来源:https://swimlane.com/blog/how-to-do-incident-response-triage-right
分类是检测后的第一个事件响应过程,任何响应者将执行打开一个事件或假阳性。构建一个高效和准确的事件响应分类流程将减少分析师的疲劳,减少响应和纠正事件的时间,并确保只有有效的告警被提升到“调查或事件”状态。
分类过程的每一部分都必须紧急执行,因为在危机中,每一秒都很重要。无论如何,分类响应者都面临着将一个笨拙的输入源过滤到一个丰富的事件细流的严峻挑战。以下是一些在数据验证之前加快分析的建议:
1、组织:通过开发将任务分配给响应者的工作流程来减少冗余分析。避免在多个响应者之间共享电子邮件邮箱或电子邮件别名。相反,可以使用工作流工具来分配任务,比如安全编排、自动化和响应(SOAR)解决方案中的工具。实现一个流程来重新分配或拒绝超出分类范围的任务。
2、关联:使用安全信事件管理(SIEM)等工具来组合类似的事件。将潜在的关联事件链接到一个有用的事件中。
3、数据丰富:自动化响应方每天执行的常见查询,如反向DNS查询、威胁情报查询和IP/域映射。将该数据添加到事件记录或使其易于访问。
全速前进是通过初始事件响应分类过程的方法,但在事件验证过程中需要更详细、更测量的方法。提供一个可靠的案例,以便您的安全运营中心(SOC)或网络事件响应小组(CIRT)分析师准确评估,这是关键。以下是一些验证的提示:
1、相邻数据:查看与事件相邻的信息。例如,如果端点有病毒签名命中,在调用进一步的响应度量之前,查看是否有病毒正在运行的证据。
2、情报回顾:了解情报的背景。仅仅因为一个IP地址上周被标记为僵尸网络的一部分并不意味着它今天仍然是僵尸网络的一部分。
3、初始优先级:与运营事件优先级保持一致,并对事件进行适当分类。确保对每个事件都做出了正确的努力。
4、交叉分析:查找和分析跨多个数据源的潜在共享key,例如IP地址或域名,以获得更好的数据灵敏度。
一旦一个事件被证实,这个事件就变成了一个调查或事件。所有事件都必须由你们的SOC或CIRT团队按照你们的调查流程进行调查和跟踪。
Swimlane的SOAR平台可以自动化大部分事件响应分类过程,包括分配工作流任务和数据丰富。这为您的团队提供了完成进一步分析所需的上下文。事件响应过程中的其他步骤,如威胁情报查找和补救步骤,也可以实现自动化。使用SOAR,您可以显著提高您的安全运营效率,同时降低风险和增加威胁保护。
网友评论