跳转至

日志、告警和事件

什么是威胁情报的场景化和功能化,我们先来扯点别的。任何一次应急响应的起因都是因为出现了安全事件,而安全事件是从海量的安全告警中筛选出来的,而告警是从日志中按照各种各样的规则和模型抓取出来的非预期数据,而日志则对应着某一种行为的记录。画一张图表示就是下面这样,请记住这张图,未来一段时间你们可能还会看见它:[1]

日志

对应某种行为的一种记录。[1]

告警

从日志中按照各种规则和模型抓取出的非预期数据。[1]

事件

安全事件是围绕着5W1H组织和描述的一整个过程:

  • 对手是谁(Who),包括威胁行为体,赞助商和雇主
  • 对手使用什么(What),包括他们的能力和基础设施
  • 对手的行动时(When),确定行动的时间表和规律
  • 对手的目的(Why),包括他们的动机和意图
  • 对手的目标行业和地理区域(Where),详细说明行业,垂直行业和地理区域
  • 对手如何运作(How),专注于他们的行为和规律

而在数据驱动安全的过程中,安全事件的产生往往是从告警数据中筛选出来的。在传统的安全事件调查中,分析师需要上机进行数据获取、整理,做一些初步的筛选,而这些在数据驱动安全的体系(也就是用了安全设备后)中,我们则可以直接从告警数据中获取相关线索,而这一步也是需要排除大量误报和其他干扰信息的。

References

[1] 从现状看威胁情报发展趋势,e1knot,https://zhuanlan.zhihu.com/p/183993203