香港高防ip_网络安全解决方案_打不死

香港高防ip_网络安全解决方案_打不死

警报和检测策略框架Palantirfollow2017年12月20日11分钟阅读

警报和检测策略(ADS)是有效事件响应(IR)和检测团队的关键要求之一。运作良好的IR团队投入时间和精力开发新的警报假设。如果做得好,一个新的广告可以提供非常强的信号进入异常和潜在的恶意活动。如果做得不好,IR团队可能会发出大量低信号警报,造成疲劳、士气问题,并最终对其探测和根除邪恶的任务产生净负面影响。

这篇博客文章详细介绍了Palantir的IR团队如何开发广告,我们使用的流程框架,以及我们在早期警报开发中遇到的陷阱。此外,下列无法防御ddos,我们正在GitHub存储库上发布示例广告。GitHub项目为希望提高其检测策略效率的组织采用该框架提供了必要的构建块,我们希望分享我们内部广告的一个子集有助于更广泛地激发讨论和分享警报。

框架的案例

广告框架是一套关于广告设计、实施和推广的文档模板、流程和约定。在商定此类框架之前,在警报策略的实施方面,我们面临着重大挑战:缺乏严格性、文档、同行审查和总体质量标准,使得低质量警报无法部署到生产系统中。这经常导致警报冷漠或额外的工程时间和资源来修复和更新警报。临时或不成熟警报开发遇到的一些潜在问题包括:

警报没有足够的文档。

待命工程师可能不熟悉软件或目标操作系统。可能缺乏关于什么可能构成误报的明确指导。可能没有针对真正攻击的响应计划。

警报未经耐久性验证。

警报可能基于狭义标准,这会产生误报。警报可能基于过于宽泛的标准,这会产生误报。警报可能依赖于不正确的假设、不一致的数据源,或技术。

生产前未审查警报。

可能不需要变更控制。警报的优先级可能不一致或定义不明确。警报在实施过程中可能没有真正的积极测试。

ADS框架

我们的ADS框架旨在缓解上述问题。它帮助我们构建假设生成、测试、,以及新广告的管理。该框架包括以下部分:

目标分类战略摘要技术背景盲点和假设其他积极性验证优先响应传统资源

在部署新广告之前,必须完成并审查每个部分。这保证了任何给定警报都有足够的可用性文件,进行耐久性验证,高防cdn是不是高防主机,并在生产部署前进行审查。我们的所有生产或草稿警报都根据此模板进行记录,并且文档存储在持久、版本控制和集中的位置(如Wiki、GitHub条目等)。

广告的后续更改,如修改白名单、更改策略或注意其他盲点,应在修改时纳入ADS文档。在内部,我们使用类似于GitHub的模型,在该模型中,任何功能请求或缺陷都会作为相应ADS的问题打开。一名待命工程师将对相应的缺陷或功能请求进行分类,进行更改,然后在解决问题之前更新ADS文档。此过程确保ADS文档保持最新,服务器cc攻击怎么防御,同时保留更改的审核跟踪。现在让我们更详细地看一下这些部分。

目标对广告应该检测到的行为类型给出了简短的明文描述。分类将广告映射到米特对抗战术、技术和常识(ATT&CK)框架中的相关条目。ATT&CK为对手可能使用的各种攻击后技术和策略提供了一种语言。映射到ATT&CK框架允许对该技术进行进一步调查,提供将使用ADS的杀手链区域的参考,并可以进一步推动洞察和度量警报缺口。在我们的环境中,我们有一个知识库,将我们的所有广告映射到MITRE ATT&CK框架的各个组件。当生成新警报的假设时,工程师可以根据单个ATT&CK技术简单地检查我们最强或最弱的位置。战略摘要是关于广告如何运作的高级演练。这描述了警报要查找的内容、使用的技术数据源、发生的任何充实以及任何误报最小化步骤。技术上下文提供响应者了解警报所有组件所需的详细信息和背景。这应适当链接到任何平台或工具知识,并应包括有关警报直接方面的信息。技术背景部分的目标是为响应者提供一个独立的参考,防御ddos攻方法,以便对任何潜在警报做出判断,即使他们对广告本身没有直接的主题专业知识。盲点和假设是公认的问题、假设和广告可能不会触发的区域。没有一个广告是完美的,识别假设和盲点可以帮助其他工程师了解广告如何无法发射或被对手击败。误报是已知的由于错误配置、环境中的特殊性或其他非恶意场景而导致广告失败的实例。应在安全信息和事件管理工具(SIEM)中抑制这些误报警报,以防止在发生已知误报事件时生成警报。验证列出了生成触发此警报的代表性真阳性事件所需的步骤。这类似于单元测试,描述了工程师如何激发ADS。这可以是用于生成警报的步骤演练、触发ADS的脚本(如Red Canary的原子红色团队测试)或警报测试和编排平台中使用的场景。优先级描述了广告可能标记的各种警报级别。虽然警报本身应反映通过SIEM中的配置触发警报时的优先级(例如,高、中、低),但本节详细说明了特定优先级的标准。响应是触发此警报时的一般响应步骤。这些步骤指导下一个响应者对警报进行分类和调查的过程。其他资源是可能有助于理解ADS的任何其他内部、外部或技术参考。

案例研究:Python Empyre警报

热门推荐
  • ddos清洗_流量攻击防护ddos_优惠券

      在我上周的博客文章《揭秘机器学习:做出明智的安全决策》中,我讨论了一个评估机器学习声明的框架。本周,我们来看看......

    09-02    来源:长虹华伟

    分享
  • 香港高防cdn_防ddos攻击服务_怎么办

      近几个月来,关于加密的争论再次升温。最近,ThreatWire报道了一种新的工具,即GrayKey,它可以解密最新版本的iPhone,在整个......

    04-07    来源:长虹华伟

    分享
  • 服务器防御_防cc攻击代码c#_精准

      以下是从3月份开始的一些重要更新新的!你的冠状病毒和家庭资源中心的工作你知道吗,仅在3月份,网络犯罪者就发起了超......

    08-26    来源:长虹华伟

    分享
  • 高防ddos_高防服务器文章_秒解封

      我们面临着许多网络安全挑战,但Avast准备用我们迄今为止最强大的保护来迎战这些挑战。 技术已经成为我们生活中不可或缺......

    05-23    来源:长虹华伟

    分享
  • ddos防火墙_服务器防护软件_新用户优惠

      本季共10集,于美国东部时间9月7日晚9点播出,在DIRECTV和atT*将于美国东部时间2016年9月7日晚9点推出广受好评的第三季系列节......

    03-13    来源:长虹华伟

    分享
  • ddos防御工具_ddos防护原理_限时优惠

      上周,我们在Reddit上讨论了恶意软件加密器、图像文件执行选项(IFEO)和电影垃圾邮件子标题。恶意软件情报分析师克里斯......

    03-21    来源:长虹华伟

    分享
  • cdn防御cc_游戏盾是什么_限时优惠

      你知道吗,35%的员工会出售公司信息,有些人只接受100英镑?为了有效地保护您的关键业务数据,您需要真正了解值什么从运......

    06-17    来源:长虹华伟

    分享
  • ddos防护_cc防御软件_打不死

      2015年10月是国家网络安全联盟第12个年度全国网络安全意识月。为了提高网络意识,我们发布了一个有趣的测试,测试你的共......

    04-26    来源:长虹华伟

    分享
  • 服务器防护_免费高防cdn_怎么办

      FacebookTwitterLinkedIn分享John和我昨天结束了OWASP AppSec 2007圣何塞会议。现在我们将与一些客户和合作伙伴会面,然后返回德克萨......

    11-22    来源:长虹华伟

    分享
  • 防御ddos_上海云盾_3天试用

      Imperva最近发现并缓解了其历史上规模最大、最集中的一系列暴力ATO(账户接管)攻击。从10月28日午夜开始的60个小时里,我......

    03-14    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。