第3步:过程分析
时间:2022-03-27 10:42:01 | 来源:网络推广
时间:2022-03-27 10:42:01 来源:网络推广
组织机构拥有了必要的传感器和数据后,就可以进行分析了。进行分析需要一个硬件和软件平台,在平台上进行设计和运行分析方案,并能够让数据科学家设计分析方案。尽管通常是通过SIEM来完成的,但这并不是唯一的方法,也可以使用Splunk查询语言来进行分析,相关的分析分为四大类:
行为分析旨在检测某种特定对抗行为,例如创建新的Windows服务。该行为本身可能是恶意的,也可能不是恶意的。并将这类行为映射到ATTCK模型中那些确定的技术上。
情景感知旨在全面了解在给定时间,网络环境中正在发生什么事情。并非所有分析都需要针对恶意行为生成警报。相反,分析也可以通过提供有关环境状态的一般信息,证明对组织机构有价值。诸如登录时间之类的信息并不表示恶意活动,但是当与其它指标一起使用时,这种类型的数据也可以提供有关对抗行为的必要信息。情景感知分析还可以有助于监视网络环境的健康状况(例如,确定哪些主机上的传感器运行出错)。
异常值分析旨在分析检测到非恶意行为,这类行为表现异常,令人怀疑,包括检测之前从未运行过的可执行文件,或者标识网络上通常没有运行过的进程。和情景感知分析一样,分析出异常值,不一定表示发生了攻击。
取证这类分析在进行事件调查时最为有用。通常,取证分析需要某种输入才能发挥其作用。例如,如果分析人员发现主机上使用了凭据转储工具,进行此类分析会告诉你,哪些用户的凭据受到了损坏。防御团队在网络竞赛演习期间或制定实际应用中的分析时,可以结合使用这四种类型的分析。下文将介绍如何综合使用这四种类型的分析:
1.首先,通过在分析中寻找远程创建的计划任务,向安全运营中心(SOC)的分析人员发出警报,警告正在发生攻击行为(行为分析)。
2. 在从受感染的计算机中看到此警报后,分析人员将运行分析方案,查找预计执行计划任务的主机上是否存在任何异常服务。通过该分析,可以发现,攻击者在安排好远程任务之后不久,就已在原始主机上创建了一个新服务(异常值分析)。
3. 在确定了新的可疑服务后,分析人员将进行进一步调查。通过分析,确定可疑服务的所有子进程。这种调查可能会显示一些指标,说明主机上正在执行哪些活动,从而发现RAT行为。再次运行相同的分析方案,寻找RAT子进程的子进程,就会找到RAT对PowerShell的执行情况(取证)。
4. 如果怀疑受感染机器可以远程访问其它主机,分析人员会决定调查可能从该机器尝试过的任何其它远程连接。为此,分析人员会运行分析方案,详细分析相关计算机环境中所有已发生的远程登录,并发现与之建立连接的其它主机(情景感知)。