超级会员免费看
安全监控运营:从策略到实践
在安全监控领域,分析师常常需要花费大量时间调查无法自动化处理的事件。由于人力成本高昂,组建大规模的专业分析团队可能并不现实。不过,通过自动化手段,我们可以在一定程度上减轻人员不足的影响,比如将高保真事件自动化,并利用基于情报源的策略(如陷阱服务、恶意域名列表和文件名指示器),从而腾出更多时间进行调查工作。
系统化方法
要开展有效的安全监控分析,我们需要构建一个完整的框架,该框架主要包括以下几个关键系统:
- 剧本管理系统
- 日志和事件查询系统
- 结果展示系统
- 案例跟踪系统
- 补救流程系统
在设计这些系统时,我们可以考虑整合部分功能,以简化运营开销。例如,查询系统和展示系统可以自然地结合,因为在日志查询系统搜索后,报告结果会被展示出来。整个过程的关键在于实现连贯、可重复且明确的报告展示和分析。同时,从开发初期就构建核心指标非常重要,而不是在后期再添加。
剧本管理系统
Cisco的CSIRT使用Bugzilla作为剧本管理软件。尽管Bugzilla原本是用于软件开发项目中的缺陷跟踪,但它能很好地满足我们管理和维护剧本的需求,具体功能如下:
- 创建自定义字段
- 跟踪剧本进度和生命周期
- 提供基本通知(如电子邮件、RSS等)
- 执行排队和分配功能
- 自动化报告和指标
- 记录和日志更改
通过Bugzilla,我们可以创建自由文本字段来跟踪不同属性(如报告名称、目标、分析、查询),跟踪分析师提交的报告,还可以切换报告状态,从“提交”到“退役”甚至“重新开启”。Bugzil
订阅专栏 解锁全文
扫一扫
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
