文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

建立安全运营中心(SOC)威胁情报,你学会了吗?

2024-11-30 06:08

关注

本页绝不是 TI 的 Codex,而是为您介绍交付 TI 的基本组件,这些组件对 SOC 的检测能力有影响。英国内政部制作了一份有用的指南,更详细地探讨了 TI 的复杂性。

威胁情报 (TI) 的作用

威胁情报是指对攻击者活动的了解。这可以是关于威胁行为者动机的简单叙述,也可以是对攻击者策略、技术和程序的深入技术描述。

威胁情报的价值取决于您的检测方法:

TI 还提供了在入门时有用的宝贵见解。

情报共享

无论采用哪种方法,及时了解最新的威胁形势都至关重要,这就是情报共享发挥作用的地方。

NCSC 运营一项名为网络安全信息共享合作伙伴关系 (CISP) 的服务,这是一项行业和政府联合倡议,旨在允许英国组织在安全和保密的环境中共享网络威胁信息。

CISP 适合在组织内负有网络安全义务的专业人士。这些人必须为英国注册组织或英国政府工作。

欲了解更多信息,请参阅我们的CISP 页面。 

TI 格式

在思考 TI 时,痛苦金字塔很有价值。它指的是如果您可以检测到攻击者的部分攻击,攻击者将必须做的额外工作(痛苦)量,突出了 TI 在 SOC 中的重要性。

痛苦金字塔-TI 有多种格式,但您可以将其分为三大类。其实际使用范围取决于 SOC 中可用的工具和资源。在理想情况下,SOC 将利用所有类型的 TI。

妥协指标 (IoC) - 在最低级别,开源 TI 源将提供妥协指标。这将包括已知的不良 IP 地址、域、哈希值和字符串等内容,所有这些都可以与您的日志进行比较。如果匹配则表明系统正在与已知的不良 IoC 进行交互。有许多 IoC feed 可以使用并引入到监控解决方案中。 

战术技术和程序 (TTP)  - 比 IoC 稍微抽象一些,定性 TI 通常指的是攻击者 TTP,这对于创建行为分析非常有价值。例如,与您的组织相关的某个威胁参与者一直在利用几个特定的系统工具来执行权限升级。此类信息如果使用正确,可以转化为检测用例。

情境 - 更抽象的信息可能有助于指导研发或完善 SOC 策略。这通常包括有关趋势和地缘政治局势的信息。

威胁情报平台 (TIP)

小心,这里有龙  万金油!TIP 是 SOC 存储、关联和管理 TI 的地方。它们配置为从 TI 提供商获取 TI 源(通常是 IoC),并链接到您的 SIEM 工具以实现 IOC 的自动检测。

市场上有多种 TIP,因此找到适合您的工具非常重要。如果无需太多麻烦就需要 TI,那么商业工具可能非常宝贵,但可能缺乏开源工具带来的一些自由。(MISP是使用最广泛的平台之一,值得考虑) 

获得TIP后,需要找到可为SOC提供最大价值的 TI 源。开源源为您的组织提供一系列情报 (OSINT)。也有一些商业源可以提供稍微更定制的服务。

实施 TIP 的关键部分是:

来源:祺印说信安内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯