成功设置安全运营中心 (SOC) 的环节之一是定义 SIEM 用例。
用例能够在安全分析师和威胁监控目标上提供帮助和支持。什么是用例?用例可以是 SIEM 工具中多个技术规则的组合,也可以是多个规则中的操作组合,具体视需求而定。用例能够将业务威胁转换为 SIEM 技术规则,然后检测可能的威胁并将警报发送给 SOC。建立和定义正确的用例有助于区分真实警报和误报。用例还会根据当前或历史活动来给出建议操作,这些活动可能就是进行中或未来攻击的一部分。了解如何设置 SIEM 用例及其对 SOC 的帮助。
首先要注意,我们可以在各种用例之间建立关联。从本质上讲,单独采用用例的效果不佳。用例的组合输入或操作链将决定传入攻击的复杂性或类型。
所有用例都有三个主要的组成部分:
· 规则,用于根据目标事件检测和触发警报
· 逻辑,定义如何考虑事件或规则
· 操作,确定在满足逻辑或条件时需要执行的操作。
图片由 IBM 提供
图片由 IBM 提供
图片由 IBM 提供
SIEM 用例是确保 SOC 处于最佳状态的重要环节。这些用例可以确定是已检测到还是已错失网络内的攻击,以及我们可以在什么阶段检测到传入威胁。SOC 分析师的专业程度也会因定义的用例不同而有所差异。用例的优化和完善程度越高,检测和分析的质量也就越高。
Asheesh Kumar
* 立即前往2021全新安全专区,掌握 SIEM 最新安全技术趋势。
IBM安全专家在线时间:1月29日、2月19日、3月12日,下午16:30-17:00
历史精彩文章推荐 >>>
* SOC 2.0 时代:更强大、更安全的安全运营团队的构建指南
关于 IBM Security >>>
IBM Security 是 IBM 的信息安全解决方案及服务部门,具有多年深耕全球和本地各行各业客户的经验。IBM Security 在全球守护95%的全球五百强企业和组织的信息安全,客户覆盖金融、医疗、汽车、科技、电信、航空等行业公司及集团,包括50家全球最大的金融和银行机构中的49家、15家最大的医疗机构中的14家,15家全球最大科技企业中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他机构发布的12份不同的分析报告中,有12项技术解决方案被列为领导者,在产业中跻身首列。
2020年6月,苹果公司在苹果全球开发者大会上发布iOS 14.0 Developer Beta(开发者...
1.小时候画在手上的表没有动,却带走了我们最好的时光。 2.人哪有好的,只是坏...
华夏时报(www.chinatimes.net.cn)记者 胡金华 上海报道 2020年即将过去,在全...
区块链的诞生是伴随着数字货币的出现,人们通过数字货币发现底层区块链技术有着...
11月18日,比特币价格突破1.8万美元,创下了自2018年初以来的新高。 如今,比特...
1.有些人,表面装的对你很好,实际呢? 2.当有一天我把扣扣的图标都点亮了,那...
据Accurics透露,托管基础设施服务的采用正在增加,并且已经出现了新的云水坑攻...
支付犹如企业发展的输血生命线,是众多行业的重要底层基石。跨境支付这个词其实...
区块链是数字革命的下一步,这项技术将改变每个行业。与金钱相比,它远远超出了...
概览: 以太坊在发送交易时引入了两个概念:天然气和天然气价格。 由于以太币和...