来源:https://chrissanders.org/2018/12/additional-outputs-content-matching/
简单的内容匹配为我们的许多调查提供了启动点。您编写一个签名,它匹配某些内容,从而生成一个警报,然后我们调查警报以确定是否确实发生了恶意事件。这种工作流非常常见,以至于我们倾向于认为匹配和警报是同义的。这是有问题的,因为它限制了在匹配之后可以采取的所有其他重要途径。
在这篇文章中,我将讨论如何将匹配与其他功能结合起来,以使安全分析人员受益。
一、内容匹配
搜索的基本组件中的内容匹配。您提供内容并使用工具筛选数据以确定其中是否存在内容。手工内容匹配是SIEM、EDR和日志聚合器等工具支持的基本调查过程。然而,并非所有的内容匹配都是手工的。
而不是选择性地搜索数据集,我们也有软件能够不断地寻找内容匹配的数据出现。大多数组织依赖于入侵检测系统形式的自动内容匹配,该系统不断评估来自网络或主机的数据。我将在本文中重点讨论这种自动匹配其各种表单的方法。
二、匹配输出
与其将自动内容匹配和警报概念化为相同的函数,不如将它们视为管道中的各个部分。内容匹配被发送到管道中的下一个步骤,这可能涉及警报、异常事件索引、装饰、用户通知、动作ticket或其他东西。
内容匹配可以有多个有益的输出。
三、报警
最常见的匹配输出是一个警告。警报将内容匹配放到一个队列中,供人工分析人员筛选和调查。大多数人认为他们的SIEM就是那个队列,但是警报队列只是大多数SIEM的单一功能,并且可以作为一个独立的功能存在(就像Sguil或Squert提供的功能一样)。
三、异常事件索引
如果您只追求可立即检测的内容匹配,则会错过内容匹配提供的许多价值。有很多有趣的东西可以匹配,在调查的背景下变得有用,但不一定是值得警惕的。考虑下面的例子:
(1)一个友好的系统,使用的用户代理不在已知的良好UAs白名单上。
(2)一个友好的系统与一个低信任黑名单上的IP通信。
(3)从一个以前从未登录过的位置登录到VPN的用户帐户。
我不想对每一种情况都保持警惕,因为我将被大量的合法活动淹没。当将内容匹配与警报配对时,我们通常会努力使恶意活动发生的概率高一些。为了整数,假设是99%在上面的列表中,每一种情况都不太可能导致恶意活动,但它们仍然代表了某种程度的异常,可能是10-20%。这个程度本身并不能保证启动调查,但是当您试图确定是否发生了恶意事件时,它在另一项调查中确实有用。系统或用户也可能会产生怀疑,如果几个低功效匹配一起发生在复合效果。
根据恶意的可能性将内容匹配排序到不同的队列中。
在实践中,可以将这些低级上下文匹配发送到辅助队列,或发送到索引事件存储(如弹性/Splunk索引)。这些事件必须是可搜索的,因为这是它们的价值实现的方式。例如,假设我正在调查一个我怀疑被投诉的友好的主机。我的工作流程应该包括问这样一个问题:“这个系统是否产生了任何低效的异常现象?”此时,我可以在事件存储中搜索系统IP、主机名,甚至是与系统绑定的用户帐户。
四、事件装饰
除了将较低功效事件发送到专门的可搜索索引之外,还可以将此信息添加到其他事件中以提供上下文。将附加信息组合到现有事件通常称为装饰或充实。可以内联或追溯地编辑事件的软件便于装饰。
事件数据由来自内容匹配的信息装饰。这些信息与事件一起存储,通常作为标签。
例如,考虑这样一个调查,您正在检查Windows事件日志,以确定在可疑网络活动后执行了哪些应用程序。您最终会遇到一个表示以前从未见过的应用程序的事件。除了典型的Windows事件信息外,您还可以看到一个字段,该字段具有附加标记,这些标记被装饰到事件上。喜欢的东西:
非标准:应用程序不在网络的标准映像上。
黑名单:文件哈希出现在从供应商或OSINT源获得的黑名单中。列表中没有足够的上下文直接提醒输入,但这些信息在调查上下文中是有用的。
从未见过的:这个应用程序以前从未在网络上出现过(在主机上执行或通过网络传输)。
新用户:此用户以前从未执行过此应用程序。
这些上下文项中的每一个都将改变您查看正在检查的事件的方式,并将指导接下来的调查步骤。
不幸的是,我在实践中并没有看到过多的装饰。部分原因是从业者没有考虑到这个选项,但最主要的原因是大多数内容匹配工具不支持它。这些解决方案通常都捆绑了内容匹配和事件存储。对于更多的供应商和开源开发者来说,这是一个解决这个问题的机会。
五、用户通知和验证
我们选择匹配的许多东西是因为,如果系统所有者用户故意这样做,那么这种行为是合法的,但如果是其他人这样做,则是恶意的。当您收到基于这些匹配的警报时,您的调查主要围绕着证明合法用户执行了该操作,甚至可能包括联系该用户。有几种情况会出现这种情况:
来自从未被观察到的位置的身份验证,或来自地理上距离最近的另一个身份验证较远的位置的身份验证。
一系列失败的登录尝试之后成功。
远程管理工具(VNC、RAdmin、PSExec等)的安装或使用。
您可以获取这些内容匹配项并使用它们将最终用户引入循环。这为分析人员减轻了一些调查负担,并提供了关于事件的真实信息。
用户被告知内容匹配,并提供反馈以通知调查。
我所见过的最有效的策略是通过像Slack这样的共享聊天应用程序将与个人用户相关的匹配内容发送给他们。将内容匹配提供给用户,并且反馈机制允许用户表示他们是否对所观察的事件负责。如果它们作出消极响应或在可接受的时间框架内没有响应,则内容匹配将升级为警报队列。
slack消息指示一个组成员添加,可以标记为批准或拒绝。这可以用于将活动标记为正常或不正常。
来源:https://auth0.engineering/cloud-security-monitoring-at-auth0-part-ii-b106354a0e5d
当然,任何时候您依赖这样的最终用户,这个过程都是靠不住的。必须建立制衡机制,但我已经看到这成为检测和调查过程的可靠增强。
六、行动ticket
您将进行的一些调查需要分析人员、IT人员或最终用户尽早采取行动,以限制危害或感染的影响。在某些情况下,您实际上可以精确定位始终导致行动的特定警报。这可能是这样的:
(1)一旦发现其他邮箱的钓鱼邮件副本,删除其中的副本。
(2)当在清除中观察到凭据时,强制重置密码。
(3)隔离或隔离执行已知恶意软件的设备。
当这些事件发生时,您可以将内容匹配直接提供给用于管理这些任务的票务系统。这将只适用于某些上下文匹配,并且可能需要在采取操作之前进行额外的验证,但是票务系统本身通常可以促进这一点。
由于大多数组织使用票证系统,当使用可以以可解析格式导出特定事件的内容匹配工具时,这是相对可以实现的。
结论
在这篇文章中,我描述了如何通过分离内容匹配和警报功能来实现对分析师有利的附加功能。这些内容匹配数据的路径包括低效异常事件索引、事件装饰、用户通知和验证以及动作票。
您利用这些技术的能力取决于您的工具集,无论是商业的还是自主开发的。如果您是网络操作员,这些能力可以为您在网络中部署的工具提供信息。如果您是供应商,他们可以告知您的产品路线图,以及您如何提供来自内容匹配的附加价值。
虽然这里讨论的大部分内容都与基本的内容匹配有关,但其中的大部分内容也可以应用于其他检测形式的输出,比如统计。一旦将检测函数与其输出分离,就会出现许多有用的途径。
网友评论