开始使用VERIS

来源：http://veriscommunity.net/howto.html

本指南针对的是正在考虑采用VERIS框架的组织，旨在帮助他们轻松地融入框架。它从一个非常基本的采用开始，逐渐走向越来越多的采用框架。正在考虑采用VERIS的组织应该阅读本指南。

但是,为什么?VERIS是一个工具，以一致的方式帮助和组织收集事件数据，以支持决策制定。一个组织对VERIS的使用应该与他们希望支持的决策类型和级别一致。如果你正在考虑采用VERIS，你应该问自己“我想知道什么?”并优先考虑支持这个决定的VERIS元素。

VERIS看起来有点吓人。需要记住的重要事情是，框架可以根据您的需要简单或复杂。在VERIS记录中，required字段非常少，其中许多字段只有在出现特定属性时才需要。例如，只有当黑客行为出现在事件中时，才需要黑客行为的多样性。此外，几乎所有必需的字段都允许未知。作为一个例子，下面是可以存在的最简单的VERIS记录:

这是不坏。您不必使用所有的特性，也不必将您的事件放入我们已经记录的JSON格式中。JSON格式使与其他公司共享事件和验证记录变得更容易，但您可以通过自己的方式实现。

为了帮助您实现这一目标，我们整合了一些指导方针，以帮助您轻松地在内部使用VERIS。

一、从你拥有的开始

您可能正在以某种方式记录组织中的安全事件。可能是在你的服务台售票系统里，也可能是你有一个独特的系统只是为了安全。也许你存储的是自由文本的Word文档，其中包含了所发生的事情的叙述。

当你有一个初期，你可能记录它发生的日期。把一天、一周、一个月都记下来，然后给它们贴上VERIS标签。

你可能也有一个事件的执行概要。

你可能会记下你是如何发现这个事件的。或者记录任何被观察到的黑客、恶意软件、社会工程。即使这是自由文本信息，您也可以使用VERIS字段记录它。

对于所有这些，您只需要弄清楚如何从现有的跟踪系统收集信息，并使其易于查找。如果您使用自由文本的Word文档，那么您可能会决定在文档的顶部或底部放置一个表并填充它。如果数据在数据库中，则可以为安全事件创建另一个表，并使用一个小程序从数据库中提取数据，根据需要修改数据并将其写入VERIS表。

通常有用的一个想法是，组织检查其ticket系统并创建其字段到相应VERIS字段的映射。这使得他们至少可以立即使用他们已经拥有的数据，因为这些数据可以被翻译成VERIS。

二、添加顶级枚举

一旦开始从事件中提取信息，就应该开始添加枚举，以简化数据分析。在VERIS中需要两个顶级枚举:这是否是一个实际的安全事件以及它是如何被发现的。

几乎每个帮助台售票系统都允许您向输入表单添加新字段，因此只需创建一个名为discovery_method的下拉列表，并用discovery_method枚举填充它即可。您可以对security_incident字段执行同样的操作。当然，如果你使用Word文档或Excel电子表格，只需为变量添加另一列。

当您已经在组织中对这些变量使用了一组枚举时，这就有点棘手了。必须在所使用的内容和适当的VERIS枚举之间创建映射。您可以决定采用VERIS枚举并修改以前的事件，或者尝试同时使用两组枚举。另一个有用的选项是继续对这些变量使用枚举，但在共享或分析事件时将它们转换为VERIS变量。

二、添加二级枚举

现在我们将开始通过进入第二级枚举来为事件添加更多细节。在上一节中，我们没有讨论四个顶级枚举:actor、action、asset和attribute。给这些列举没有意义因为VERIS假设每个事件都有其中一个。因此，我们将向下一层，对第二层枚举使用简单的真/假。对于下列每个问题，只回答是/不是。

资产

可能受到影响的资产列表可能会非常长，因此您可能希望使用多选择，或者让输入数据的人使用多个下拉菜单进行选择。

另一种选择是，取资产类别，就像我们处理其他变量一样，只问Yes/No问题。

现在让我们想象一个相当复杂的间谍事件。上个月，一个外部参与者向您的一个用户使用了一条钓鱼消息，说服他运行一个附件。附件中安装了恶意软件，记录了用户的密码。攻击者使用这些凭证登录到服务器并创建后门。这个后门被用来窃取敏感文件。后来一位记者联系了您，告诉您您的文件出现在一个地下论坛上。

根据我们目前所做的，我们能记录下关于这一事件的哪些信息?

这是一个非常好的VERIS记录。VERIS社区数据库项目的任何人都很乐意得到这样详细的记录。实际上，你还没有做任何艰难的事情。但是你可以开始了解你的事故中有多少是物理行为(盗窃)和错误行为(丢失)，以及钓鱼邮件导致数据泄露的频率。你可以停在这里，可能会有比大多数组织更好的分析能力。VERIS并不复杂。

定制和私有化

VERIS的设计理念是共享，但并不是所有你想要记录的东西都适合共享。您可能还有一些想要记录但VERIS变量不存在的额外内容。不用担心，VERIS已经为您介绍了plus部分。

另外，VERIS唱片的“随心所欲”部分。因此，例如，您可能想要跟踪哪位员工是某一事件的首席调查员。没问题，只要制作一张唱片，叫做 plus.investigator 或plus.lead，随便你怎么叫它。您可以使用一个变量来表示事件是否被解决。你可以把有关联的变量的信息放进去，但无论如何你想保持私有。

当您共享事件时(如果您决定这样做的话)，您可以忽略任何以“plus”开头的变量。如果您要共享一个事件的JSON表示，您可以将+全部省略，或者只发送一个空的+部分(“plus”:{})。

添加更多的细节

在这一点上，你的VERIS记录看起来真的很好。您已经了解了发生的事情的基本细节，并且可能已经开始从数据中提取有用的趋势了。现在是时候把音量调到11，开始获取更详细的信息。

如果你在一个事件中有黑客行为，那么你可能想知道什么类型的黑客行为。毕竟，黑客是一个非常大的词，它对不同的人意味着很多事情。所有七项威胁行动都有一个名为“变种”的子变量，大多数也有一个名为“矢量”的变量。这些将帮助您描述您正在处理的黑客类型，并且格式仍然适合进行分析。

如果你遇到了由内部威胁行动者引起的事件，你可能想知道是什么促使员工采取行动。也许你想要追踪是什么样的员工，或者最近是否有任何换工作的行为。行为人变量都有多样性和动机的子变量。

您可能还想记录发现该事件所花费的时间，以及该事件对您的组织的影响程度。VERIS也有相应的变量。

让我们用添加的所有新变量来模拟另一个虚构的场景。在这种情况下，当地警察局通知您，账单部门的一名员工在对一个身份盗窃团伙的突袭中被捕，并涉嫌窃取您公司的身份。向一家法医公司支付了14,121美元，调查结果显示，该员工连续三个月无故查看客户记录。你还付了8000美元给律师事务所让他们向你所在州的司法部长做出适当的通知。下面是这起事件的真实情况。

您可以为您想要使用的VERIS的所有部分不断添加变量，并且您可以得到真正复杂的安全事件模型。但在整个HOWTO过程中，我们一直在创建有效的VERIS记录，这些记录只有在组织愿意记录的情况下才会那么复杂。

匿名并分享

当您在内部使用VERIS时，您可能不会关心受害者的统计数据，因为您的组织将是唯一的受害者。但如果你想与其他组织分享这些数据，那么了解受害者组织是有帮助的。VERIS使得在不透露组织名称的情况下共享相关信息变得很容易。

例如，VERIS记录了受害者组织的国家、行业和组织。VERIS还为组织的员工数量、收入和州(如果在美国)提供变量。这些信息有助于将影响与公司规模联系起来，或者有助于确定哪些攻击模式影响行业，但不能确定该公司。