本文是一位SOC安全运维人员的笔记,探讨了如何利用Splunk构建和完善SOC。文章介绍了SIEM(安全信息和事件管理)、UEBA(用户和实体行为分析)、SOAR(安全编排、自动化和响应)的概念和作用。Splunk作为SIEM工具,用于统一收集和分析安全设备日志,减少了运维人员的工作负担,但存在误报和噪音问题。UEBA通过用户角色识别和行为建模提升态势感知能力,降低误报。SOAR则通过自动化剧本提高事件研判和响应效率。文章强调了威胁情报在安全运营中的重要性,并指出Splunk在终端检测响应(EDR)方面的作用有限。
零、免喷符
SOC部门小菜鸟一枚,此乃自闭学安全的笔记记录,行文潦草,随性笔记。
通过上一篇的勒索病毒案例,已经了解到Splunk的强大之处。Splunk那么死贵,他的角色是怎样的,又是怎么和安全及SOC联系起来的,该如何利用它。
这个故事得从SOC开始说起。
SOC,就是那个SOC啊。。。。本人从2020年在某乙方安全中厂开始接触SOC运营至今,从一开始被如SIEM、态势感知、MSS、UEBA、SOAR等一堆名词弄一脸懵逼,到现在算是小有头绪,希望用大白话的方式(主要我也是野路子)能对正在进行SOC安全建设的小伙伴提供一些思路上的帮助。
1、上来就整一个暴论
私认为一个完善形态的SOC必不可少的几大项:SIEM、UEBA、SOAR、TIP、EDR
2、啥是SIEM
1、我,张三,信息安全主管,来到这家公司,才知道这里次次HVV行动都被Red Team打烂,才知道是被忽悠来,要对公司的安全建设进行升级。
2、公司安全建设现状:基本的安全设备(其他那些所谓高大上的安全设备先按下不表),能买的都买了,软的硬的都上了。
出口边界:已经有NGFW、IPS、DDOS,邮件防护网关等
DMZ区:已经有WAF、系统防护软件等
办公区:终端防护软件等终端几件套
运维区:DLP、运维审计系统等
3、我还能做些什么呢?还要上啥设备吗?
首先,肯定得招些安全运维,还要懂点安全分析的老哥,将安全运维常态化。7*24 实时监控,及时处理告警,定期出具安全报告。
问题是总不能让这个老哥一遍又一遍的轮询这些安全设备吧。那他不出一个月肯定想着跑路了。
4、不得不面对的现实,最残忍的就是收到市里应急响应中心的红头文件通报,什么监测到你司的公网IP在挖矿,或是僵尸网络,限期几天内整改,还要出份报告。那就得溯源分析了,主要的安全设备都过一遍,单单网络排查,流量进站方向查一查,出站筛选查一查,内部横向查一查,真是够忙活。
5、此时,引出了SIEM,以Splunk
enterprise为例,把所有安全设备的安全日志管理都收集起来统一存放到存储桶,字段提取,为每台设备提供一个仪表板区域。比如被通报的是僵尸网络,通报附上是广州出口IP连接到哪个外部IP,或是解析什么域名。假如是解析僵尸主机域名www.attack.com那么此时只需要简单地在搜索框输入以下命令,就会所有设备有关该域名的所有日志全都搜索出来,排查思路跟上篇大差不差。
index=guangzhou www.attack.com
6、SIEM的好处:
安全运维的老哥不需要做轮询机器人了,只需要一站式检索,即可了解攻击事件的攻击链;展示1块大屏仪表板显示各种如外部攻击源Top,外部攻击目的Top,内部攻击源Top等等,老板看的很爽,觉得钱没白投,安全工作成果一下子可视化了、等保要求的六个月日志储存要求也OK,等等。。。
7、SIEM的不足:
所有的安全信息来源于这种基于签名的传统安全设备日志,本质上还是一种被动防御,不能检测未知攻击或已知攻击变种,尤其是0-day攻击。需要不断更新攻击签名数据库,耗时耗力,在每次HVV行动,RedTeam的兄弟不是过狗就过WAF各显神通
。
日志告警噪声太大。SIEM是一
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
