威胁情报之(1):通过“用户行为的监控”找到攻击的蛛丝马迹

围观次数:468 views

以前做运营商SIEM/SOC有很多体会,中间搁置了一段时间,参考了gartner一个免费的Webinar,感兴趣的可以自己去找,这里挑一些关键点,加了自己的理解。


引言


针对高级定向攻击,全面的内部监控和安全情报共享是应对的措施。在监控方面,行为分析才是发现异常、识别未知威胁的关键手段。基于行为的分析和异常检测,包括了行为的主体(用户、应用),同时要包括了行为的客体(数据等),本文重点对主体(用户)行为的监控做大致说明。关于对客体资源的访问(data access)后面专门做个介绍。


(一)、企业安全监控的情景信息:

  • 外部的威胁情报:威胁情报一直是个热点,一般包括信誉情报(“坏”的IP地址、URL、域名等,比如C2服务器相关信息)、攻击情报(攻击源、攻击工具、利用的漏洞、该采取的方式等)等。
  • 企业内部的情境信息:用户(identity)、应用(包括的自建的、外包的、云形态的应用)、数据相关信息、漏洞信息等。

(二)、用户行为监控的必要性

  • 攻击源可能来自外部也可能来自于内部。外部攻击者进入内网后,大部分情况都是利用已有的用户账号进行活动,添加独立的新账号太容易被发现故很少这么做。
  • 在整个攻击链中,检测的点越早越好。
  • 基本特征匹配的攻击检测已经无法应对新的攻击。行为分析才是发现异常、识别未知威胁的关键手段。

(三)、用SIEM来监控特权账号的活动

数据源主要包括网络层面的日志(网络工程师的活动)、服务器日志系统管理员的活动)、数据库日志审计(数据库管理员的活动)。

IAM在这里也是很重要的一个数据源,统一的IAM很重要,如果不同业务系统的用户身份认证各自为政,那后期很难做关联实现行为分析。

(四)、应用账户的行为监控

从各个层面收集用户行为和跨应用程序,结合角色限制和欺诈模式,基本来源web server日志、应用交易日志、数据库审计数据等。

(五)、用户行为的综合监测

通过综合监测,可以发现用户行为的异常,这里就不仅仅安全方面的违规发现,可以适用于业务层面的违约、欺诈等行为的检测、调查、取证等。

通过以下数据源的综合分析,来获取用户在不同架构、应用层面的行为路径。

  • 可以通过收集的日志信息包括radius server的日志信息、目录服务器日志、app登陆日志、文件及应用程序的活动日志
  • 相关网络,域,和应用的身份标识信息
  • 跨平台用户行为的告警信息等
  • 对资源的违规使用或访问告警等

1人评论了“威胁情报之(1):通过“用户行为的监控”找到攻击的蛛丝马迹”

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助