香港高防_云蝠盾_零误杀-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 香港高防_云蝠盾_零误杀

香港高防_云蝠盾_零误杀

小墨安全管家 2021-05-02 15:00 CC防护 89 ℃
DDoS防御

香港高防_云蝠盾_零误杀

现如今,大多数安全组织都面临着同样的咨询题:警报太多,训练有素的分析师不够,DDoS防御,实际的威胁特别大概没有人注意到。毫无疑咨询,现代安全运营中心(SOC)正记忆着越来越多的噪音,潜在地掩盖了来自多个载体的日益增多的威胁。越来越多的组织试图经过自动化来解决这些咨询题。这些组织懂他们需要自动化,因为他们无法快速找到并雇佣合适的人才来满脚需求,也无法将大量职员投入到许多重复性任务中来解决咨询题。当大多数组织在寻觅自动化解决方案时,他们会即将转向安全编排和自动响应(SOAR)解决方案,该解决方案使用应用程序编程接口(api)经过剧本自动响应和修复。实施SOAR解决方案是一项巨大的任务,需要战略规划和时刻来执行。好消息是,在着手实施total SOAR解决方案之前,还有其他想法能够快速获得自动化带来的好处。你预备好飞行了吗?另一具咨询题是你如今需要吗?大概是"是",但正真的施需要大量的打算。在从零开始一大步腾飞之前,DDoS防御,您大概需要思量以下几点方法:不要试图自动处理当前的警报过载。假设您基本有了一具安全信息治理(SIM)解决方案,而您的职员目前忽略了它每天生成的成千上万个警报。假如您基本忽略了这些警报,为啥要在自动化中包含它们?您大概需要思量为啥您以为让机器在"垃圾"警报下运行会产生更好的产量,比"垃圾"响应更好。不要试图自动化你没有的剧本。很多组织没有手册。当您还不懂怎么将事件响应和补救标准化时,开始自动执行剧本并不总是实际可行的。专注于小的,可见的胜利。自动化需要钞票。您需要向您的团队和经理展示您在自动化工作中取得的成功。不要试图从零到彻底自动化一步到位。与其尝试构建一具包含大量复杂操作的庞大剧本来提供一具完整的端到端解决方案,不如思量从一具惟独一两个动作的剧本开始。追求快速而明显的胜利,并在成功的基础上再接再厉。不要满脚于仅针对端点的补救。通常,剧本的目的是将补救集中在端点上。例如,剧本能够经过删除恶意软件来修正恶意软件发觉。但这个恶意软件还能做啥呢?它起源于哪里?它还在网络的其他地点活跃吗?假如你的剧本不过删除了证据,这么你就大大减少了发觉其他潜在受害者的机遇。假如一具成熟的SOAR解决方案不是实现安全自动化的最佳方式,这么怎么开始自动化您的操作?本文的其余部分重点介绍Exabeam提供的自动化,它能够关心您开始自动化重复性任务。不要在没有看到全局的事情下启动自动化威胁检测基于对日志事件的分析。把每个日志事件看作是拼图游戏的一部分。您需要可以正确地将这些片段(事件)组合在一起,以便看到它们所构成的图片(图1)。图1:从哪里开始?在数据湖或SIEM中分组事件大多数组织使用安全日志事件数据湖或SIEM解决方案。这些解决方案通常能够将各种事件组合在一起,例如,防DDoS,一组防火墙事件、一组ActiveDirectory事件、一组警报事件(图2)。图2:日志事件的分组很类似于拼图游戏的片段。那个分组是第一步,一具合理的咨询题是,"我寻求自动化操作的下一具逻辑步骤是啥?"日志不能提供完整的图像在大多数事情下,DDoS防御,日志并不包含检测和重建攻击所需的所有数据,尤其是在涉及横向挪移的事情下。所以,分析人员必须从一具日志转到另一具日志,试图重新创建数据;否则,他们就有大概错过攻击的关键部分。例如,图3显示了六个不同日志中可用的信息,其中没有一具日志包含所有需要的信息:用户名、IP地址和设备名。 图3。缺少关键数据、不完整的日志条目会挫败试图拼凑攻击的尝试。1级自动化:智能时刻表Exabeam独有的智能时刻线使用自动主机到IP到用户的映射来实时缝合日志数据。结果是一具完整的图片,它包含了你的整个网络,从成千上万的用户和机器的数百万个日志条目中猎取,这些日志条目具有不断变化的IP地址。这种自动化水平的结果类似于我们假设的拼图游戏的框架被解决(图4)。图4:智能时刻线中的1级自动化为检测提供了一具坚实的框架威胁。聪慧时刻线内置于高级分析中,是一具标准的现成功能。您能够即将开始利用这一级别的自动化,而无需举行任何编程或其他技术工作,并增加缓解成功的次数。以下是智能时刻线怎么自动填补日志数据中的信息空白。图5:日志不包含重新创建攻击所需的数据,从而导致时刻线不完整。经过Exabeam的自动主机到IP到用户映射,智能时刻线实时缝合日志数据以填补空白2级自动化:上下文丰富Exabeam将行为分析和机器学习引入图片中,以提供下一级的自动化。经过检查资产的关系和使用模式,高级分析填补了更多的谜团。行为分析添加了与以下内容相关的上下文:身份同级群体资产和用户关系威胁情报机器学习制造了新的环境,包括:资产类型资产所有权账户类型同级群体域生成算法(DGA)检测帐户关联日常活动模式和变化每种类别的详细信息(如以下信息)能够丰富上下文,并有助于为事件调查和威胁搜索创建完整的画面:资产类型工作站与服务器静态IP与动态IP前缀后缀子网已登录取户账户类型用户与服务域生成算法检测帐户关联日常活动变化三级自动化:回答昂贵的咨询题上下文丰富回答了人类无法从原始事件中发觉的昂贵咨询题。例如,重要的是要了解谁拥有组织中的资产,而不必依靠静态配置治理数据库。懂哪些资产属于你的CEO能够在腾飞和运行自动化剧本时更好地做出决策。另一种事情是,假如用户的凭据被泄露,则自动响应。在这种事情下,了解用户使用的其他凭据能够关心分析员确定其他用户是否也大概受到危害。开始调查的恶意软件的初始警报将只报告哪个用户被感染,而不是恶意软件大概获得的所有大概用户。调查事件时要咨询的咨询题包括:那个用户曾经经过VPN登录过吗?是的,芭芭拉往常也来过那个用户曾经从那个IP地址或地理位置连接过吗?不,芭芭拉从来没有从那个IP或地理位置加入过此用户是否曾从(或)此资产连接过?不,芭芭拉从来没有从那个资产CC559,也没有其他人在组织图6:原始事件并不能讲明全部事情。此用户是否经过VPN登录?用户是否从此IP/Geo连接?此用户往常是否从此资源连接过?上下文丰富经过相关的高级分析用户界面自动回答这些咨询题,如6所示。注意窗口右边缘栏中的分数。这些是被检测到的每个可疑行为的风险点。当用户会话中的风险评分超过预定值时,会浮上自动通知,以便分析员可以对那些超出简单、通常毫无意义的警报背景噪音的活动举行分类和调查。图7:高级分析自动回答昂贵的咨询题。特别多我们的拼图游戏的中间部分基本填好了。我们开始看到一具差不多上完整的威胁图景(图8)。丰富的内容,填补了第三层的空白碎片。如使用智能时刻线,您能够使用标准的高级分析产品利用上下文丰富的自动化功能,而无需举行技术投资。四级自动化:翱翔你能够用一具完整的、有条理的、有条理的、有条理的、有条理的、有条理的、有条理的、有条理的、有条理的、有条理的、有条理的、有条理的实施打算。不要使用你自个儿的技术资源来尝试从大量无序的日志数据中解脱出来,你能够在EXABEAM的基础自动化基础上构建,以进一步协调和自动化你的威胁响应。例如,带有分析功能的恶意软件行动手册能够:告诉你恶意软件从哪里来,它做了啥,它在哪里传播,以及谁的证书被泄露了。修正对恶意域的访咨询图9显示了导致恶意软件攻击成功的三个小时的时刻线,包括确切的时刻、事件和涉及的资源。经过单击任何浅蓝色文本向下钻取到较低级别,能够显示更多详细信息。重要的是,这些事件的描述语言甚至能够让你的初级分析师有效地减轻威胁。菲古


DDoS防御

当前位置:主页 > CC防护 > 香港高防_云蝠盾_零误杀

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119