威胁情报平台如何拯救SIEM?
SIEM(安全信息和事件管理)是企业安全运营中心的“核心引擎”,最初,人们给SIEM的定义是一种用于集中收集、存储和分析内部基础设施和外部威胁信息的工具,帮助企业快速识别潜在威胁和漏洞。过去很长一段时间,SIEM的表现都中规中矩,然而,随着威胁和网络安全行业的高速发展,市场中的威胁情报源越来越多,更要命的是,威胁情报的结构和格式也正在发生重大变化,导致SIEM不堪重负。
显然,要使SIEM继续发挥效能,就必须增加一种处理威胁情报流的新工具——威胁情报平台(TIP)。
为什么SIEM需要助手?
理论上,导入SIEM系统的外部网络威胁数据源越多,SIEM就越强大高效,但事实并非如此。
首先,SIEM系统处理的指标越多生成的警报就越多,误报和重复警报的数量也会水涨船高,这无疑会让已经被警报疲劳折磨得筋疲力尽的安全运营中心分析师彻底崩溃。
其次,现有的SIEM系统根本无法处理超量的指标。当接到多个情报源时,系统的工作量会显着增加,这可能会对事件检测率产生负面影响。同理,如果您尝试实施更新频繁的威胁情报源方案,也有可能会发生同样的情况。情报源“扩容“并非不可能,但性能和检测率可能会受到影响。
此外,SIEM系统并不适合用来直接对威胁情报源进行更专业细致的分析工作。例如,它无法比较来自不同供应商的威胁情报的质量和检测率,也无法处理来自情报源的不同类型危害指标(例如URL、主机或域名)的掩码。如果分析师需要了解某个指标的更深入的上下文信息,则需要一个额外的工具(事实上,所需的上下文信息是否存在于情报源中并不重要——SIEM可能压根不知道如何访问这些信息)。
最后,成本也是重要因素:大多数SIEM产品许可都基于负载,处理的指标越多,您需要支付的费用就越多。
威胁情报平台如何拯救SIEM
一般来说,威胁情报平台(TIP)可以帮助SIEM系统克服上述所有缺点。
首先,TIP是一个不可或缺的安全工具,可处理来自不同供应商的大量威胁情报源数据。TIP可以连接多个情报源(支持多种格式)并根据不同的参数进行比较。例如,TIP可以检测不同情报源中的指标交叉,这将有助于识别重复的情报数据流并拒收部分数据。TIP还可以根据统计检测指数比较情报源质量。很多威胁情报供应商都提供情报源的测试期服务,TIP有助于企业在购买威胁情报服务前评估其有效性。
威胁情报平台还为SOC分析师提供了许多在SIEM中根本无法实现的附加功能。例如,可以使用追溯扫描功能,允许根据新的情报源对以前保存的历史日志和数据进行双重检查。另一个有用的功能是富化第三方情报源(例如VirusTotal)的指标。最后,一个好的威胁情报平台从警报触发开始,支持查找和下载APT报告,详细说明相关攻击者的策略、技术和程序,以及如何应用对策的实用建议。
TIP还支持过滤和下载指标、对事件进行分类、在图形界面中显示以上所有内容以方便分析人员等等。这取决于每个特定平台的功能。
TIP如何融入SIEM和分析师的工作
总的来说,安装在公司内部网络上的TIP将执行分析和关联传入数据的流程,这大大降低了SIEM系统的负载。它支持在检测到威胁时生成自己的警报。更重要的是,TIP可通过API与企业现有的监控和响应流程集成。
从本质上讲,TIP会生成自己的带有检测的数据源,并根据企业的需求进行定制。如果您的基础架构上有多个并行运行的SIEM系统,该功能将特别有用。如果没有TIP,安全团队就不得不将原始情报源加载到每个平台中。
一个真实的案例
以下我们通过一个真实的简单用例,看看威胁情报平台如何帮助分析师:
某公司员工从工作计算机访问了一个网站。由于该站点的URL在威胁情报源中被列为恶意网站,因此平台会识别事件,使用情报源中的上下文信息丰富它,并将检测发送到SIEM系统进行记录。接下来,此事件引起了SOC分析师的注意,并决定使用威胁情报平台仔细查看它。
在检测列表的指引下,分析师打开情报源数据流中可用的上下文信息:IP地址、与此地址关联的恶意文件哈希、安全解决方案判断、WHOIS服务数据等。TIP会展示一个图形界面——这也是直观分析攻击链的最方便的方法。
到目前为止,TIP呈现的信息还很有限:包括本次检测、检测到的恶意URL以及用来访问该URL的机器的内部IP地址。通过单击恶意URL图标,TIP会查询与该地址相关的已知指标:IP地址、附加URL以及在某个时间点从该站点下载的恶意文件哈希。
下一步是使用相同的指标检查该URL是否已在公司基础设施的其他检测中出现过。分析人员单击任何对象(例如,恶意IP地址)并在图表中显示其他检测。换句话说,分析人员可以通过鼠标点击就可找出哪个用户访问了哪个IP地址(或者来自DNS服务器的URL请求在哪台机器上返回了IP地址)。同样,TIP还会检查哪些用户下载的文件的哈希值出现在在相关危害指标中。
一次安全事件中可能有数千次检测,如果没有TIP提供的易于使用的图形界面,仅靠分析师手动分类异常困难甚至是不可能完成的任务。在TIP中,来自网络威胁数据源的所有可用上下文都被关联到图中的每个点。分析人员可以对对象进行分组或隐藏,并应用自动节点分组。如果分析师有任何额外的信息来源,也可以手动添加指标并独立标记其相关性。
在TIP中,分析师们可以快速重构完整的攻击链并了解事情的来龙去脉。例如在上述案例中,分析结果是:用户输入了恶意站点的URL,DNS服务器返回IP地址,然后该用户从该站点下载了具有已知哈希值的文件。
结论
高质量的TIP(威胁情报平台)是高效安全运营中心不可或缺的环节,一方面可以在不影响检测质量的情况下显著降低SIEM系统的负载,另一方面也可将安全运营中心分析人员从繁冗艰巨的低效劳动中解救出来。
