是否可以对到达SIEM的所有事件进行分类，以及为此使用哪种分类系统？如何在关联规则和事件搜索中应用类别？我们将在一篇专门针对为SIEM系统创建开箱即用的关联规则的方法的周期的新文章中分析这些问题和其他问题。

图片： Worktrooper

本文与Mikhail Maximov和Alexander Kovtun共同撰写。

我们警告您：这篇文章很大，因为它描述了分类系统的构建和我们的推理链。如果您懒于阅读其全部内容，则可以立即进入包含结论的部分-我们对本文中讨论的所有内容进行了总结并总结了结果。

在上一篇文章中，我们发现事件包含许多重要信息，这些信息在规范化过程中不会丢失。交互方案的描述是指此类数据。为了系统化交互类型，我们执行了以下操作：

确定任何类型事件中固有的主要方案；
确定哪些实体参与了计划；
形成了描述在初始事件中发现的所有实体及其之间的交互渠道所需的基本字段集。

对来自各种类型的软件和硬件的日志进行分析的结果是，我们能够区分实体：主题，交互对象，源和传输器。

现在让我们讨论这些实体交互的语义及其在事件分类中的体现。在描述形成的方式和类别之前，有必要回答两个问题：为什么必须确定事件的类别以及导管系统应具有的特性。

首先，让我们确定为什么要对事件进行分类。简而言之：需要分类以便与语义相似的事件同样好地工作，而不管源的类型如何。我们指的是各种来源的主要来源来源：网络设备，操作系统，应用软件。短语“在语义上相似的事件中以相同的方式工作”应理解为：

任何类型的来源在语义上相似的事件都有一个共同的类别。
对于每个类别的事件，定义了用于填写方案字段的明确规则。因此，我们有效地解决了在事件规范化阶段发生的混乱，并且常常导致相关规则的多个误报。
类别处理使您可以避免在关联规则的代码中进行不必要的检查，以了解事件的语义。例如，无需检查某些字段的数据可用性即可确定事件描述的是用户的输入，而不是系统的备份。
分类是一个通用的术语基础，可帮助编写事件的相关性和调查规则，以便使用一组术语及其普遍接受的含义进行操作。例如，为了清楚地了解到，更改网络配置和更改软件配置是完全不同的事件，它们的含义完全不同。

为了获得所有这些，您需要创建一个用于对事件进行分类的系统，并在编写关联规则，调查事件以及具有SIEM系统的组织中有多个人员工作的情况下使用它。

关于分类系统的要求，它必须满足四个属性：

明确的 。一个事件和一个相同的事件应该分配给一个并且只有一个类别。
紧凑性 。类别的总数应使专家可以轻松记住它们。
层次结构 。该系统应建立在分层方案上，并包含多个级别，因为这是最容易记住的结构。此外，层次结构应该建立在“从一般到特殊”的原则上：在第一层上有更多的“一般”类别，在最后一层上是高度专业化的类别。
可扩展性 。构建该事件的原理应允许在出现需要单独类别的新事件类型时更新分类系统，而无需更改主要方法。

让我们继续进行分类系统的描述：我们将从两个大型域开始，其中包括连接到SIEM的事件源并在其中生成事件。

源域和事件域

SIEM部署通常从连接产生不同事件的源开始。这些事件的重要属性是它们反映了源自身的功能。

可以区分两个全局域：

IT来源-生成IT事件的系统范围的应用程序软件和硬件。
IB来源-产生IB事件的公司信息安全专用软件和硬件。

考虑这些领域的事件之间的根本差异。

IT来源报告了自动化系统中任何现象的发生，而未评估安全级别-“好”或“不好”。示例：通过设备应用新配置，备份数据，通过网络传输文件，禁用交换机上的网络端口。

与IT来源相反，IS来源具有关于如何从安全角度解释某些事件的更多外部知识-政治。因此，策略的使用允许IS来源做出决策-观察到的现象是“好”还是“坏”，并通过生成的IB事件将其报告给SIEM。

请考虑以下示例：因此，一般而言，下一代防火墙将网络上的文件传输事件视为“错误”：事实证明该文件是Word文档，已通过FTP从公司内部网络传输到外部服务器，并且配置的策略禁止此类行为。信息互动。根据决定配置的安全策略，禁用网络端口被解释为对访问权限的侵犯，因为该决定决定了管理员的行为：由于端口断开是由用户Alex进行的，该用户没有此权限，并且在其非工作时间内发生。

但是，不能完全说信息安全源仅生成信息安全事件。 IB源产生IB和IT事件。通常，IS源报告状态更改时会生成IT事件：配置更改，切换群集节点和备份。通常，这些事件可以归因于对操作和源状态的内部审核。同时，当活动涉及安全策略的应用时，同一源已经生成了信息安全事件，从而报告了其应用结果。

我们特意详细描述了这两个域之间的差异。每个领域的事件都有各自的含义，有时甚至可能根本不同。这些差异导致存在两个单独的事件分类系统，分别负责IT事件和信息安全事件。

事件分类。事件域。

事件域

还有另一种罕见类型的源会生成单独的第三个域（即攻击域）的事件。该域的事件可以从端点保护级别（Endpoint Protection），其他从属SIEM（如果它们按层次结构排列）或其他能够基于IT和（或）信息安全事件的分析确定自动化系统或它的一部分受到了黑客的攻击。

作为本系列文章的一部分，在将攻击和信息安全事件与端到端防御手段分开时，我们将使用以下概念：

攻击是攻击者为实现公司内特定目标而采取的一系列恶意操作。
攻击可能包含一个或多个事件-一系列违反信息安全策略的信息安全事件和/或IT事件。

有几种将攻击归类的方法，例如， MITRE对抗策略，技术和常识（ATT＆CK）的日益普及，但我们不会在本文中考虑此领域。

IT事件分类系统

我们将整个系统级应用程序软件和硬件归因于事件的IT来源，旨在实现或支持某些流程来完成其任务。在决策过程中，所提交的事实由单独的IT事件记录。它们可以归因于它们各自发生的过程。

通过隔离IT来源中发生的流程，我们可以形成第一级分类（我们稍后将其称为上下文）。它将定义一个语义字段，该字段将正确解释IT事件。

在分析事件时，很明显，它们中的每一个都在已经定义的过程的框架中描述了几个实体的交互。选择这些实体中的主要一个作为交互对象，我们形成第二级分类。

在特定过程的框架内事件中主要实体的行为将扮演IT事件分类的第三级的角色。
总计，在输出中，我们得到以下级别：

事件发生的上下文（过程）。
事件描述的对象（主要实体）。
给定上下文中对象行为的性质。

因此，我们已经将IT事件分类为三个级别，使您可以方便地对IT基础结构中各种类型来源的语义相似事件进行操作。

为了确保最终分类系统的唯一性，我们将形成每个级别的单独域。

IT事件的分类。第一层。

IT事件的分类系统。 第一层。

ITSM（IT服务管理，IT服务管理）中也使用了与IT系统一起使用的类似过程方法，该过程方法假定了IT服务中发生的一些基本过程。在考虑可能的IT来源时，我们在形成可能的流程（换句话说，上下文）时将依靠这种方法。

我们选出此级别的主要流程：

业务连续性管理 -与维护系统连续运行的操作相关的事件：复制，虚拟机，数据库和存储的迁移和同步，备份和还原操作的过程；
用户和权限管理 （用户和权限管理）-与使用组和用户帐户有关的事件；
访问管理 -与身份验证，授权，计费（AAA）进程以及任何访问系统的尝试相关的事件；
可用性管理 -与启动，停止，打开，关闭，关闭实体的任何动作相关的事件，包括来自实体访问控制系统的信息性消息；
部署管理 （事件管理）-与从外部向系统中引入新实体以及从该系统中删除实体相关的事件；
网络交互管理 -与通过网络传输数据有关的事件，包括建立连接，打开和关闭隧道；
网络管理 -与网络堆栈有关的事件：包括具有网络过滤策略和规则的所有操作；
虚拟基础架构管理 （虚拟基础架构管理）-与虚拟基础架构相关的事件；
数据库管理 -与DBMS的功能以及其中的用户和进程的动作有关的事件；
系统管理 -与操作系统和属于操作系统的软件的功能有关的事件；
通用应用程序管理 （其他应用程序的管理 ）-与用户安装的而不是操作系统一部分的其他应用程序的功能相关的事件。

重要的是要了解，不同的过程可能在同一IT源上发生。因此，例如，在Unix上部署的DHCP服务中，网络管理过程（例如，在节点上生成IP地址更新事件）和系统管理过程（会产生服务重新启动事件或配置文件解析错误）都可能发生。

IT事件（实体）的第二级分类

IB事件分类系统。 第一和第二级。

第二层反映了事件中描述的交互对象。请注意，一个事件可以描述多个实体。例如，采取以下事件：“用户向证书服务器发送了颁发个人证书的请求。” 在此类事件中，有必要选择一个基本的实体作为交互对象，这是事件的中心。在这里，我们可以确定主要实体是“对证书服务器的请求”，因为用户显然是交互的主题，而个人证书是主题和对象交互的结果。通过收集和分析大量事件，我们可以区分实体组：

标识：用户帐户，用户组，证书-允许您标识用户或系统的实体；
可执行文件 ：应用程序，可执行模块-操作系统可以启动并包含特定算法的所有内容；
规则和策略 ：任何规则，访问策略，包括Windows OC组策略；
操作系统中信息存储的本质 ：文件，注册表项，一组目录的对象-可以在应用程序级别充当信息存储的一切；
网络连接 ：会话，流，隧道-将数据流从一个节点传送到另一个节点的实体；
节点的网络标识实体 ：网络地址，套接字，直接是网络节点本身-监视系统无法缺少的所有实体；
网络L5-L7 ：邮件消息，媒体流，分发列表-在OSI模型的L5-L7级别上传输信息的实体；
服务网络 ：DNS区域，路由表。这些实体负责网络的正确运行，而无需为最终用户携带有效载荷。
容错配置的实体 ：RAID，群集网络元素；
虚拟化系统的本质 ：虚拟机，虚拟硬盘，虚拟机快照；
数据库实体 ：表，数据库，DBMS；
物理设备 ：插入式设备，ACS元件（旋转栅门，IP摄像机）；
其他OS实体 ：管理控制台，系统控制台，系统日志中的命令-那些不属于其他类别的OS实体；
其他网络实体 ：网络接口，公共网络资源-网络子系统中不属于其他类别的那些实体。

这些小组声称自己并不全面，但涵盖了分配二级类别的主要任务。如有必要，可以扩展代表的组。

IT事件分类的第三级（交互性质）

IT事件的分类系统。 第一，第二和第三级。

在特定过程中，主要实体的行为可以降低为以下值：

控制 -影响实体功能的交互；
通讯 -实体之间的通讯；
操纵 -与实体本身一起工作的动作，包括操纵其数据；
嵌入 -交互，结果是将新实体添加到上下文（或从上下文中删除实体）；
状态 -有关实体状态变化的信息事件。

最后一个领域在其他领域特别引人注目：它包括实际上不描述任何交互作用但包含有关实体或状态之间实体转换信息的事件。例如，一个事件仅描述系统的当前状态（关于当前系统时间，关于产品许可证状态的更改）。

事件不仅描述了交互本身，还描述了其结果。重要的是要理解上下文，主要本质和上下文中对象的行为不取决于交互的结果。结果可能是“成功”和“失败”。事件还可以描述正在进行的不完全交互过程。我们将这种状态称为“进行中”。

基于三个层次的数据集的形成

对于每个级别的每个域，您可以选择一个包含事件的特定数据集。

让我们分析一个事件的例子：

可以解释为“从节点10.0.1.5到节点192.168.149.2的连接已断开。” 查看事件的上下文，您可以看到它描述了网络连接。因此，我们属于“网络交互管理”的范畴。

接下来，我们确定事件中的主要实体。显然，该事件描述了三个实体：两个节点和一个网络连接。根据上述建议，我们了解到，在这种情况下，主要实体只是网络连接，节点是交互参与者，即对实体执行操作的端点。总体而言，我们从网络连接域中获取主要实体，对该实体执行的操作是“关闭通信通道”，这可以归因于通信域。

但是，我们仍然可以从事件中保存很多数据。因此，第二层“网络连接”的一组实体具有共同的属性：

连接启动器（地址+端口+接口）；
连接的接收方（目标）（地址+端口+接口）；
建立连接所依据的协议。

同样，例如，属于通信域的第三级分类“关闭连接”的操作可能包含以下数据，而与哪个连接被关闭以及哪个源报告了此情况无关：

发送/发送的字节数；
发送/发送的数据包数量；
持续时间。

例如，我们可以区分一组基本实体“ OS中的信息存储实体”，其特征在于以下数据：

实体名称；
实体在操作系统中的位置路径；
实体规模；
实体访问权限。

与该实体相关的一组动作，例如，包含在第三级域“操纵”中的“复制”，可以通过以下属性来表征：

实体的新名称
一种新的实体安排方式；
新实体访问权限。

（可选）我们可以从事件中获取所有这些数据。最主要的是，我们定义的类别使我们可以突出显示可以从事件中提取的一组特定数据，预先了解该数据在语义上将是相似的。

在这方面，类别正成为一种方便的工具。通过将一组特定的此类数据与每个域级别进行比较，我们有机会在标准化事件的相同字段中存储语义相似的数据，而与事件源的制造商和模型无关。这大大简化了在大量事件中对数据的搜索，因此简化了此类事件的相关性实现。

分类系统示例

情况1：您需要找到所有描述外围设备与任何来源的连接和断开连接的事件。

每个源均生成事件，对其进行归一化后，其类别包含类别1（分类的第一级），等级2（第二级）和等级3（第三级）。在描述的情况下，所有感兴趣的事件将包含类别：

2级：物理设备；
第3级：嵌入。

一级域不是那么重要，因为设备操作可以在各种情况下发生。

因此，要显示所需的事件，只需编写以下查询即可：

Select * from events where Level2 = “<      >” and Level3 = “Embedding” and time between (< >)

情况2：有必要找到所有描述试图以“ boot”开头的名称来修改文件系统对象的事件。

连接到SIEM的源可以产生完全不同的文件修改事件。但是，通过为事件分配适当的类别，可以从整个数组中选择必要的内容：

第1级： 系统管理；
级别2： 操作系统中信息存储的实体；
3级： 操纵。

另外，条件由文件名指定：使用预定义的数据集，我们可以期望对于该类别，文件名将位于字段object.name中。因此，要选择事件，可以形成以下查询：

 Select * from events where Level1 = “System Management” and Level2 = “<        >” and Level3 = “Manipulation” and (object.name like “boot.%”)

如果复制了一个实体，我们将找到有关该实体的信息以及它是从另一个实体复制而来的-这将推动进一步的调查。

情况3：有必要在公司分支机构中安装的各种制造商的边界路由器上提供简单的网络连接配置文件。 SIEM从这些边缘路由器中的每一个接收事件。

每个路由器都会生成IT事件，对其进行标准化后，级别1，级别2，级别3字段将包含类别。在所描述的示例中，为了进行概要分析，分析与网络连接打开和关闭有关的事件是必要且充分的。根据提出的分类系统，此类事件将包含以下类别字段：

级别1： 网络交互管理；
级别2： 网络连接；
级别3： 沟通。

另外，对于打开和关闭连接的操作，您可以指定动作“打开”和“关闭”，以及动作“成功”的状态。

此外，具有该类别的每个类别的数据集，可以确保连接的开始时间将记录在连接打开事件中，并且有关参与网络交互的节点的信息将放置在连接关闭事件以及字段中“传输的字节数”，“传输的包数”和“持续时间”将分别在连接持续时间和传输的信息量上放置相应的数据。

因此，通过指定的类别和操作过滤事件流，您可以仅选择概要分析操作所需的事件，而不必指定特定事件标识符的列表。

IB事件分类系统

在讨论分类系统之前，我们注意到我们将仅考虑来自防御的事件。黑客攻击作为恶意行为链的分类是一个独立的区域，具有自己的分类系统。

用于对信息安全事件进行分类的系统基于某种范例。它的表述如下：在自动化系统中发生的任何事件都立即反映在一种或多种媒体中：特定主机的级别，网络级别和物理环境的级别。

在这些级别上运行的安全工具会识别事件或其“回声”，并生成进入SIEM的信息安全事件。

例如，在通过网络保护或通过使用防病毒保护工具的适当模块分析RAM内存区域的过程中，可以在网络和主机级别检测到恶意文件通过网络传输到特定主机的过程。

当用户在下班时间获得主机的授权时，可以通过访问控制系统和主机级别，通过NSD的SZI在物理环境级别检测未经授权的对房屋的物理访问。

处理IS事件时，通常有必要了解事件记录在哪个环境中。并且已经从此开始，建立进一步的研究路径或形成相关规则的逻辑。因此，检测环境是分类系统的第一级。

IB事件分类系统的第一层

IB事件分类系统。 第一层。

主机冲突 （主机级别的事件）-这些事件来自安装在最终工作站和服务器上的保护手段。通常，此级别的信息安全事件描述了作为通过保护对主机内部状态进行分析的结果而触发的安全策略。在内部状态分析下，这里指的是对正在运行的进程，RAM区域中的数据，磁盘上的文件的分析。
事件源的类型 ：防病毒保护工具，完整性监视系统，主机级入侵检测系统，访问控制和访问控制系统。
网络违规 -来自分析网络流量并对其应用一套已建立的安全策略的系统的事件。
事件源的类型 ：防火墙，入侵检测和防御系统，DDoS检测系统。某些主机保护还具有单独的网络流量分析模块。例如，NSD的防病毒保护工具和一些家用防病毒设备。
物理违规 （违反物理环境级别）-来自物理安全性的事件。
事件源的类型 ：外围安全系统，访问控制系统，通过振动声通道和PEMIN通道的信息泄漏保护系统。
此类别还包括由物理或经济安全部门在内部活动过程中识别的事件，并将这些事件带入公司的内部数据库，SIEM可以从中收集信息。由于某些组织原因，这是极为罕见的事件，但仍然是可能的。

IB事件分类系统的第二层和第三层

分类系统的第二级与第一级相关联，但由于具有以下先决条件而具有功能：

信息安全事件并不总是在物理环境中发生；
物理环境中的事件并不总是与信息安全事件相关联，但也存在交叉点；
网络和最终主机级别的事件通常具有相似的结构和语义。

因此，在第二级，区分与违反物理环境等级相对应的类别组和与网络和主机等级违反相同的类别组。

分类系统的第三级阐明了第二级，并直接描述了违规行为本身，其实质反映在信息安全事件中。

我们分析了针对IBM QRadar，Micro Focus Arcsight和Maxpatrol SIEM安全解决方案的事件分类系统，以解决网络和主机级别违规问题。根据结果，他们得出结论：它们都很相似，并且eCSIRT.net mkVI可以用作最全面，统一的分类系统。在下面的分类系统中以她为基础。

IB事件分类系统。主机等级和网络等级违规。

IB事件分类系统。 主机级别和网络级别违规。

滥用内容 -合法交付给最终用户，提示非法行为（有意或无意）或包含恶意/垃圾数据的内容。
第三级类别 ：垃圾邮件，网络钓鱼。
事件源类型 ：具有内容控制的代理服务器（Microsoft威胁管理网关），Web流量保护工具（Cisco Web安全设备，Check Point URL过滤刀片），邮件保护工具（Cisco电子邮件安全设备，Kaspersky Secure Mail Gateway），具有集成的Web和电子邮件控制模块（McAfee Internet Security，Kaspersky Internet Security）的最终主机安全性。
信息收集 -使用主动和被动收集方法收集有关保护对象免受公开和封闭信息源的数据。
第三级类别 ：指纹，嗅探，扫描，暴力破解。
事件源类型 ：通常，网络安全功能为：防火墙（Cisco自适应安全设备，Checkpoint防火墙刀片），入侵检测和防御工具（Cisco Firepower下一代IPS，Check Point IPS刀片）。
可用性 -恶意或无意中破坏了单个服务和系统的可用性。
第三级类别 ：DDoS，DoS，洪水。
事件源的类型 ：防火墙和入侵检测与防御系统，以及用于检测和阻止网络DoS攻击的系统（Arbor Pravail APS，Arbor Peakflow SP，Radware DefensePro，IFI Soft APK“ Perimeter”）。
漏洞探索 -识别一个漏洞或一组漏洞。重要的是要注意，此类别描述的是有关漏洞检测的信息安全事件，而不是其操作。
第三级类别 ：固件，软件。
事件源类型 ：来自内置SIEM或集成的外部安全和审核扫描程序的事件（Tenable Nessus漏洞扫描程序，Positive Technologies Maxpatrol 8，Positive Technologies XSpider，Qualys漏洞扫描程序，Burp Suit）。
漏洞利用 （ 漏洞利用 ）-识别对系统的故意负面影响或对系统漏洞的利用。在这种情况下，通常第三级类别可能包括MITER ATT＆CK（链接）中列出并由安全功能定义的单个攻击技术。
第三级类别 ：XML外部实体，跨站点脚本，不安全的反序列化，路由中毒等。
事件源类型 ：网络级入侵检测和防御系统（Positive Technologies网络攻击发现，Positive Technologies Web应用程序防火墙，Imperva Web应用程序防火墙，Cisco Firepower下一代IPS，Check Point IPS刀片）或主机级别（Carbon Black Cb防御， HIPS防病毒保护模块，OSSEC）。
Hacktool （黑客实用程序）-使用实用程序来破解系统或实施其他非法行为以获取机密信息并绕过安全工具。
第三级类别 ：扫描程序，Bruteforcer，漏洞利用工具包，密码转储程序，漏洞扫描程序，TOR客户端，嗅探器，Shellcode，键盘记录程序。
事件源的类型 ：网络级别和主机级别的入侵检测和防御系统，安全和审核扫描程序，防病毒保护工具。
恶意代码 -检测恶意代码的使用。
第三级类别 ：病毒，蠕虫，僵尸网络，Rootkit，Bootkit，木马，后门，Cryptor。
事件源类型 ：任何网络和主机防病毒保护工具，网络级入侵检测和防御系统。
符合性 （违反符合性）-识别不符合事实的事实，遵守符合性策略中定义的检查。在这种情况下，合规性政策意味着PCI DSS要求，FSTEC第21号命令和企业安全标准。
第三级类别 ：完整性控制，操作系统设置控制，应用程序设置控制。
事件源的类型 ：安全和审核扫描程序。
信息泄漏 -通过任何通信渠道泄漏机密数据。
第三级类别 ：电子邮件，Messenger，社交网络，移动设备，可移动存储。
事件源的类型 ：数据泄漏预防系统（Rostelecom — Solar Dozor，InfoWatch Traffic Monitor）。
异常（反常）-保护对象的参数或其行为与先前建立的规范之间的显着偏差。
第三级类别 ：统计，行为。
事件源的类型 ：下一代网络保护工具，数据泄漏预防系统，用户和实体行为分析类系统（Splunk用户行为分析，Securonix用户和实体行为分析，Exabeam高级分析）。

IB事件分类系统。 违反物理环境的级别。

从信息安全的角度来看，物理环境中的违规行为非常重要，在分类系统中有其自己的单独“分支”。在这种情况下，分类系统只有一个级别很重要。

分类系统的这种“截断”表示主要是由于极为罕见的SIEM与物理安全设备集成的情况。例外情况是访问控制和计费系统（ACS），通常连接到SIEM。否则，在编制分类系统的这一“分支”时，我们没有足够的统计数据来对该特定方向进行系统化。

盗窃（盗窃）-盗窃具有公司领土或公司员工的机密信息的物理媒体或计算设备（笔记本电脑，平板电脑，智能手机）。
事件源的类型 ：物理安全服务事件基础，人员系统。
入侵（物理渗透）-未经授权或无管制地绕过物理保护系统。
事件源的类型 ：物理安全服务事件基础，ACS，外围安全系统。
损坏（损坏）-有针对性的损坏，破坏，减少设备或通讯通道的寿命。
事件源的类型 ：物理安全事件数据库。

使用分类系统的示例

我们应用描述的分类系统来编写高级关联规则，并在调查过程中搜索事件。考虑两种情况。

情况1 ：通过关联规则，有必要识别由于黑客入侵自动化系统资产而导致的机密信息泄漏。 SIEM从以下安全功能接收事件：

数据泄漏预防系统；
网络级入侵检测和防御系统；
主机级入侵检测和防御系统；
防病毒保护工具。

在标准化了类别的Level1 ， Level2和Level3字段中进行标准化后，它们每个都生成IB事件。
伪代码中相关规则的文本可能如下所示：

 #         .    «Host_poisoning event Host_poisoning»: #          ,        group by dst.host #     hostname/fqdn/ip ,     filter { Level2 = “Malicious Code” OR Level2 = “Vulnerability Exploitation” } #           : event Data_leak: group by dst.host filter { Level2 = “Information Leak” AND Level3 = “Email” #        } #      Host_poisoning_and_data_leakage:   «Host_poisoning»,   «Data_leak»   24       : rule Host_poisoning_and_data_leakage: (Host_poisoning —> Data_leak) within 24h emit { #  —    }

情况2：我们正在特定主机上调查该事件-alexhost.company.local。您需要了解他在2018年8月04:00到06:00之间发生的事情。在此期间，SIEM本身中大约有2160万个来自此主机的事件（平均事件流为3000 EPS）。现在是09/09/2018的11:00，所有事件都在SIEM数据库中，在事件发生时，尚未在SIEM中建立相关规则。

显然，手动分析所有事件不是一个好主意。有必要以某种方式减小其体积并解决问题。让我们尝试搜索此集合中我们感兴趣的事件。示例查询将使用类似SQL的语法。

我们了解到目前我们“看到”了补救措施：

 Select * from events where Level1 in (“Host violations”, “Network violations”, “Physical violations”) and dst.dost=“alexhost.company.local” and time between (< >)

假设我们针对此请求从主机违规和网络违规域收到10,000个事件。无论如何，要进行手动分析。

让我们尝试了解事件发生期间主机是否可能遭到黑客入侵，这对我们而言意味着什么保护无关紧要。
```
 Select * from events where Level2 in (“Vulnerability Exploitation”) and dst.dost=“alexhost.company.local” and time between (< >) 
```
假设我们从网络和主机级别的入侵检测和防御系统收到了500个针对此请求的事件。太好了！您已经可以手动使用它。
在调查过程中，我们意识到该黑客行为来自公司内部。我们将尝试找出任何保护工具是否“看到”了公司任何主机上黑客工具的安装或执行。
```
 Select * from events where Level3 = “Exploit kit” and time between (< 3 >) 
```

结论

我们描述了构建事件分类系统的原则，并提出了确定事件形成方法和原则的要求。根据连接到SIEM的事件源的详细信息，分类系统分为两个区域：来自IT源的事件的分类和来自信息源的事件的分类。

IT事件的分类系统是基于以下原则形成的：

IT事件反映事件源支持或实施的IT流程的阶段或细节。
分类系统包括3个主要级别，另外1个级别确定事件中描述的操作的成功或失败。
在第一级，区分IT流程，事件源在其中运行。
第二层描述了此过程中涉及的基本实体。
第三级确定在流程中此实体或对此实体执行的操作。
附加级别描述了这些操作的状态（成功，失败）。

IB事件分类系统基于以下原则：

分类仅适用于从安全设备收集的信息安全事件，并且不会影响对自动化系统的攻击的分类。本文开头给出了攻击和信息安全事件之间的区别。
分类系统包括3个级别。
在第一个级别，标识可以记录IS违规的域：主机级别，网络和物理环境的违规。
第二级分类是由特定的违规类别构成的。
第三层由在给定类的框架内定义的特定类型的违规构成。

本文还提供了在编写相关规则和调查事件时使用此分类系统的示例。用于支持事件源

分类系统的总体方案

的

方法学分类系统的总体概述将在另一篇文章中进行讨论。该方法将统一所有已描述的内容，并从统一的角度展示如何对事件进行标准化。它的应用程序将以归一化事件的形式保存到达数据中的错误中的相关规则，从而提高其准确性。

系列文章：

SIEM深度：现成的相关性。第1部分：纯粹的行销还是无法解决的问题？

SIEM深度：现成的相关性。第2部分。数据模式反映“世界”模型

SIEM深度：现成的相关性。第3.1部分。事件分类（本文）

SIEM深度：现成的相关性。第3.2部分。事件规范化方法

SIEM深度：现成的相关性。第4部分。系统模型作为关联规则的上下文

SIEM深度：现成的相关性。第5部分。开发相关规则的方法

SIEM深度：现成的相关性。 第3.1部分。 事件分类