安全运营中心 (SOC) 分析师依靠各种工具来帮助他们监视他们的域。
然而,仅仅依靠工具来完成工作,而未能理解其背后的基本流程和方法,对于分析师来说可能是一个代价高昂的错误。
我们发现,近三分之一(29.5%)的专业人士认为事件处理流程和方法是SOC 分析师需要掌握的最重要的知识领域:
我从处理过的最具挑战性的事件中得到的关键启示是,拥有高效的 IR(事件响应)流程和确保正确完成真正的基础工作至关重要。
因此,对于任何安全领导团队(以及崭露头角的分析师)来说,优先考虑这些基本技能都是有意义的,因为我在该领域八年所处理的绝大多数事件并不是由 APT 链接多个零日漏洞来破坏环境触发的——人为错误、错误配置和糟糕的事件响应流程发挥了关键作用。
Sebastian Hague,Hack The Box 防御内容主管。
SOC 团队需要学习其工具的语言并了解其如何配置以避免疏忽。
soc 工具 vs soc 技术和技能
尊重蓝队工具背后的方法论
虽然 SOC 工具可以帮助自动化并减轻许多分析师的工作量,但 技术重于工具的思维模式适用于所有网络安全专业人员。
监控工具无法发现每一种可疑活动,因此 SOC 分析师还需要具备批判性思维技能。
了解您的环境是至关重要的第一步,因为发现异常的关键是了解我们的环境中什么被视为“正常”。
例如,对于Windows 事件日志,定期更改系统审计策略在您的组织中可能是正常的,但在另一个组织中可能被视为威胁。
SOC工具是现代企业环境中的必备工具,但仅仅依赖这些工具是许多大型组织至今仍犯的一个大错误。
归根结底,开发、微调和管理这些工具的是人类。例如,攻击者安装远程管理工具(也称为 rmm 工具),如 anydesk、teamviewer screenconnect 等。
这些提到的工具都是合法的,用于远程支持功能。但坏消息是,攻击者喜欢使用企业工具来攻击环境。
EDR、SIEM 或防病毒软件不会捕获此工具的安装和使用情况,因为它们根本不是恶意的。但实际上,在我们的示例中,一个恶意实体安装了它以进行持久性和远程访问。
使这一行为具有恶意的是环境的背景和基准。
虽然 EDR 没有发现这一点,但 SOC 分析师看到该工具在工作站中使用,会进一步调查并确认该工具是否属于正常操作的一部分。
正是上下文和对周围环境的了解使得这种行为变得恶意或可疑。
当分析师发现这个问题并遵循标准事件程序后,他们可以微调他们的 SOC 工具(SIEM / EDR)以捕获将来发生的此类活动。
Abdullah Yasin,Hack The Box 高级防御内容工程师。
SOC分析师工具的类型
在深入探讨网络安全分析师的最佳工具之前,我们将介绍防御性和事件响应(DFIR)的主要类型及其用例。
端点检测和响应 (EDR):检测并响应笔记本电脑、移动设备和服务器等端点上的可疑活动。
安全信息和事件管理 (SIEM):实时收集和分析来自组织的应用程序、设备、服务器和用户的数据。
漏洞管理 (VM):扫描网络和计算机系统以查找漏洞迹象。
入侵检测系统 (IDS):观察网络流量,向安全团队发出任何潜在的安全威胁警报。
访问管理工具:帮助组织管理访问权限和用户权限。
SIEM 与 EDR
如果我想选择其中一种,我会选择 SIEM。之所以选择 SIEM,是因为理想情况下,在 SIEM 中我们会拥有所有日志(进程日志、安全日志、防火墙日志、身份验证日志、Web 日志、ID 日志,如果有的话,还有 EDR 日志)。
这比任何其他工具都能更好地覆盖我们的网络。我们可以使用所有讨论的来源之间的逻辑来设置检测,利用旧数据执行威胁搜寻(但这取决于组织的保留期)。
SIEM 是现代 SOC 的支柱,而且是必须的。
EDR 的突出特点之一是其丰富的流程分析和关联机制,这也可以在 SIEM 中实现,但实现起来要困难得多。
通过 HTB Academy 掌握 Windows 事件日志分析
获得调查 Windows 事件日志以发现潜在安全漏洞的实用技能。
了解安装或更新 Sysmon 的过程并提供真实的检测示例,包括识别 DLL 劫持、非托管 PowerShell/C-Sharp 注入和凭证转储。
深入研究 Windows 事件跟踪 (ETW) 及其体系结构、了解其组件以及如何与其交互。
SOC分析师的最佳工具
市场上有各种各样的 SOC 工具,可能比我们在一篇博客文章中介绍的还要多!在这里,我们将讨论一些最常见的工具。
蓝队的最佳社交工具以及如何学习它们
- CrowdStrike Falcon
CrowdStrike Falcon AI 原生平台将 EDR、身份威胁检测和响应 (ITDR)、SIEM、数据保护、IT 自动化和托管威胁搜寻整合到一个解决方案中。
这种完全基于云的解决方案在远程安全团队中很受欢迎。结合其广泛的功能,CrowdStrike Falcon 是一种常用的 SOC 工具。需要重点介绍的一些元素包括:
MITRE ATT&CK映射:绘制对 ATT&CK 框架检测到的威胁,为安全团队提供有关攻击者目标和方法的宝贵背景信息,帮助发现漏洞。
威胁模拟:在不干扰最终用户的情况下可视化“假设”场景。
扩展检测和响应 (XDR):不仅仅是端点检测,还监控其他来源,包括防火墙、云工作负载和用户活动。
CrowdStrike Falcon 适合谁?
✅拥有多种设备和平台的组织: CrowdStrike 的统一平台使监控复杂的 IT 环境变得更加容易。
✅关注高级外部威胁的企业:人工智能和机器学习(ML)非常适合检测组织外部的复杂威胁。
✅寻求自动化的公司: Falcon 的自动化功能可以节省大量监控时间。
CrowdStrike Falcon 不适合哪些人?
❌内部威胁: CrowdStrike 专注于检测未经授权的用户,内部不良行为者可能会被忽视。
❌预算有限:这种解决方案成本较高,这意味着小型企业可能希望从更便宜的选择开始。
❌有限的安全专业知识: Falcon 用户友好,但包含许多高级功能,如果组织没有专门的安全团队,这些功能就会被浪费。
主要特色
优点
缺点
部署
端点检测和响应。
扩展检测和响应。
下一代防病毒软件。
事件管理。
威胁情报。
MITRE ATT&CK 映射。
恶意软件检测。
云原生。
集成 AI 和 ML。
统一平台,多种解决方案。
与其他解决方案集成。
方便使用的。
与其他解决方案相比成本较高。
假阳性/阴性。
云依赖性。
本地、云、多云和混合部署。
- Splunk
Splunk 是一种高度可扩展、多功能且强大的数据分析软件解决方案,以其提取、索引、分析和可视化大量机器数据的能力而闻名。
Splunk 可以推动各种计划,涵盖网络安全、合规性、数据管道、IT 监控、可观察性以及整体 IT 和业务管理。
在网络安全方面,Splunk 可以作为日志管理解决方案发挥关键作用,但其真正价值在于其分析驱动的安全信息和事件管理 (SIEM) 功能。
Splunk 作为 SIEM 解决方案,可帮助进行实时和历史数据分析、网络安全监控、事件响应和威胁搜寻。此外,利用用户行为分析可帮助组织增强其检测能力。
Splunk 适合谁?
✅经验丰富的团队:寻求 SIEM 解决方案来提高其绩效且了解基础知识的 SOC 团队。
✅有时间的人:为了正确操作数据,用户需要学习和理解 Splunk 处理语言(SPL)。
Splunk 不适合哪些人?
❌安全知识较少的 IT 团队:没有特定网络安全背景的个人可能无法获得 Splunk 提供的所有好处。
❌即插即用用户:您需要花时间学习语言并了解如何获得正确的答案,这意味着时间投入是不可协商的。
主要特色
优点
缺点
部署
西门子信息与电子工程专辑。
高级威胁检测
事件调查与取证
安全操作自动化
日志管理。
用途广泛。
高度可扩展。
高级分析。
可视化并处理数据。
其好坏取决于使用它的人。
优化搜索需要学习语言。
本地、云、混合和完全托管的 Splunk 云部署。
💡学习 Splunk 的资源:
了解日志源并使用 Splunk 进行调查
使用 Splunk 检测 Windows 攻击
- Elastic Stack
Elastic 堆栈由 Elastic 创建,是一个主要由三个应用程序 Elasticsearch、Logstash 和 Kibana(有时统称为 ELK)组成的开源集合,它们协同工作,为用户提供全面的搜索和可视化功能,以便实时分析和探索日志文件源。
Elastic stack 的三个主要组件是:
Elasticsearch:基于 JSON 的搜索引擎,作为 Elastic 堆栈的核心组件,它处理索引、存储和查询。
Logstash:负责收集、转换和传输日志文件记录。
Kibana: Elasticsearch文档的可视化工具。用户可以通过Kibana查看存储在Elasticsearch中的数据并执行查询。
Elastic stack 可用作安全信息和事件管理 (SIEM) 解决方案,以收集、存储、分析和可视化来自各种来源的安全相关数据。
作为 SOC 分析师,我们可能会广泛使用 Kibana 作为与 Elastic stack 协同工作的主要界面,这意味着要学习 Kibana 查询语言 (KQL),这是一种专门为在 Kibana 中搜索和分析数据而设计的用户友好型查询语言。
这可以简化从索引的 Elasticsearch 数据中提取见解的过程,提供比 Elasticsearch 的查询 DSL 更直观的方法。
Elastic 适合哪些人?
✅大量数据:对于拥有大量数据集的公司,Elastic stack 可以运行他们的数据操作。
✅经验丰富的 SOC 团队: Kibana 要求 SOC 学习 KQL 以充分利用 Elastics 洞察。
谁不适合使用 Elastic?
❌时间不够的团队:为了管理 Elastic 堆栈并从中获得最佳结果,团队需要投入时间进行设置和学习语言。
❌正在扩张的公司:许多用户报告数据量增加时出现问题。这意味着成长中的公司可能会选择更简单的解决方案。
主要特色
优点
缺点
部署
SIEM 解决方案。
日志分析和监控。
安全监控。
合规性和审计。
免费且开源。
实时数据可视化。
多种托管选项。
管理复杂。
缺乏有效的可扩展性。
存储容量有限。
本地、云端和混合部署。
💡学习 Elastic 的资源:
安全监控和 SIEM 基础知识
威胁搜寻和 Elastic 搜寻简介
4.Wireshark
Wireshark 是一款网络流量分析工具,它可以捕获数据包,复制数据包而不是拦截数据包,这意味着网络监控工具无法发现 Wireshark 正在运行。这些捕获的数据包包含信息,例如 IP 地址的来源和目的地、不同的协议和端口号,以及通过网络发送的实际数据。
Wireshark 是一个简单但流行的工具,因为它具有用户友好的图形用户界面 (GUI),可以对数据包进行排序和颜色编码,使分析师可以轻松发现恶意行为。
Wireshark 适合谁?
✅初学者分析师:对于希望了解网络流量和不同数据包的初学者来说,Wireshark 是一个很好的工具。
✅故障排除程序:此工具可用于查看网络以某种方式运行的原因,而不是检测。
Wireshark 不适合哪些人?
❌多个网络: Wireshark 只能嗅探本地计算机与其正在通信的远程系统之间的数据包,而不能嗅探网络上的所有系统。
❌检测: Wireshark 不是 IDS,它不会告诉您是否出现问题,但它可能会以不同的颜色显示一些数据包。
主要特色
优点
缺点
部署
网络故障排除。
数据包分析。
过滤和搜索。
颜色编码。
捕获、分析并剖析网络流量。
用户友好的界面。
很棒的训练工具。
开源和跨平台。
有限的实时分析。
对于经验丰富的 SOC 来说,缺乏复杂性。
无法发送或更改数据包。
本地。
💡学习 Wireshark 的资源:
恶意软件分析简介
知识就是力量
基础知识永远应该优先于工具的深入了解。
例如,如果没有 Windows 的基本知识,您可能很难有效地分析 Windows 事件日志。
您是否对网络流量数据包缺乏深入了解?那么,如果不花时间了解它们,部署 Wireshark 就是在浪费时间。
如果你只能从这篇文章中学到一个教训,那就是:
花时间学习 SOC 工具箱中每个工具的基础知识、语言和用例。
解决方案并不总是用工具来解决问题!
