时间:2025-12-26 20:43
人气:
作者:admin
对于安全运营中心 (SOC) 分析师而言,了解安全解决方案至关重要。本模块涵盖安全信息和事件管理 (SIEM)、事件检测与响应 (EDR) 以及安全运营与自动化响应 (SOAR),这些都是 SOC 中使用的核心安全解决方案。
学习 EDR 的基本原理,探索其特性和工作原理。
端点检测与响应 ( EDR ) 是一种安全解决方案,旨在监控、检测和响应端点级别的高级威胁。作为安全运营中心 (SOC)分析师,了解EDR 的工作原理至关重要,因为它是企业广泛采用的端点保护解决方案。在本次会议中,我们将探讨EDR与传统防病毒软件的区别,以及它从端点收集哪些数据。我们还将讨论其提供的检测和响应功能。
数字设备的使用量增长毋庸置疑。大多数企业的核心功能都依赖于这些数字设备。另一方面,网络威胁也在日益加剧。为了保护这些设备,企业实施了多种安全措施,其中大部分旨在保护运行这些数字设备的网络。然而,远程办公的快速普及使得这些设备暴露在风险之中,因为它们已不在企业网络部署的边界防护之下。
为了确保这些终端设备即使在网络之外也能受到保护,我们需要一种能够保护不同区域所有设备并抵御高级威胁的安全解决方案。终端检测与响应 ( EDR ) 就是这样一种安全解决方案,它能为终端提供深度保护。无论终端位于何处,EDR都能确保对其进行持续监控并及时检测威胁。
以下是市面上一些EDR解决方案:
市面上还有其他几种EDR解决方案。它们的底层架构大同小异,但功能可能有所不同。
EDR有三个主要特点,也可以称之为EDR解决方案的三大支柱。
注意:本任务中使用的屏幕截图取自创建此房间时的CrowdStrike Falcon EDR 。
有效的分析往往取决于活动的可见性。这正是EDR区别于其他端点安全解决方案的独特之处。EDR提供的可见性令人印象深刻。它从端点收集详细数据,包括进程修改、注册表修改、文件和文件夹修改、用户操作等等。然后,它以结构化的格式将这些信息呈现给分析人员。分析人员可以看到完整的进程树以及操作序列的完整活动时间线。分析人员还可以访问任何端点的历史数据,用于威胁狩猎或其他用途。EDR中的任何检测结果都包含完整的上下文信息。
| 工艺改进 | 注册表修改 | 文件和文件夹修改 | 用户操作 | 还有更多 |
|---|
以下屏幕截图展示了进程树的图形化表示。我们可以看到端点上启动了哪些进程。每个节点代表一个进程,连接它们的线条表示它们之间的关系。点击+每个进程旁边的图标,即可查看与该进程相关的所有网络连接、注册表更改、文件更改等信息。
除了流程树之外,EDR 中还有许多其他功能可以最大限度地提高可见性。
EDR的检测功能优于传统检测方式。它融合了基于特征码的检测和基于行为的检测,例如异常用户活动。凭借现代机器学习技术,它可以识别任何偏离基线行为的情况并立即发出警报。它还可以检测驻留在内存中的无文件恶意软件。此外,它还允许我们为威胁检测提供自定义的入侵指标 (IOC)。
以下屏幕截图显示了各个端点上发生的所有检测的仪表板。每项检测都以一行表示,包含不同的字段,例如检测严重程度、时间、触发文件、主机名、用户名等等。“策略与技术”字段将检测与MITRE 分类进行映射。点击任何检测即可查看详细信息,这有助于SOC分析师进行分析。
EDR还赋予分析人员对检测到的威胁采取行动的能力。这些行动可以在中央EDR控制台中的任何端点执行。试想一下, EDR检测到威胁,并提供了事件发生的时间、地点和具体细节,而您必须选择针对该威胁的最佳应对措施。作为分析人员,您可以选择隔离整个端点、终止进程或隔离某些文件。您还可以远程连接到主机并独立执行操作。所有这些操作都可以在EDR控制台中完成。
以下屏幕截图显示了连接到主机后可以对主机执行的操作。
分析人员在调查过程中还可以采取其他几项行动。
注意: 在任务 #6中,我们将更详细地介绍EDR的检测和响应能力。
凭借先进的可见性、检测和响应能力,EDR成为一款非常强大的工具。然而,同样重要的是要记住,EDR是一种仅限主机的安全解决方案,它无法检测网络层面的威胁。
请回答以下问题。
EDR的哪个特性能够为所有检测结果提供完整的上下文信息?
## Visibility
能见度,可见范围
sc.exe 是哪个进程生成的?
cmd.exe
在深入探讨 EDR 的工作原理之前,让我们先回答一个在听到EDR解决方案时经常会想到的问题。
这两种安全解决方案的目标都是保护其安装的终端设备。然而,它们提供的保护级别却有所不同。假设机场是一个需要保护的终端设备。其中一层保护措施是在旅客通过入境检查时检查护照。入境检查系统(AV)会监控入境旅客,并将他们的护照与数据库中已知的犯罪分子名单进行比对。如果匹配成功,则会阻止该旅客入境。
听起来像是个明智的保护措施,对吧?
但是,如果一个过去从未被认定为犯罪分子、性格也十分清白的人试图入境呢?入境检查会放行。那么,如果这个清白的人其实是一个受过专业训练、能够躲避基本安检的窃贼呢?机场里就潜藏着一个未被发现的威胁!
这时就需要用到事件数据审查(EDR)了。
在这个比喻中, EDR (事件数据采集器)相当于驻守在机场(终点)内的安保人员。这些安保人员会持续监控机场(终点)内的监控摄像头和运动传感器。与入境检查(AV)相比,安保人员(EDR)通过闭路电视监控和运动传感器增强了机场(终点)的安全防护。即使有人设法逃避了入境检查,安保人员也会持续监控他们的行为,例如:
如果安保人员感觉情况不对劲,也可以采取行动,或者将事件的完整细节告知机场管理部门。
防病毒软件 ( AV ) 可以检测到一些基本威胁,但要检测那些能够绕过常规检测的高级威胁,我们需要端点检测与响应(EDR)系统。与防病毒软件基于特征码的基本检测方式不同,EDR 会监控并记录端点的行为。EDR还能提供组织范围内的活动可见性。例如,如果在一个端点上检测到可疑文件,EDR也会在所有其他端点上检查该文件。
让我们逐步分析端点上的高级恶意活动,并比较AV和EDR在每个阶段的响应。
| 攻击步骤 | AV的回应 | EDR的回应 |
|---|---|---|
| 步骤一 | 如果下载的文件在数据库中没有先前的签名,则不执行任何操作。 | 记录文件下载活动并进行监控 |
| 步骤二 | 打开文档时不会执行任何操作,因为 winword.exe 是一个合法的实用程序。 | 记录 winword.exe 的执行情况并持续监控 |
| 步骤三 | 如果执行的宏没有先前的签名,则不执行任何操作。 | 由于 winword.exe 和PowerShell .exe 进程之间存在不寻常的父子关系,因此会检测并标记宏的执行。 |
| 步骤 4 | 通常情况下,杀毒软件无法检测到混淆后的PowerShell脚本。 | 标记混淆脚本的执行 |
| 步骤五 | 由于它不监控内存注入,因此不会标记对 svchost.exe 的恶意注入。 | 检测到 svchost.exe 中的进程注入 |
| 步骤 6 | 缺乏网络级可见性 | 标记 svchost.exe 的异常行为,即建立出站连接。 |
| 最终行动 | 可能被标记为清洁 | 生成包含完整攻击链的警报,并允许分析人员在EDR 系统中采取相应措施。 |
注: 某些现代防病毒软件可能具有更强的可视性和检测能力。然而,EDR更胜一筹,因为它能提升终端的检测和响应能力。
请回答以下问题。
在给定的类比中,什么代表了AV?
# 入境检查
immigration check
在此场景中,攻击者劫持了哪个合法进程?
svchost.exe
哪些安全解决方案可能会将此活动标记为干净的活动?
# AV 杀毒软件
Antivirus
在之前的任务中,我们已经了解了EDR对终端安全有多么强大。但是,您是否知道:
这简直就像魔法一样。让我们试着用最简单的方式来理解它。
我们可以将多个终端集成到我们的EDR系统中,并通过集中式控制台进行管理。我们需要在这些终端内部部署EDR代理。这些代理有时也被称为传感器,它们是EDR的“耳目”。它们的职责是驻留在终端并监控所有活动。这些活动的详细信息会实时发送到EDR中央控制台。EDR代理可以自行执行一些基本的基于特征和行为的检测,并将结果发送到EDR控制台,从而触发警报。
EDR代理发送的所有详细数据都会通过复杂的逻辑和机器学习算法进行关联和分析。威胁情报信息会与收集到的数据进行匹配。EDR就像大脑一样,将所有数据点连接起来。这些数据点最终会形成检测结果,通常称为警报。
以下屏幕截图显示了EDR控制台的仪表板。所有来自端点代理的数据都会传输到此控制台,检测过程也在此处进行。此仪表板全面展示了所有端点的当前检测状态。
当检测到安全事件时,安全运营中心(SOC)分析师的职责是确认警报并确定其优先级。EDR系统本身就简化了优先级确定过程。它会为所有警报赋予不同的严重级别(严重、高、中、低、信息)。严重级别最高的警报会被优先调查。在调查过程中,分析师点击警报后即可查看所有检测详情,包括已执行的文件、已执行的进程、网络连接尝试、注册表修改等等。根据现有数据,分析师首先需要运用专业知识判断警报是误报还是真报。如果是真报,分析师可以直接在EDR控制台中采取相应措施。
作为一名安全运营中心 (SOC)分析师,必须了解,虽然独立的端点检测与响应(EDR) 系统能够提供足够的信息来检测和响应端点威胁,但它需要与其他安全解决方案协同工作,才能构建一个更完善的安全生态系统。在网络中,防火墙、数据防泄漏 (DLP)、电子邮件安全网关、身份与访问管理 (IAM)、EDR 以及其他安全解决方案共同保护着网络的各个组件。为了最大限度地减少工作量并提高效率,所有这些安全解决方案都与安全信息与事件管理(SIEM)解决方案集成,SIEM 解决方案也成为分析师调查的核心。我们将在本模块的后续章节中详细讨论SIEM解决方案。
请回答以下问题。
EDR 的哪个组件负责从端点收集遥测数据?
Agent
EDR代理也称为?
# 传感器
sensor
在之前的任务中,我们学习了EDR代理,它们从端点收集各种数据并将其推送到EDR控制台。这些数据被称为遥测数据。遥测数据就像一个黑匣子,包含了检测和调查所需的一切信息。
通常情况下,终端上会进行许多活动,其中大部分是合法的。区分正常活动和恶意活动往往很困难。收集的数据越多,就能做出越准确的判断。EDR会从终端收集详细的遥测数据。让我们简要了解一下它收集的一些遥测数据:
EDR从端点收集的数据远不止这些。它运用复杂的逻辑和机器学习算法来评估活动。高级威胁大多隐蔽进行,在执行过程中使用合法工具。单独来看,它们的活动可能看似无害,但通过详细的遥测数据进行观察,就会发现并非如此。这些详细的遥测数据不仅有助于EDR检测高级威胁并更准确地判断活动的合法性,而且对分析人员的调查工作也大有裨益。分析人员可以了解完整的事件链,识别根本原因,并重构攻击时间线。
请回答以下问题。
哪些遥测数据有助于检测指挥控制通信?
# 网络连接
Network Connections
Windows 系统的配置设置主要存储在哪里?
# 注册表
Registry
在本任务中,我们将讨论EDR的先进检测技术和响应机制。
基于从端点接收的遥测数据,我们对这些数据应用了一些先进的检测技术。这些技术包括:
行为检测
并非仅仅将特征码与已知威胁进行匹配,而是观察文件的完整行为。高级威胁会精心构造恶意软件,使其看起来干净无害,并利用合法进程来执行攻击。EDR可以捕获这种行为。例如: 进程 winword.exe 启动PowerShell.exe的行为会被EDR标记。Word 文档启动PowerShell是一种不寻常的父子关系。
异常检测:
随着时间的推移,EDR会逐渐了解端点的基线行为。任何偏离此行为的活动都会被标记。当发生恶意活动时,端点的行为会偏离正常状态,EDR会检测到这种异常。有时,EDR 也会产生误报。但是,结合 EDR 提供的完整上下文信息,分析人员可以判断异常的合法性。
例如: 在某个端点上,一个进程修改了自动启动注册表项,这在该端点上并不常见。
符合入侵指标 (IOC)
的EDR 系统与威胁情报领域有着强大的集成。除了零日攻击之外,大多数攻击都有在威胁情报源中发布的指标。EDR会标记任何与已知IOC匹配的活动。 例如:用户下载了一个文件,该文件会释放一个可执行文件。该可执行文件通常用于特定攻击。该可执行文件的哈希值将与威胁情报源进行匹配,并立即被EDR标记。
MITRE ATT&CK 映射: EDR
标记的任何活动不仅会被标记为恶意或可疑,还会映射到该活动所属的MITRE战术和技术(攻击阶段)。这对分析人员来说非常有用。例如: 如果EDR出于任何原因标记了计划任务的创建,它很可能会将此活动映射到以下阶段:
机器学习算法:
高级威胁行为者会尽可能地规避防御措施,他们的活动有时甚至能绕过高级检测技术。现代端点检测与响应 (EDR) 系统配备了机器学习模型,这些模型通过大量正常和恶意行为数据集进行训练。这可以检测出复杂的攻击模式。
例如: 某些攻击中,单个操作本身可能并非恶意,但机器学习算法却能将整个攻击链识别为恶意行为。无文件攻击和多阶段入侵通常可以通过这种方法检测到。
检测到恶意行为后的下一步是响应。EDR提供自动响应和手动响应两种方式。您可以制定策略来自动阻止已知的恶意行为。此外,手动响应也为您提供了更广泛的响应功能。接下来,我们将探讨其中的一些功能。
在终端发生任何恶意活动时,您可以通过EDR 将该终端与网络隔离。这是遏制恶意活动的一种非常有效的功能。大多数攻击都从单个终端开始,然后横向蔓延到其他终端,最终导致整个网络瘫痪。及时隔离受感染的终端可以阻止这种情况的发生。
并非所有恶意活动都需要隔离主机。有些主机运行着核心业务,隔离这些主机造成的损失可能比恶意活动本身更大。在这种情况下,终止进程足以消除恶意活动。分析人员在EDR 系统中可以使用此功能,他们可以随时终止任何进程。但必须谨慎执行此操作,因为终止合法进程可能会中断终端的正常运行。
隔离:
如果恶意文件进入终端,可以对其进行隔离。隔离功能确保文件被移动到无法执行的独立位置。分析人员随后可以审查该文件,以决定是否恢复或永久删除它。
远程访问
分析人员还可以远程访问任何端点的 shell。当EDR的内置响应不足以对特定活动采取行动时,通常会使用这种方法。通过远程访问,分析人员可以更深入地了解系统或在端点上执行自定义操作。分析人员还可以通过远程访问运行脚本或从主机收集所需数据。以下是 CrowdStrike Falcon EDR
的 RTR(实时响应)控制台示例,分析人员可以通过该控制台远程访问任何端点的 shell 并运行命令和脚本。
数据采集
有时,分析人员可能需要从终端设备提取一些数据,以便进行详细的取证调查或为法律诉讼撰写报告。分析人员无需实际接触设备即可从终端设备提取重要的数据。最常提取的数据包括:
EDR解决方案的检测和响应能力与传统端点保护解决方案有所不同。现代EDR引入了更先进的检测技术。
请回答以下问题。
EDR 的哪项功能可以帮助您根据已知的恶意行为识别威胁?
# 静态分析,直接匹配已知的IOC
IOC matching
您是TECH THM的一名SOC分析师,拥有EDR控制台的访问权限,并已收到多条中高危安全事件的检测结果。您的任务是利用EDR中可用的信息对每条检测结果进行分类,并回答一系列与这些检测结果相关的问题。
请回答以下问题。
CMD.exe 启动了哪个工具来在 DESKTOP-HR01 上下载有效载荷?
CURL.exe
DESKTOP-HR01 机器上下载的恶意软件的绝对路径是什么?
C:\Users\Public\install.exe
WIN-ENG-LAPTOP03 机器上可疑的 syncsvc.exe 的绝对路径是什么?
C:\Users\haris.khan\AppData\Local\Temp\syncsvc.exe
WIN-ENG-LAPTOP03 上的数据泄露尝试是通过哪个 URL 进行的?
https://files-wetransfer.com/upload/session/ab12cd34ef56/dump_2025.dmp
DESKTOP-DEV01 上的威胁情报将 UpdateAgent.exe 标记为什么?
# 已知的内部IT实用工具
Known internal IT utility tool
恭喜!我们已经学习了安全运营中心 ( SOC )的一项关键工具——端点检测与响应 ( EDR )。作为SOC分析师,我们现在了解了EDR的基本架构及其除防病毒之外的功能。我们探索了EDR提供的详细遥测数据,也了解了EDR解决方案强大的检测和响应能力。最后,我们还练习了在模拟EDR 环境中调查一些检测结果。
安全信息和事件管理系统 ( SIEM ) 是安全运营中心(SOC)分析师使用的核心安全解决方案。在本课程中,我们将学习网络中不同设备如何生成日志,以及为什么集中式解决方案对于收集、规范化和关联这些日志至关重要。
请回答以下问题。
SIEM 代表什么?
Security Information and Event Management system
网络中的多个设备彼此通信,并且大多数情况下通过路由器与互联网通信。下图展示了一个简单的网络示例,该网络包含多个基于Linux /Windows 的终端设备、一台数据服务器和一个网站。
这些设备会持续生成其内部活动日志。我们也可以称这些设备为日志源。它们生成的日志记录了所有活动,对于识别恶意活动或进行一般故障排除极其有用。这些日志源主要分为两类,下文将对此进行讨论。
这些日志源捕获主机内部或与主机相关的事件。生成以主机为中心的日志的设备包括 Windows、Linux服务器等。以下是一些以主机为中心的日志示例:
当主机之间通信或访问互联网访问网站时,会生成网络相关日志。生成网络日志的设备包括防火墙、入侵检测/防御系统(IDS / IPS)、路由器等。以下是一些网络日志的示例:
这些以主机为中心和以网络为中心的日志源共同作用,在网络中不断生成大量日志。
到目前为止,日志源生成日志、我们分析日志并识别恶意活动的过程似乎非常简单。然而,事实并非如此。它面临着一些挑战。以下将讨论其中一些挑战:
在接下来的任务中,我们将学习一种可以解决所有这些问题的强大技术。
请回答以下问题。
注册表相关活动是以主机为中心还是以网络为中心?
# 主机为中心的日志源
host-centric
VPN相关活动是以主机为中心还是以网络为中心?
# 网络中心日志源
network-centric
在之前的任务中,我们了解了不同的日志源如何生成各种类型的海量日志,以及分析这些日志所面临的挑战。那么,我们如何才能更有效地管理这些海量数据并从中提取有价值的结果呢?
这时,安全信息和事件管理( SIEM )就发挥作用了。SIEM是一种安全解决方案,它从各种类型的日志源收集日志,将它们的格式标准化为一致的格式,将它们关联起来,并使用检测规则来检测恶意活动。
SIEM解决方案不仅解决了我们在上一项任务中讨论的问题,还提供了增强安全运营的功能。接下来,我们将讨论SIEM的一些核心功能。
下面展示的是使用Splunk SIEM创建的仪表板示例:
SIEM还有其他一些功能,我们这里就不详细介绍了。这些功能包括与威胁情报源集成、广泛的数据保留、强大的搜索功能等等。
网络中的每个设备在执行任何活动时都会生成某种日志,例如用户访问网站、连接到SSH、登录工作站等等。让我们来看看网络环境中一些常见设备的日志是什么样的。
Windows 会记录所有可通过事件查看器查看的事件。它会为每种类型的日志活动分配一个唯一的 ID,方便分析人员进行检查和跟踪。要在 Windows 环境中查看事件,请 Event Viewer在搜索栏中输入相关内容。这将引导您进入存储和查看不同日志的工具,如下所示。来自所有 Windows 端点的这些日志都会转发到SIEM解决方案,以便进行监控并获得更好的可见性。
Linux 操作系统会存储所有相关日志,例如事件、错误、警告等。这些日志随后会被导入到SIEM 系统中进行持续监控。Linux存储日志的一些常见位置包括:
以下是 cron 日志示例:
定时任务日志
May 28 13:04:20 ebr crond[2843]: /usr/sbin/crond 4.4 dillon's cron daemon, started with loglevel noticeMay 28 13:04:20 ebr crond[2843]: no timestamp found (user root job sys-hourly)May 28 13:04:20 ebr crond[2843]: no timestamp found (user root job sys-daily) May 28 13:04:20 ebr crond[2843]: no timestamp found (user root job sys-weekly) May 28 13:04:20 ebr crond[2843]: no timestamp found (user root job sys-monthlyJun 13 07:46:22 ebr crond[3592]: unable to exec /usr/sbin/sendmail: cron output for user root job sys-daily to /dev/null
监控所有进出 Web 服务器的请求/响应对于防范任何潜在的 Web 攻击至关重要。在Linux 系统中,通常将所有与Apache相关的日志写入 /var/log/apache 或 /var/log/httpd 目录。
以下是Apache日志示例:
Apache日志
192.168.21.200 - - [21/March/2022:10:17:10 -0300] "GET /cgi-bin/try/ HTTP/1.0" 200 3395 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36"127.0.0.1 - - [21/March/2022:10:22:04 -0300] "GET / HTTP/1.0" 200 2216 "-" "curl/7.68.0"
所有这些日志都提供了丰富的信息,有助于识别安全问题。每种SIEM解决方案都有其自身的日志采集方式。以下将介绍一些SIEM解决方案常用的日志采集方法:
下面展示了Splunk提供的各种日志采集方法示例:
请回答以下问题。
在Linux环境中,HTTP日志存储在哪个位置?
/var/log/httpd
我们了解到,SIEM解决方案通过关联来自日志源的日志来检测威胁并触发警报,但我们知道这些检测背后的奥秘吗?
SIEM解决方案包含用于捕获威胁的检测规则。这些规则在及时检测威胁方面发挥着重要作用,使分析人员能够及时采取行动。检测规则本质上是一系列逻辑表达式,这些表达式会在特定情况下被触发。以下是一些检测规则的示例:
Multiple Failed Login AttemptsSuccessful Login After multiple Login Attempts为了解释该规则的工作原理,请考虑以下事件日志使用案例:
攻击者通常会在后渗透阶段删除日志以消除踪迹。每当用户尝试删除或清除事件日志时,系统都会记录一个唯一的事件 ID 104。要基于此活动创建规则,我们可以按如下方式设置条件:
规则: 如果日志源为 WinEventLog且事件 ID 为 104,则触发警报Event Log Cleared
攻击者会在利用漏洞/权限提升阶段之后使用类似这样的命令whoami 。以下字段有助于将其添加到规则中。
规则: 如果日志源为 WinEventLog 且 事件代码为 4688,并且 NewProcessName 包含whoami, 则触发警报。WHOAMI command Execution DETECTED
在前一个任务中,我们讨论了字段值对的重要性。检测规则会监控特定字段的值以触发检测。这就是为什么摄取规范化日志如此重要的原因。
在监控SIEM时,分析师的大部分时间都花在仪表盘上,因为仪表盘以非常简洁的方式展示了网络的各种关键细节。一旦触发警报,分析师会检查与该警报关联的事件/流程,并检查规则是否满足哪些条件。根据调查结果,分析师会判断警报是真阳性还是假阳性。分析后执行的一些操作包括:
请回答以下问题。
删除事件日志时会生成哪个事件 ID?
104
哪些类型的警报可能需要调整?
# 误报
False Positive
请回答以下问题。
点击“开始可疑活动”按钮后,是哪个进程触发了警报?
cudominer.exe
找出引发警报的事件,并确定负责执行该流程的用户。
Chris
可疑用户的主机名是什么?
HR_02
检查规则和可疑流程;哪个术语与引发警报的规则相匹配?
# 挖矿
miner
以下哪个选项最能代表该事件?请从以下选项中选择:
假阳性
真阳性
True Positive
选择正确的操作将显示标志。标志是什么?
THM{000_SIEM_INTRO}
了解安全运营中心分析师如何使用 Splunk 进行日志调查。
Splunk是市场上领先的SIEM解决方案之一。它允许用户实时收集、分析和关联网络及机器日志。在本次会议中,我们将探讨Splunk的基础知识及其功能,以及它如何提供更清晰的网络活动可见性并帮助加快安全检测速度。
Splunk由三个主要组件构成:转发器、索引器和搜索头。这些组件协同工作,帮助我们搜索和分析数据。以下将详细介绍这些组件:
Splunk Forwarder 是一个轻量级代理,安装在待监控的终端设备上,其主要任务是收集数据并将其发送到Splunk实例。由于它仅占用少量资源,因此不会影响终端设备的性能。一些关键数据源包括:
转发器从日志源收集数据并将其发送到Splunk索引器。
Splunk Indexer 在处理从转发器接收的数据方面发挥着主要作用。它将数据解析并规范化为字段-值对,对其进行分类,并将结果存储为事件,从而使处理后的数据易于搜索和分析。
现在,经过索引器规范化和存储的数据,可以通过搜索头进行搜索,如下所述。
Splunk搜索头是搜索与报告应用程序中用户可以搜索已索引日志的位置,如下所示。搜索使用SPL(搜索处理语言)完成,SPL 是一种功能强大的查询语言,用于搜索已索引的数据。当用户执行搜索时,请求会发送到索引器,并将相关事件以字段-值对的形式返回。
搜索头还允许您将搜索结果转换为可展示的表格和可视化图表,例如饼图、条形图和柱状图,如下所示:
请回答以下问题。
用于通过 Splunk 实例收集和发送数据的组件是哪个?
# 转发器
Forwarder
当您访问Splunk时,您将看到如下所示的默认主屏幕:
让我们来看一下主屏幕的每个部分。
顶部面板是Splunk Bar
在Splunk工具栏中,我们提供以下选项:
接下来是应用面板。此面板显示Splunk实例中已安装的应用。每个Splunk安装的默认应用都是 “搜索与报告”。
您还可以直接从Splunk工具栏切换Splunk应用程序,如下所示,而无需使用应用程序面板。
下一部分是 “探索Splunk” 。此面板包含用于向Splunk实例添加数据、添加新的Splunk应用以及访问Splunk文档的快速链接。
最后一个部分是“首页仪表盘” 。默认情况下,不显示任何仪表盘。您可以从Splunk实例中预先提供的多种仪表盘中进行选择。您可以从下拉菜单中选择仪表盘,也可以访问仪表盘列表页面进行选择。
您还可以创建仪表盘并将其添加到首页仪表盘。点击 “您的” 选项卡,即可将您创建的仪表盘与其他仪表盘分开查看。
请点击https://docs.splunk.com/Documentation/Splunk/8.1.2/SearchTutorial/NavigatingSplunkSplunk文档中的“Splunk 导航”部分。
请回答以下问题。
在“添加数据”选项卡中,哪个选项用于从文件和端口收集数据?
# 监视器
Monitor
Splunk可以摄取任何类型的数据。根据Splunk文档,当数据添加到Splunk时,数据会被处理并转换为一系列独立的事件。数据源可以是事件日志、网站日志、防火墙日志等等。数据源会被分组到不同的类别中。
下面这张图表来自Splunk文档,详细列出了每个数据源类别。
在这个任务中,我们将重点关注 VPN日志。点击Splunk主页Add Data上的链接后,我们会看到以下屏幕。
我们将使用此Upload选项从本地计算机上传数据。
VPN_logs点击下方按钮下载日志文件Download Task Files,并将其上传到我们在任务 2 中启动的 Splunk 实例。如果您使用的是 AttackBox,则日志文件位于该/root/Rooms/SplunkBasic/目录中。
(已下载,打开当前笔记的目录,文件名为:VPN-logs-1663593355154.json)
要成功上传数据,您必须按照以下五个步骤操作:
请回答以下问题。
请上传此任务附带的数据 ,并创建一个名为“VPN_Logs”的索引。日志文件中有多少条事件记录?
# 使用SPL : index="vpn_logs"
2862
用户 Maleena捕获了多少条日志事件?
先看字段都有哪些,你会发现一个UserName的字段,所以我们筛选这个即可
# 使用SPL语句:index="vpn_logs" | where UserName="Maleena"
60
与 IP 地址 107.14.182.38 关联的用户名是什么?
查看字段,可以发现有关ip字段的是Source_ip
# 使用SPL语句查询:
Smith
查完后看UserName即可看到这个ip下对应的用户是Smith
除法国以外的所有国家共举办了多少场活动?
我们看回字段,发现有一个字段是有关国家的Source_Country
# 使用SPL筛选即可:index="vpn_logs" | where Source_Country!="France"
2814
与 IP 地址 107.3.206.58 关联的 VPN 事件有多少个?
# 筛选:index="vpn_logs" | where Source_ip="107.3.206.58"
14
在这个房间里,我们将学习如何使用Elastic Stack ( ELK ) 进行日志分析和调查。虽然ELK不是传统的SIEM系统,但由于其强大的数据搜索和可视化功能,许多安全运营中心 (SOC)团队都将其用作 SIEM 系统。我们将探索ELK的各个组件,并学习如何通过它进行日志分析。我们还将学习如何在ELK中创建可视化图表和仪表板。
学习目标
本教室的学习目标如下:
Elastic Stack ( ELK ) 最初开发的目的是为了存储、搜索和可视化大量数据。企业使用它来监控应用程序性能并对大型数据集执行搜索。随着时间的推移,其功能也使其在安全运营领域广受欢迎。如今,许多安全运营中心 (SOC)团队几乎将ELK用作安全信息和事件管理(SIEM)解决方案。
Elastic Stack 是一系列不同的开源组件的集合,这些组件协同工作,可以从任何来源收集数据,存储和搜索数据,并实时可视化数据。
在学习如何通过ELK进行日志分析之前,我们先来讨论一下它的核心组件。
注意: 作为安全运营中心 (SOC)分析师,您的主要职责是使用ELK进行日志分析和调查。您无需精通ELK各个组件的工作原理,但对这些组件的基本概念有所了解至关重要。
第一个组件Elasticsearch是一个用于JSON格式文档的全文搜索和分析引擎。它存储、分析和关联数据,并支持用于与之交互的RESTful API 。
Logstash是一个数据处理引擎,它从不同来源获取数据,对其进行过滤或规范化处理,然后将其发送到目标位置,例如Kibana或监听端口。Logstash配置文件分为三个部分,如下所示。
Logstash支持多种输入、输出和过滤器插件。
Beats 是基于主机的代理,也称为数据发送器,负责将数据从端点发送到Elasticsearch。每个 Beats 都是一个单一用途的代理,专门向Elasticsearch发送特定数据。所有可用的 Beats 如下所示。
Kibana是一款基于 Web 的数据可视化工具,它与Elasticsearch协同工作,能够实时分析、调查和可视化数据流。它允许用户创建多种可视化图表和仪表板,从而获得更清晰的数据可视化效果。以下任务将详细介绍Kibana 。
现在我们已经了解了 Elastic Stack 的所有组件,接下来让我们逐步了解这些组件是如何协同工作的:
请回答以下问题。
Logstash 用于数据可视化。(yay / nay)
nay
Elasticstash 支持除 JSON 之外的所有数据格式。(yay / nay)
nay
使用KQL,我们可以通过两种不同的方式搜索日志。
自由文本搜索允许用户仅根据文本搜索日志。这意味着,security无论日志位于哪个字段,只需简单搜索某个词条,即可返回包含该词条的所有文档。让我们在搜索栏中输入文本United States。它将返回包含该词条的所有日志,无论其位置或字段如何。如下所示,此次搜索返回了 2304 条结果。
如果我们只搜索这个词呢 United?你觉得会返回结果吗?
由于KQL会在文档中查找整个术语/单词,因此没有返回任何结果。
KQL允许使用通配符*匹配单词的一部分。让我们来看看如何在搜索查询中使用此通配符。
搜索查询: United*
我们使用通配符United 来返回包含“United”及其后任何词语的所有结果。如果我们有包含“.”的日志,United Nations它也会因为这个通配符而返回这些日志。
KQL还允许用户在搜索查询中使用逻辑运算符。让我们来看下面的示例。
1. AND
在这里,我们将使用AND"United States"运算符创建一个搜索,返回包含术语and 的 日志"Virginia"。
搜索查询: "United States" AND "Virginia"
2. OR
我们将使用OR运算符来显示包含“或United States”的日志England。
搜索查询: "United States" OR "England"
3. NOT
同样,我们可以使用NOT运算符从搜索结果中移除特定词语。例如,以下搜索查询将显示来自****美国(包括所有州)的日志,但忽略佛罗里达州。
搜索查询: "United States" **AND NOT** ("Florida")
在基于字段的搜索中,我们需要提供字段名称和要在日志中查找的值。这种搜索方式的语法比较特殊Field: Value,它使用冒号作为字段和值之间的分隔符。下面我们来看几个例子。
搜索查询: Source_ip : 238.163.231.224 AND UserName : Suleman
说明: 我们告诉Kibana显示所有字段 包含Source_ip该值238.163.231.224 且UserName为 的 日志Suleman,如下所示。
可视化选项卡允许我们以不同的形式(例如表格、饼图、条形图等)可视化数据。此可视化任务将使用此选项卡提供的多种选项来创建一些简单易懂的可视化图表。
有几种方法可以导航到可视化选项卡。一种方法是单击“发现”选项卡中的任意字段,然后单击如下所示的可视化图表。
我们可以通过选择表格、饼图等选项来创建多种可视化效果。
我们经常需要创建多个字段之间的关联。将所需字段拖到中间即可在可视化选项卡中创建一个关联选项卡。这里,我们选择“Source_Country客户”作为第二个字段,以显示客户之间的关联Source_IP。
我们还可以创建一个表格,将所选字段的值显示为列,如下所示。
创建这些可视化图表最重要的步骤是保存它们。为此,请点击右侧的保存选项,并填写下面的描述性数值。
创建可视化图表后需要采取的步骤:
我们将利用以上所学知识创建一个表格,显示失败尝试中涉及的用户和 IP 地址。
仪表盘能够清晰地展示日志收集情况。用户可以创建多个仪表盘来满足特定需求。在本任务中,我们可以组合不同的已保存搜索和可视化效果,创建一个用于查看VPN日志的自定义仪表盘。
创建自定义仪表盘
现在,我们已经保存了一些Searches仪表板Discover tab,创建了一些 仪表板Visualizations并保存了它们。接下来,我们将探索仪表板选项卡并创建一个自定义仪表板。创建仪表板的步骤如下:
Dashboard tab并点击Create dashboard.
Add from Library.
恭喜!我们已经了解了 Elastic Stack ( ELK ),这是一款在安全运营中心 ( SOC ) 中广泛使用的工具。作为SOC分析师,我们现在了解了ELK 的工作原理,它虽然不是传统的SIEM 系统,但被SOC团队广泛用作SIEM解决方案。
我们探索了ELK的关键组件,包括收集、解析、搜索和显示海量日志。我们还了解了它强大的日志搜索功能。我们扮演了安全运营中心(SOC)分析师的角色,并使用ELK分析了某个组织的VPN日志。最后,我们练习了如何在ELK中创建可视化图表和仪表板,从而提供了一个统一的界面来检测恶意模式。
为了防御攻击,安全运营中心 (SOC)团队依赖于各种安全解决方案,例如安全信息和事件管理(SIEM)、端点检测与响应(EDR)、防火墙和威胁情报平台。他们还会与 IT 团队和管理团队进行沟通,这是其工作流程的一部分。然而,随着威胁变得越来越复杂和高级,SOC团队面临着诸多挑战,例如警报疲劳、手动流程、工具过多且彼此独立以及团队间沟通困难等。
在这个房间里,我们将探讨安全编排、自动化和响应 ( SOAR ) 工具如何帮助SOC团队克服这些挑战。
在深入了解SOAR工具之前,让我们先来看看传统的安全运营中心 ( SOC ) 的工作原理以及它们面临的挑战。
组织机构通常会设立安全运营中心 ( SOC ),作为集中监控和保护其数字资产的场所。SOC 随着时间的推移不断发展演进,每一代都会引入新技术。组织机构设立SOC的主要优势在于,通过持续的监控和分析来增强其安全事件处理能力。这可以通过合理配置人员、流程和技术来实现,从而支持SOC的能力和业务目标。
SOC的一些关键功能包括以下方面:
你可以看到安全运营中心 (SOC)如何使用多种工具并与各个团队沟通协作来执行其流程。虽然这些流程能够保护组织的安全,但SOC团队也常常面临一些挑战。让我们来探讨一下这些挑战。
请回答以下问题。
您如何描述安全运营中心 (SOC) 内触发过多安全事件的体验?
# 告警疲劳,太多告警要处理啦!还很多都是fp
Alert Fatigue
在上一项任务中,我们了解了安全运营中心 ( SOC ) 面临的一些挑战。在本任务中,我们将学习一款可以帮助SOC团队克服这些挑战的工具。这款工具名为安全编排、自动化和响应 ( SOAR )。接下来,我们将探讨这款工具的功能以及它如何应对这些挑战。
安全编排、自动化和响应 ( SOAR ) 是一款整合安全运营中心 (SOC)中使用的所有安全工具的工具。借助SOAR,SOC分析师无需在安全信息和事件管理(SIEM)、端点检测与响应(EDR)、防火墙和其他安全工具之间切换即可进行调查。他们可以在单一的SOAR界面中操作所有这些工具。除了整合安全工具外,SOAR 还为分析师提供工单和案例管理功能,使他们能够以结构化的方式记录、跟踪和解决安全事件。
SOAR工具的核心优势来自于以下三个主要功能:
传统上,在调查安全警报时,SOC分析师需要在多个安全工具之间切换进行分析。例如,在VPN暴力破解攻击中,分析师通常会在以下工具之间切换:
手动切换不同的工具会降低流程速度。编排通过在SOAR中协调所有这些工具来解决这个问题。它将来自不同供应商的不同工具连接到统一的SOAR界面中。它定义了用于调查各种类型警报的工作流程,称为 “剧本”。这些剧本是预定义的步骤,用于告诉SOAR如何调查警报。
例如,我们上面讨论的VPN暴力破解警报将遵循以下策略:
上述操作已预先定义在针对特定警报的剧本中。这些剧本是动态的,通常包含不同的路径。每个步骤的结果决定了下一步的操作。例如,如果用户通常使用该 IP 地址,且失败尝试次数极少,则剧本可能会提前停止。在接下来的任务中,我们将讨论一些实际的剧本示例。
我们在编排课程中学习的通过预定义操作(剧本)协调多个工具的技巧可以实现自动化。自动化意味着安全运营中心(SOC)分析师无需再进行手动点击操作。安全运营自动化与响应(SOAR)将自动遵循剧本执行。让我们继续探讨结合自动化功能的VPN暴力破解警报剧本。
这为安全运营中心(SOC)分析师节省了大量时间。他们可以处理数百条警报而不会精疲力竭。
SOAR允许用户通过一个统一的界面使用不同的工具执行操作。正如我们之前在了解其自动化功能时所看到的,它还能自动执行响应。例如,SOAR可以按照VPN暴力破解的剧本,在防火墙上阻止 IP 地址,在IAM中禁用用户,并创建包含所有详细信息的工单。
SOAR的编排、自动化和响应功能解决了SOC团队面临的主要挑战。借助SOAR,告别了告警疲劳,大部分流程实现了自动化,所有不同的工具都连接起来进行协调。
虽然安全运营自动化与响应 (SOAR)工具可以自动化大部分重复性任务,但它并不能取代安全运营中心 (SOC)分析师。复杂的调查仍然需要SOC分析师。SOAR在某些关键点上无法做出判断,但分析师可以。SOC分析师能够从更广泛的业务角度理解威胁。不同类型警报的操作手册也由SOC分析师制定。因此,这个问题的答案是:SOAR可以通过自动化重复性任务并将所有内容组织在一个简化的结构中来减轻SOC的负担,但我们仍然需要SOC分析师。
请回答以下问题。
将安全工具和系统连接并集成到无缝工作流程中的行为被称为?
# 管弦乐编曲, 管弦乐作曲法
Orchestration
我们如何称呼用于处理事件的预定义操作列表?
# 剧本
Playbook
在上一项任务中,我们学习了SOAR剧本如何作为预定义的工作流程,指导SOAR工具在特定调查期间采取哪些操作。SOC分析师会针对一类常见的重复性警报创建剧本。接下来,我们来看两个不同的剧本示例,一个用于应对网络钓鱼攻击,另一个用于应对CVE漏洞补丁。
网络钓鱼攻击仍然是安全漏洞中最常见的攻击手段。然而,对于安全分析师而言,调查钓鱼邮件往往耗时费力,需要手动操作,例如分析附件和 URL,并通过威胁情报平台进行验证。在其他调查进行的同时,安全运营自动化与响应(SOAR)解决方案可以通过预先设定的剧本在后台执行这些任务。此外,一旦识别出钓鱼邮件,还可以立即进行补救。
那么,这套策略手册会是什么样的呢?
假设您是一位经验丰富的安全运营中心 (SOC)分析师,专门处理网络钓鱼警报。您正在培训一位初级分析师如何应对网络钓鱼警报。为此,您绘制了一张流程图,供他们在调查此类警报时参考。为了更好地帮助您的初级分析师,您会在流程图中添加哪些内容?从收到“收到可疑电子邮件”的警报开始,您可能会告诉他们接下来应该采取哪些步骤。他们应该创建一个工单,并检查电子邮件是否包含 URL 或附件。如果没有,只需通知用户;如果有,下一步该怎么做?后续步骤将取决于邮件是否包含 URL 或附件。因此,流程图中会包含大量的“如果发生这种情况,则执行此操作;否则,执行此操作”的指令。这就是钓鱼应对手册的制作方式。下图展示了一个钓鱼应对手册,说明了在每个步骤中应该做什么。
CVE (通用漏洞披露)是指已公开披露并分配有CVE编号的漏洞。作为漏洞管理的一部分,SOC团队必须处理新发布的 CVE,验证其是否存在于网络中,如果存在则进行修补。分析师必须时刻关注有关新 CVE 及其修复计划的发布信息。这个过程可能会变得非常繁琐,导致积压的 CVE 数量不断增加,补丁程序无法及时应用,从而使环境更加脆弱。此外,由于 CVE 发布频繁,这个过程会占用SOC团队大量的时间和资源。因此,为了解决这个问题,我们可以像处理网络钓鱼案例一样,在SOAR工具中创建一个处理 CVE 的剧本。
本操作手册将分析CVE 的详细信息,评估其风险阈值,创建补丁工单,并在将补丁推送至生产环境之前进行测试。以下是一个用于CVE补丁的操作手册示例。
注: 请点击图片放大。
正如您在两个操作手册的流程图中所见,大部分步骤都已自动化,但仍有一些环节需要安全运营中心(SOC)分析师的参与。这表明,尽管安全运营自动化与响应 (SOAR)减少了重复性的人工操作负担,但SOC分析师在关键决策和验证方面仍然发挥着至关重要的作用。
请回答以下问题。
在SOAR工作流程中,手动分析是否至关重要? Yay or Nay?
Yay
CVE补丁程序从哪里获取新的CVE?
Advisory lists
在 CVE 补丁程序中,如果在部署补丁后仍然发现资产存在漏洞,SOC 接下来应该采取什么措施?
# 缓解计划
mitigation plan
您所在的安全运营中心(SOC)团队最近遭遇了一起大型安全漏洞调查,由于缺乏自动化,调查耗时过长。您的朋友 McSkidy 最近建议采用安全运营自动化与响应 (SOAR)并设置自动化工作流程(也称为剧本)来辅助安全调查。McSkidy 向您发送了一份威胁情报集成工作流程的清单,您的任务是弄清楚它的工作原理。
调整后点击运行即可
THM{AUT0M@T1N6_S3CUR1T¥}
本文来自博客园,作者:竹等寒,转载请注明原文链接。
关注微信