查看其它 1 个回答kermit的回答
设计威胁用例主要考虑:1. 企业面临的主要威胁是什么。 2. 现有的并接入SIEM系统的日志能帮助发现哪些威胁。3. 通过主体,对象,地点,时间,动作等多个方面定义出违例的场景。
设计完威胁用例后,需要考虑如何在规则引擎中实现。这需要对规则语法很熟悉。之后需要测试所设规则是否能按预期运行。这部分会很费人力。我在实际过程中,采用了模拟日志产生的办法来做快速检测。如果检测通过,基本可以让规则上线运行。往往在实际运行中,也会有意想不到的情况产生,比如原先设定的规则是想检测是否有IP尝试撞库的情况,根据实际告警发现,存在某地员工在某地开会,利用同一终端登录各自账号的情况。和业务确定后发现是正常并常见的现象。为了优化规则,可能就需要加入判断这些账号是否属于同部门,同职能,是否处在正常工作时间段等多个因素来尽量减少误报。
大体上各个企业所面临的信息安全威胁都差不多,主要包括恶意软件,外部入侵者,内部安全违例等。不同企业中,这些威胁的重要性可能会有不同,可以接入更多和该威胁相关的安全设备甚至非安全设备的日志,并针对性得对某类威胁设计更多更细致的威胁用例。对于内部安全违例,如果有原本就有细致的安全规范,就能轻易得根据规范设计出威胁用力发现违例。如果安全规范比较模糊,在逐渐完善制度建设的同时,建议抓大放小,定义出威胁用例后,收集一段时间的违例情况,从中找出最严重的某个人或者事作为告警。