第一步定义出威胁用例,然后思考目前的日志是否有支持威胁用例的所有参数,然后结合规则语法进行编写,再进行测试,在实际环境中逐渐优化。
如果目前公司没有明确的威胁场景,关于威胁用例的设计可以从几个方面考虑:威胁类型: 恶意软件,外部攻击,内部违例,账号安全,内网可疑流量日志类型:AD,防病毒软件,身份认证系统,堡垒机,WAF等常见异常现象:同IP多账号,同账号多IP,异常时间,异常流量规模等维度:单维度(仅针对一种日志),多维度(针对多种日志)
关于TWT使用指南社区专家合作厂商入驻社区企业招聘投诉建议版权与免责声明联系我们 © 2024talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30