4.在两种关系之间建立联系
时间:2022-04-23 11:30:01 | 来源:行业动态
时间:2022-04-23 11:30:01 来源:行业动态
:即业务威胁和攻击的关系,以及攻击和框架的关系。
在此基础上,您可以将这些关系编入 SIEM 用例。已识别的业务威胁将会是高级别用例。我们可以进一步将其细分为低级别用例。每个高级别用例中可以嵌套两三个用例。一般在用例如何适用于多个业务威胁/高级别用例的情况下,我们总会发现一些重叠。举例来说,如果已有数据丢失这个高级别用例,嵌套在数据丢失用例中的低级别用例将是服务器泄密、从服务器导出数据以及服务器上未经授权的管理员活动。
每个低级别用例都会与某些攻击类型之间有逻辑连接,进而辅助定义技术规则。每个低级别用例可能都适合多个规则,而且一个规则可能与多个低级别用例有关。我们有必要通过定义其结构来展示连接情况,因为这将进一步定义要使技术规则生效所需的日志源。
在线咨询
