里(如果你不同意,请评论)。每种工具都有其独特的卖点,但它们的功能通常是相同的。我们开始挖吧。
案例:您运营的核心。你的分析师应该工作的地方,和 context。遗憾的是,这一工具目前尚未得到充分利用。我最喜欢的一个例子;TheHive。
IAM:身份访问管理。为什么这很重要?因为了解一个人是谁,他拥有什么,应该拥有什么是很重要的。例如:Keycloak
资产:资产管理,CMDB,漏洞管理,文档,漏洞等。你可以在任何地方找到有用的主机和用户关系。例如:Snipe-IT
Intem:一个宽泛且误用的名称,intel的意思是任何可以帮助你解决事件的情报。最常用于威胁情报提供商。例如:MISP GreyNoise
SIEM:你的数据湖,经常被误用为工作场所,而不是在将数据移出之前发现和检测的场所。例子:Wazuh、ELK
网络:防火墙,IDS/IPS, DNS服务器,交换机,NSM引擎。例如:Pf Sense
根除:EDR, Antivirus, Powershell & Bash…这是一个广泛的类别,定义了可以执行和可以执行的预防措施——通常在主机级别。例如:Velociraptor, OSSEC
通讯:电子邮件,聊天服务,短信等。应用于半自动化工作流的通知和验证。所有票只在Slack/团队不是一个好主意长期。
尽管如此,框架除非付诸行动,否则是无用的。我们的SOC工具框架的目标是帮助您理解我们的方法,以及如何将其整合到您的流程中。我们将从高层次开始,并最终接触到各个工具及其用例—从检测开始。
上面的图片是框架每个部分使用的一个高级示例。从左边,您可以看到我们定义Sigma、Snort和Yara,它们适合检测区域。这些都是我们已经支持的工具,但我们计划让每个人都更容易使用。同样,良好的检测和共享是目标。在中间你可以看到两个以人为中心的区域;案例管理和沟通。这可以与其他的相适应,但在大多数情况下不会也不应该。在右边,你可以看到最后的三个片段,它们被用来使一个事件的背景更容易理解。
那下一步怎么办?你是如何把它付诸行动的?让我们去深入。
这个例子展示了您的外部基础设施被利用的例子——让它更具体一点;让我们假设它是一个带有WAF (Web应用防火墙)的网络服务器。在左边你可以看到现在大多数人使用的半手动方式,而在右边,你可以看到如何优化它。点线表示自动操作(通常是API的),而蓝色是人工操作。
仔细看图片的左边部分,这里是它是如何运行的(手动):
1、WAF会给你发警报,然后发给SIEM。你有一个API,它把这个发送到你的通信系统(如电子邮件或Slack)。
2、过了一段时间,你看到了这条消息,想知道它是什么,是否有人正在处理它(如果你使用带有标签的共享电子邮件,请获得一个ticket系统)。
3、首先回到WAF获取实际的上下文,同时还要在SIEM中收集事件日志。
4、您将开始探索它来自的IP,并寻找它的目标服务,看看它是否容易受到攻击。什么以及谁拥有这项服务?源IP是否只针对你或所有人?利用是什么?它工作了吗?等。
5、经过一个小时的信息搜索,您发现该漏洞确实有效,攻击以前没有发生过,它是有目标的,您需要补救。现在进行此步骤可能为时已晚,但您决定隔离受到损害的主机。
现在,将它与右侧(自动)进行比较;
1、您从WAF(网络)获得一个警报,发送到SIEM, SIEM进一步将其转发给Shuffle。Shuffle被配置为在案例管理系统中创建警报。
2、在添加案例时,Shuffle进一步查找其他类似的事件(Cases),检查谁拥有服务(IAM & Assets),服务是否脆弱(Assets, VMS),源IP是否针对你(Intel)
3、Shuffle向您的团队的通知通道发送消息,这只会发生在高度严重的事件中。它还调用您定义的on-call。
4、分析人员在他们的案例管理系统中看到所有需要的信息,并决定立即采取行动,因为成功利用的可能性很大。
5、大约5分钟后,分析人员采取了行动并隔离了服务器(这可能是正确的,也可能是错误的),并通知了服务所有者。
看出不同了吗?在第一个示例中,分析师必须搜索信息,可能根本没有注意到事件,而在第二个示例中,信息就在手边,并在必要时立即准备好。出发点、目标和过程都是一样的,但如果不是完全自动化的话,你会更快地得出结论。随着时间的推移,这还有一个巨大的好处;你的团队就不会出现“警报疲劳”。
三、善用你的资源
Shuffle并不是一种灵丹妙药,而是试图将你现有的工具变成一种灵丹妙药。我们希望授权您的员工去做创新的安全工作,而不是那些可以自动化的工作。很多人在体验“有趣”部分(如1级SOC分析师)之前就放弃了网络安全,而这是实现这一目标的唯一途径。使用你可用的工具和资源不应该像一开始看起来那么难。
在接下来的几周和几个月里,我们将进一步探索实际的用例,您可以自己尝试使用这个框架中的基础。我们将解决网络钓鱼、丰富、工具构建等问题,并向您展示如何对该事件进行良好的概述,从而为每个人带来成功。上面所有的工具都可以作为起点使用(不仅仅是Network和SIEM),我们想探究每一个工具会发生什么。