威胁中心的安全要素:工具

第一个需要的基本工具(s)是在主机检测领域。通常,这将是驻留在每个主机上的内核级代理。用户级代理不会有效,因为攻击者可以看到在主机上运行的服务,并且在不检测的情况下很容易地禁用它。

威胁中心的安全要素:工具
威胁中心的安全要素:工具

内核级代理向安全操作中心提供了遥测数据,从而可以关注主机行为的可见性。至少这个内核级的代理将提供监视:

主机进程的创建

主机网络活动

主机进程/线程行为(注册表访问、文件访问、文件创建/修改、目录访问)

主机内存分析(即堆栈、堆)

主机行为的相关性

其他需要寻找的功能是应用程序白名单和应用程序黑名单。应用程序白名单应该在检测模式状态下启用,因为这个功能会产生许多误报。最好的做法是让安全操作中心的分析人员进一步调查,以确定它是否确实是攻击的指示器或者是妥协的指示器。

此外,未来的端点技术应该能够对其所部署的主机的理想状态进行建模,并在行为被认为脱离了理想的稳定状态时创建警报。

例如,一个Windows Active Directory域连接主机在启动、登录、注销和正常操作方面显示了某些行为,包括网络连接、服务启动、事件日志条目和访问的文件。这可以由内核级代理“学习”,当某些行为与正常操作不一致时,它可以生成警报。

这可以由内核级代理“学习”,当某些行为与正常操作不一致时,它可以生成警报。

在网络级别上,如果可能的话,通过交换机跨端口或网络点击来进行在线保护和网络入侵检测/监控是很重要的。在公共云环境中,您可能无法访问跨端口或网络分流器。在这种情况下,在线保护是必不可少的。在线保护技术以另一个名字命名,下一代防火墙或NGFW。NGFW的功能至少应该包括:

应用程序的可见性和控制

用户的可见性和控制;与IAM集成“诱导多能性”

恰当的预防

反恶意软件

被动DNS

数据过滤

政策控制

PFS-SSL卸载/解密/检验

利用保护

SaaS执法

日志记录和报告

VPN

IPv6支持

下一代网络支持(即NSX)

以前的一代防火墙通常被检查的是3/4的流量,下一代防火墙也要负责第7层(应用层)的南北(ingss-e逆行)网络流量和东西之间的交通(在3层的VLANS之间)。

它不仅是一种攻击预防设备,而且还提供了可以帮助分析人员查找网络流量变化的网络信息,从而与前一段讨论的主机检测相关联。

网络入侵检测系统试图识别恶意行为,例如拒绝服务攻击、端口扫描和试图通过监视网络流量入侵计算机。选择的网络入侵检测系统技术应该具备以下特点:

从网络接口捕获数据包的能力。

一个事件引擎来捕获数据包,并将它们组合在一起,成为解释执行动作的事件。

策略脚本解释器,如果它检测到任何可疑和危险的行为,或者丢弃在策略脚本中没有定义的其他事件,它就会采取行动。

该解决方案应该具有在高速(超过10 Gbps)环境中运行的能力,并且能够在不丢弃数据包或减慢传输速度的情况下捕获。

下一代(上下文)签名检测。

预先编写的策略脚本,可以在开箱时使用,以检测最著名的攻击。

能够定制特定于您环境的策略脚本。

能够对网络行为进行建模,以检测已知网络流量的变化。

如果一个网络入侵检测系统能够被部署(公共云环境对实现所有这些功能具有一定的挑战性),它将作为安全操作中心的分析人员的一个额外的数据点。

最后,您需要一个分析引擎,它可以从主机和网络级工具获取信息并将它们联合起来。这称为安全信息和事件监视或是SIEM。

当网络被破坏时,攻击发生的时间和操作中心的响应之间的时间可以对保护企业最重要的数据和成功的数据过滤造成区别(这将会成为晚间新闻的头条新闻)

SIEM软件在正确配置和监控的情况下可以在识别出问题时扮演重要角色。重要的是要在部署之前讨论和同意SIEM的需求,并且软件可以正确地为所涉及的环境进行适当的大小变化。

公司经常在他们的SIEM实现上花费过多,因为他们无法完全理解他们需要解决的问题。至少,SIEM应该能够做到以下几点:

将传统的日志源与其他事件源(即主机检测和网络检测工具,NGFW)集成在一起

支持安全操作中心的功能

大规模实现

导入和导出内容(规则、报告、趋势)

包括多个值列表(活动列表,观察列表)和列表的过期时间(在X分钟/小时后过期)和状态表使用过期的事件

创建自定义日志源提要

聚集和筛选收集器级别(具有可选择的字段和字段的摘要)

重用和移动对象

总结表

提供健康状况监测

提供冗余

相关引擎级的规模

与ticket/工作流系统集成

与现有的配置管理数据库集成,以提取资产标记信息

在采用云计算的基础上,采用云计算的方式是一种服务。对于那些考虑使用基于云的SIEMs的人,您需要了解的日志数据可能包含个人身份信息或受保护的健康信息。

例如,SIEM可以在文件传输中发出警报,并在日志文件中收集传输的数据。该日志文件可能包含一个社会安全号码或一个患者的私有数据。这样可能需要与云提供商进行单独的隐私协议,以确保数据得到适当的处理。

基于主机的检测工具(s)、基于网络的检测/预防工具(s)和分析是支持操作中心分析师所需的“三重”工具集。还有其他的工具可以补充三重栈,但是这三个焦点区域代表主要的部分,至少从成本的角度来看是这样的。

本文内容是由midphase主机中文评测网提供,如需转载,请注明出处:http://midphase.cn/