Shuffle自动化和检测框架-开源SOAR

Shuffle已经有将近一年的历史了，，现在是时候用Shuffle的方式来调整检测指针了。自从上次我们写Shuffle以来，它已经发展到“任何事情都有可能”的地步，不管是好是坏。这很好，因为产品可以做很多。不好，因为它不够集中。这就是为什么在可预见的未来，我们会每月写多篇博文，强调我们现在的状况，并用Shuffle解决问题。也许我们也能解决你的问题。

我们的目标是让分析师的生活更轻松、更有成就感，而要做到这一点，我们需要从简单做起。那是什么意思？这意味着，通过更有效地使用现有工具，可以减少查看所有打开的不同浏览器选项卡所花费的大量时间，并将精力集中在最重要的任务上。

你现有的工具是什么?它们如何能被用来丰富你或你的分析师的生活?为了回答这个问题，我们深入了各种操作团队，并与他们的数百种工具进行了集成。我们还找到了导致分析员极度疲劳的根本原因。很明显，你的SOC检测有误。这是为什么。

一、开始检测

检测工程很难。这是每个人都应该做的事情，我们中的一些人确实在做，但不是我们大多数人积极关注的事情。为什么?因为这给我们自己创造了更多的工作。意思是抓住更多不好的事情，但不要太多。为什么这是个问题?因为我们都有有限的能力，并希望保持我们的理智。这与发现本身没有多大关系，而更多的是与后来发生的事情有关;事件处理和花费的时间。

检测有很多变种;SIEM, IDS, EDR, IAM, WAF, AV和许多其他(缩写-)工具都有这种能力。但是你知道如何很好地使用它们吗?如果你这样做了，对你和你的团队都很好，但机会是;你不。你也不必这么做。这些工具的存在是为了帮助您进行检测，您不需要成为各个方面的专家。但这不是今天的现实。现实情况是，它们都不是最优的，或者根本就不是。这是Shuffle可以解决的问题。让你对你的资源有一个更好的概述，并尽可能以最好的方式利用它们——用于检测或其他。如何?

二、我们将如何帮助您获得事件上下文

上图是安全操作工具的简化视图。你在SOC中需要的所有东西都可以放到这些盒子里(如果你不同意，请评论)。每种工具都有其独特的卖点，但它们的功能通常是相同的。我们开始挖吧。

案例:您运营的核心。你的分析师应该工作的地方,和 context。遗憾的是，这一工具目前尚未得到充分利用。我最喜欢的一个例子;TheHive。

IAM:身份访问管理。为什么这很重要?因为了解一个人是谁，他拥有什么，应该拥有什么是很重要的。例如:Keycloak

资产:资产管理，CMDB，漏洞管理，文档，漏洞等。你可以在任何地方找到有用的主机和用户关系。例如:Snipe-IT

Intem:一个宽泛且误用的名称，intel的意思是任何可以帮助你解决事件的情报。最常用于威胁情报提供商。例如:MISP GreyNoise

SIEM:你的数据湖，经常被误用为工作场所，而不是在将数据移出之前发现和检测的场所。例子:Wazuh、ELK

网络:防火墙，IDS/IPS, DNS服务器，交换机，NSM引擎。例如:Pf Sense

根除:EDR, Antivirus, Powershell & Bash…这是一个广泛的类别，定义了可以执行和可以执行的预防措施——通常在主机级别。例如:Velociraptor, OSSEC

通讯:电子邮件，聊天服务，短信等。应用于半自动化工作流的通知和验证。所有票只在Slack/团队不是一个好主意长期。

尽管如此，框架除非付诸行动，否则是无用的。我们的SOC工具框架的目标是帮助您理解我们的方法，以及如何将其整合到您的流程中。我们将从高层次开始，并最终接触到各个工具及其用例—从检测开始。

上面的图片是框架每个部分使用的一个高级示例。从左边，您可以看到我们定义Sigma、Snort和Yara，它们适合检测区域。这些都是我们已经支持的工具，但我们计划让每个人都更容易使用。同样，良好的检测和共享是目标。在中间你可以看到两个以人为中心的区域;案例管理和沟通。这可以与其他的相适应，但在大多数情况下不会也不应该。在右边，你可以看到最后的三个片段，它们被用来使一个事件的背景更容易理解。

那下一步怎么办?你是如何把它付诸行动的?让我们去深入。

这个例子展示了您的外部基础设施被利用的例子——让它更具体一点;让我们假设它是一个带有WAF (Web应用防火墙)的网络服务器。在左边你可以看到现在大多数人使用的半手动方式，而在右边，你可以看到如何优化它。点线表示自动操作(通常是API的)，而蓝色是人工操作。

仔细看图片的左边部分，这里是它是如何运行的(手动):

1、WAF会给你发警报，然后发给SIEM。你有一个API，它把这个发送到你的通信系统(如电子邮件或Slack)。

2、过了一段时间，你看到了这条消息，想知道它是什么，是否有人正在处理它(如果你使用带有标签的共享电子邮件，请获得一个ticket系统)。

3、首先回到WAF获取实际的上下文，同时还要在SIEM中收集事件日志。

4、您将开始探索它来自的IP，并寻找它的目标服务，看看它是否容易受到攻击。什么以及谁拥有这项服务?源IP是否只针对你或所有人?利用是什么?它工作了吗?等。

5、经过一个小时的信息搜索，您发现该漏洞确实有效，攻击以前没有发生过，它是有目标的，您需要补救。现在进行此步骤可能为时已晚，但您决定隔离受到损害的主机。

现在，将它与右侧(自动)进行比较;

1、您从WAF(网络)获得一个警报，发送到SIEM, SIEM进一步将其转发给Shuffle。Shuffle被配置为在案例管理系统中创建警报。

2、在添加案例时，Shuffle进一步查找其他类似的事件(Cases)，检查谁拥有服务(IAM & Assets)，服务是否脆弱(Assets, VMS)，源IP是否针对你(Intel)

3、Shuffle向您的团队的通知通道发送消息，这只会发生在高度严重的事件中。它还调用您定义的on-call。

4、分析人员在他们的案例管理系统中看到所有需要的信息，并决定立即采取行动，因为成功利用的可能性很大。

5、大约5分钟后，分析人员采取了行动并隔离了服务器(这可能是正确的，也可能是错误的)，并通知了服务所有者。

看出不同了吗?在第一个示例中，分析师必须搜索信息，可能根本没有注意到事件，而在第二个示例中，信息就在手边，并在必要时立即准备好。出发点、目标和过程都是一样的，但如果不是完全自动化的话，你会更快地得出结论。随着时间的推移，这还有一个巨大的好处;你的团队就不会出现“警报疲劳”。

三、善用你的资源

Shuffle并不是一种灵丹妙药，而是试图将你现有的工具变成一种灵丹妙药。我们希望授权您的员工去做创新的安全工作，而不是那些可以自动化的工作。很多人在体验“有趣”部分(如1级SOC分析师)之前就放弃了网络安全，而这是实现这一目标的唯一途径。使用你可用的工具和资源不应该像一开始看起来那么难。

在接下来的几周和几个月里，我们将进一步探索实际的用例，您可以自己尝试使用这个框架中的基础。我们将解决网络钓鱼、丰富、工具构建等问题，并向您展示如何对该事件进行良好的概述，从而为每个人带来成功。上面所有的工具都可以作为起点使用(不仅仅是Network和SIEM)，我们想探究每一个工具会发生什么。