博客家

第二部分:自动安全运营中心(SOC)的世界之旅

Dana Rozen

通过Dana Rozen

8分钟阅读

安全监控第2部分-自动化

安全运营团队一直致力于关注两件主要的事情:1。2.真实网络安全威胁(也称为“真实正面警报”);减少响应时间,特别是当您有许多不同的源要监控时。然而,在现实中,我们要处理数以百计的安全警报在日常生活中,很多都是误报,浪费了我们宝贵的时间。这就是事件响应/安全自动化成为一种需求而不是美好的地方。

那么,这篇博文是写给谁的呢?

  • 如果你花很多时间在调查步骤和过程单调找到你自己在多个平台之间获得初步裁决-这是给你的。也就是缩放你的分类
  • 如果你收到了很多信息不够丰富的提醒,无法帮助你做出决定快速的决定而且衡量潜在风险-这是给你的。又名浓缩
  • 如果你的观点/人补救风险和建议的行动是在不同的时区这只是增加了分辨率和响应时间,这是为你准备的。又名升级和响应

本博客将解释我们的网络安全事件响应团队(CSIRT)团队如何设计和选择我们今天拥有的事件响应自动化解决方案。希望分享我们的用例可以为您和您的组织提供额外的指导。这是三篇博文的第二部分,包括:安全监视(又名SIEM),自动化(又名SOAR)和机器人(又名聊天机器人)。

首先,让我们简单介绍一下我们的团队。

JFrog的安全工程

JFrog安全- CSO办公室专注于保护我们的客户数据,确保我们的云基础设施的安全性,提供最高的产品和应用安全标准,并应对新出现的安全威胁。了解更多JFrog >的保安

挑战:首先,让我们面对现实

在大多数常见的组织中,与每天收到的警报数量相比,安全操作团队的人数可能不足。

让我们举一个假设的例子,我们的团队中有5个人,每个人每天最多能处理7-10张票。如果每张罚单需要15-20分钟才能得到初步裁决,那么这将占用您的团队大约半天的工作时间,并且您仍然需要处理补救步骤。但是,现实情况是,您的组织很可能需要处理比这更多的警报,并且会发生以下两种情况之一:

  1. 好的案例场景-你的团队将进行彻底的分类和调查,但很快就会开始“缓存”警报,永远不会设法保持处理所有事情。
  2. 糟糕的情况-质量下降,取而代之的是“最重要的是关闭门票”。

在这两种情况下,你的团队可能会进入“警惕疲劳”区域,浪费时间和动力。

那么如何解决这个问题呢?

我们可以把范围缩小到三个选项

  1. 雇佣更多的人-高度影响预算和运营(招聘、指导、管理)。
  2. 处理较少的警报-影响您保护组织的能力。
  3. 启用安全自动化-覆盖所有安全警报,无需人工干预,即使用机器人

让我们深入研究一下如何使用Slack聊天机器人创建自动安全警报解决方案。

做好准备,保持专注

没有计划,你就会迷失。

调查计划自动重复

我们开始手动调查我们的每一个保安事件类型并为每个人建立了专门的剧本(调查过程和应对计划)。这帮助我们在安全自动化集成类型(例如AWS / Gsuite / Slack /等)和剧本操作中实现数据准确性。

接下来,我们查看了警报度量和统计数据在我们的安全运营中心(SOC),并确定了噪音最大的警报(不一定是关键警报),这些警报必须成为自动化的第一个候选。

最后,我们选择了最多的高效、便捷的沟通渠道为我们的组织(Slack)提供了最大的覆盖范围,减少了响应时间,并吸引了相关利益相关者。

*重要提示:从最耗时的安全警报开始,让您的团队在关键警报上花费更多时间。

技术很重要,明智地选择

以下是我们用于选择安全/事件响应自动化技术的4条指导原则:

  1. 确定正确的平台
    我们专注于设计我们的事件响应(IR)自动化剧本,而不是开发新的平台集成。我们确保任何额外的定制都是直接且易于实现的。
  2. 错误处理
    从长远来看,剧本就像一个微服务,它们共同发挥着一个完整的系统的功能。我们依赖于自动调查和响应流程,这些流程可以根据需要运行,使我们能够实时监控错误。
  3. 团队协作
    我们意识到在团队成员之间分享知识是无价的。安全威胁不断发生。我们确定了它们的模式和妥协指标(IOC),使我们能够采取先进的响应行动。
    就像RnD团队一样,共同开发是成功的关键——你不想成为你开发的剧本的焦点或瓶颈。开发和生产需要版本控制和分离的环境。
  4. 事件管理平台
    我们想要一个单一的事件管理平台,包括事件类型、事件布局、事件所有者、事件持续时间、事件仪表板等功能,这些功能对我们来说非常重要。

开发我们的自动化剧本

第一步:调查——扩大我们的分类

处理不提供信息的警报意味着有很多开放的问题,所有这些重复的回答这些问题的任务都是浪费时间,导致两个(坏的)影响:侵蚀分析师和为攻击者赢得更多时间。

我们开发了一个自动化的过程来调查和丰富原始数据登录少于5分钟并直接发送到Slack警报频道。这样就减少了我们在可访问的通信渠道中得到初步裁决的分诊时间。我们可以看到原始数据日志和丰富的机器人警报之间的区别。

第一步-调查-扩大我们的分类

步骤2:事件状态——减少误报并开始做出决定

认识到我们的时间很宝贵,我们决定只把它花在“我们的生活”上。真阳性“网络安全威胁。我们不想处理那些现在已经不存在,甚至从一开始就不存在的威胁。

我们完全自动化了这个过程回答问题然后为我们需要做的每个决定建立分支来判断它是否是假阳性。

步骤2 -事件状态-减少误报

第三步:升级——关键在于时机!

通过直接向共享的Slack频道发送信息和交互式警报,我们能够让我们的用户(在我们的情况下,组织中的其他团队)成为事件的所有者。警报包括上述自动调查步骤产生的所有相关细节和结论,帮助事件所有者做出响应独立且快速

通过将事件详细信息直接发送给所有者,我们缩短了风险生命周期(达到2小时的补救SLA)。

通过这样做,我们也实现了员工意识!增强员工网络安全意识。实时警报有助于将他们最近的行为与提出的安全问题联系起来。

第三步——升级——关键在于时机

步骤4:自动补救——毫不犹豫

最后,我们根据用户的响应输入为用户构建了自动修复步骤。换句话说,用户将获得自动警报,对其作出响应,并从系统触发自动补救操作。

本质上,攻击者失去了优势。

第4步-自动补救-毫不犹豫

最后的架构

总之,这是我们最终的自动化架构,结合我们的以前的安全监控解决方案架构以及我们的IR自动化架构,创建端到端自动化SOC。
自动化架构

希望我们的旅程能够帮助其他团队重新思考他们的自动化SOC基础设施。

伸出手,问问题,分享你的想法,关心和想法LinkedIn

我们在招人,看看平仓>

受欢迎的标签

试试JFrog平台

在云端或自托管

开始试验

预约演示