21、日志探索与安全报告创建指南

日志探索与安全报告创建指南

1. 构建高质量查询的基础

在安全监控中，构建有效的查询以发现恶意活动至关重要。通常，正向特征（事件匹配所需的特征）比负向特征（事件匹配时需排除的特征）更强大且不那么挑剔。创建高质量查询的一个技巧是利用正向特征，使你要查找的事件在日志中的其他事件中脱颖而出。当你确定了描述目标事件的一组特征后，只需构建一个同时选择这些特征的查询即可。但如果目标事件没有足够的独特特征，那么可操作的空间就会有限。

2. 基于已知报告探索未知事件

2.1 利用现有报告拓展思路

当你需要基于预感而非具体示例创建报告时，现有的报告往往是新报告创意的最佳来源。在为特定事件识别特征并构建查询的过程中，你已经花费了大量时间找出事件的独特特征。如果去掉最具体的特征，同时保留一些“不良”的通用指标，就可以搜索比已知事件更广泛、更具包容性的日志。这类查询虽然由于良性事件和误报较多，不太适合作为调查性报告，但对于寻找先前未知的事件来说，是很好的探索性查询。

例如，基于HTTP日志创建的报告中，可能会有一些查找没有Referer头的POST请求的报告。在正常情况下，浏览器在没有Referer头的情况下向服务器发送POST请求的情况很少见且情况复杂。然而，仅查找同时具备这两个特征的匹配项会产生过多误报。如果通过宽泛的查询发现了可疑事件，就可以以此为基础进行进一步探索。

2.2 示例查询及分析

以下是一个使用没有Referer头的HTTP POST请求进行宽泛搜索的查询示例：
- HTTP POST
- No Referer header
- Deduplicated event