Elastic 的信息安全团队最近详细介绍了他们使用 Tines 实现的工作流程自动化,旨在提高他们识别和应对网络安全威胁的能力。该系统会自动对来自其安全信息和事件管理 (SIEM) 系统的警报进行分类,从而增强了识别和优先处理真实威胁的能力。
亚伦·杰维特Elastic 首席信息安全分析师 II 详细阐述了实施 在博客文章中. 通过这种简化的工作流程,该团队在一个月内调查并解决了超过 50,000 条警报,每条警报在触发后几秒钟内即可得到处理。这种方法使团队能够专注于调查复杂的威胁,从而改善整体安全态势。
此前,Elastic InfoSec 团队创建了规则包,用于检测 用户和实体行为分析(UEBA). 用户和实体行为分析(UEBA)分析来自用户和设备的活动数据,以建立正常行为标准。
安全团队意识到,如果 UEBA 警报来自受信任的设备,则可能会被忽略。他们的调查通常涉及根据 Elasticsearch 数据库检查警报的详细信息。如果发现匹配的活动,则警报可能是误报。
处理大量误报会导致分析师疲劳并错过威胁。因此,该团队考虑自动进行初始警报调查,排除误报并升级真正的威胁。
目前,Elastic 的系统将安全警报传输到 SOAR(安全编排、自动化和响应) 系统。然后,该 SOAR 系统使用查询自动对每个警报进行调查。根据结果,它会解决警报或将其上报给安全分析师进行进一步审查。
Jewitt 进一步解释了 叉齿 构建自动化分类工作流程。Elastic 的安全团队利用 Elastic Security 中的 Alert Actions 将警报数据传输到他们的 SOAR 解决方案。这是通过内置的 Tines 连接器或 webhook 实现的,该连接器或 webhook 以 ndjson 格式单独或批量发送警报。
自动分类标签(例如 Triage:All、Triage:Asset、Triage: Workstation)用于将规则路由到适当的分类路径。使用 Tines 中提供的不同操作,警报将进一步发送到 Slack 或 PagerDuty。下面显示了将未结警报升级到 Slack 的示例工作流程。
关于 SIEM 的话题,Reddit 上有一场有趣的对话,深入探讨了 SIEM 的重要性。 这 OP Threezeley 询问如何衡量 SIEM 相对于其组织中所有其他安全/警报工具的有效性。Reddit 用户 天际线 强调了 SIEM 作为安全运营基础的重要性。他们表示:“SIEM 至少与 SOAR 一样重要”,并强调 SOAR 有助于事件管理和自动化,而 SIEM 对于提供 SOAR 依赖的原始数据和警报以实现有效的威胁检测和响应至关重要。
Jewitt 还强调了自动化面临的挑战,尤其是其对内部威胁的有效性有限。使用受感染设备或授权连接的攻击者可能会被视为可信来源,从而绕过自动分类。此外,第三方服务使用的授权 API 令牌可能会触发误报。解决这些问题需要时间和精力来跟踪和确定异常情况,但它有助于提高威胁检测的准确性。
1718368889
2024-06-14 12:30:47
#Elastic #利用 #Tines #实现 #SIEM #调查自动化
