接触过SIEM的许多人都熟悉相关规则的开发。 SIEM解决方案的制造商，商业SOC，集成商-都提出了自己的规则，并声称它们比其他规则更好。 真的是这样吗 如何选择规则提供者？ SIEM专业知识是什么？ 让我们考虑一下这些主题。



与往常一样， 结论包含了本文的所有关键点。

任何信息安全专家迟早都将开始使用SIEM系统或此类系统的某些单独元素。

SIEM的重要组成部分是关联规则，这是使您能够解决识别信息安全事件的问题的知识。 它们可以自己开发，委托给集成商，或者，如果与商业SOC连接，则可以使用其专家的知识。 如您所见，SIEM中有许多相关规则的来源，因此自然会产生选择的问题。 如果您的公司没有专门负责SIEM任务的专家，则此任务特别重要。 在这种情况下，您或您的同事必须同时管理多个安全工具以及SIEM。

在实施SIEM大约一个月后，我们了解到此类解决方案需要大量的人工成本。 信息系统攻击的艺术在不断发展。 跟踪现代趋势，分析趋势，评估其基础结构的适用性以及编写关联规则以识别攻击都需要花费时间。 通常，专家没有足够的时间进行此操作。

面对这样的问题，公司决定要么建立自己的SOC并吸引专门的专家，要么寻找相关规则的外部供应商。 接下来，我们将讨论如何选择供应商以及最终客户是否仅需要关联规则。

考试及其性质

所谓专业知识，是指一组关联规则，专家知识和数据，这些信息对于识别和响应事件至关重要。 供应商（SIEM解决方案或SOC的制造商）提供专业知识，客户是其消费者。

关联规则可以由SIEM开发人员，MSSP提供程序/ SOC，集成商和社区提供。 每个人都假定他们的关联规则是定性的。 没错，质量的概念经常被可用规则的​​数量简单地代替。 数量是质量的指标吗？ 在一般情况下，这是一个有争议的声明。 定性检查具有以下特性：

1. 准确识别特定客户基础架构中的违规行为。
2. 揭示当前的世界级威胁。 识别特定于特定国家和行业客户的威胁。
3. 它既有反应性成分又有前摄性成分。
4. 向客户说明其逻辑结论的结果。
5. 提供对响应已识别事件的后续步骤的澄清。

这些属性中的一些对检查的开发者有要求，而对他的工作结果有一些要求-相关性规则和相关材料。

开发专业知识及其能力

根据什么标准选择供应商？ 我们制定了六个基本特性来表征质量专业知识。 为了确保它们，规则提供者必须：

• 确定当前的世界级威胁 。 这些供应商可能有自己的分析中心，专门研究和分析攻击。 他们应定期监视最新类型的攻击和违反系统信息安全性的方法。
• 确定特定于特定国家和客户行业的威胁 。 在每个国家/地区，威胁态势和攻击类型列表可能都有各自的详细信息。 因此，在选择供应商时，重要的是，其分析中心必须重点关注跟踪公司基础结构所在国家的内在威胁。 该中心的专家不仅必须了解特定国家/地区中特定的威胁，还必须能够快速做出响应。 供应商不应在新的区域性威胁发生一周后对新的区域性威胁做出响应，这仅仅是因为您所在的区域在开展业务方面不是其优先事项。
• 同时具有反应和积极的成分 。 在中心招聘Pentester分析师还不够。 这些专家不仅要了解并知道如何破解系统，而且还要知道如何检测黑客入侵企图并阻止它们或在早期阶段阻止它们，这一点很重要。 实践表明，对这方面的关注很少：分析中心通常是由专家建立的，要么仅在攻击领域，要么仅在国防领域，这肯定会影响他们产生的专业水平。
• 准确识别特定客户基础结构中的违规行为 。 供应商必须有一种方法来开发可以适应客户特定基础结构的关联规则。 为了最小化规则的误报数量，这是必需的。 题为“开箱即用的相关规则”的大量文章专门针对此问题。 重要的是要记住，相关规则的精确“工业开发”过程应在供应商处建立。 由此得出：
  
  • 规则应在实时系统上测试，而不是在合成系统上测试；
  • 在测试过程中，应实时复制这些类型的攻击，以检测所测试的关联规则是否针对该攻击；
  • 应该执行负载和回归测试以确认规则与SIEM的兼容性；
  • 如果发现规则具有大量误报，则供应商必须发布以前发布的规则的更新；
  • SIEM和供应商本身必须具有向最终客户及时交付更新和新关联规则的渠道。

要求集非常广泛。 不幸的是，如果我们挑出一位每天要花2个小时在这项活动上的专家来制定相关规则，那么这将无法实现相同的高质量检查。

相关规则及其环境

现在，让我们通过客户的眼光来看一下关联规则本身。 他希望从供应商那里收到质量规则，并在SIEM中毫无问题地激活它们。 实际上，并非一切都那么简单。

为了使规则生效，您需要将所需的源连接到SIEM。 必须将它们配置为生成规则所需的事件。 从规则本身来看，从规则中理解其工作逻辑很重要。 此外，客户需要了解如果规则有效，应如何应对。

仅相关规则还不足以称为专业知识。 检验是相关规则以及附加环境，其所有元素都相互连接并且可以布置在闭合回路中-所谓的闭环检验。


闭环专业知识

考虑此链中的每个链接：

1. 供应商/制造商SIEM 。 检验始于具有相关能力的供应商根据工艺流程制定相关规则的事实。
2. 列表和源设置 。 为开发的相关规则提供了对这些源的描述，相关规则在此基础上起作用。 提供程序还详细描述了应如何配置源，以便提供所需事件类型的生成。 如果供应商自己提交事件的实例，这将是一个很好的形式。
3. 规则逻辑的描述 。 为了使客户理解相关规则中规定了哪些触发原理，供应商以流程图或文字说明的形式描述了每个规则的逻辑。
4. 相关规则 。 相关规则本身以及对它们所产生的事件进行优先级排序的方法都是直接的。
5. 响应计划 。 相关规则触发可以是信息安全事件。 对于客户而言，重要的是要了解如何响应此事件，以最大程度地减少对基础架构的影响。 此外，计划中应包含解释，以防万一发生事故时应另外收集数据。 毫无疑问，客户必须根据公司的具体情况调整响应规则。 但是，作为响应计划的一部分，供应商应在特定规则引起的事件中反映用户行为的一般建议。 因此，客户将需要努力，为自己调整整个响应过程。
6. 遥测 。 相关规则不能在球形真空中使用，而只能在客户公司的特定条件下使用。 供应商应对所提供规则的质量负责，并且必须了解其工作方式。 因此，应在SIEM中收集有关规则运行的统计信息。
7. 供应商/制造商SIEM 。 收集的匿名形式的遥测应发送回给供应商。 统计信息可以帮助他在出现误报的情况下快速更改规则。 它还使您能够识别攻击的新技术和策略，并及时发布新的关联规则以进行检测。

供应商的要求集以及所有上述链节统称为专业知识。 如您所见，链条是封闭的，因此这种方法被称为“闭环专业知识”。

目前，SIEM市场的主要外国领导者正在使用这种方法：IBM QRadar，Micro focus ArcSight。 在俄罗斯，MaxPatrol SIEM产品已在我们的Positive Technologies公司中使用。 社区内正在开发一个有趣的与供应商无关的项目-Atomic Threat Coverage ，它推广了类似的意识形态。 接下来，我将在项目页面上对其进行描述。

原子威胁覆盖率使您能够自动生成分析数据库，旨在从威胁的检测，响应，预防和模拟的角度来应对MITER ATT＆CK中描述的威胁。 它包括：

1. 检测规则 -基于Sigma的检测规则 （相关），一种用于描述SIEM系统相关规则的通用格式。
2. 所需数据-必须收集以检测特定威胁的数据。
3. 记录策略 -必须在设备上进行记录设置以收集检测特定威胁所需的数据。
4. 扩展-实施某些检测规则所需的数据设置。
5. 触发器 -基于Atomic Red Team的攻击模拟脚本-MITER ATT＆CK的原子测试/威胁实施方案。
6. 响应动作 -原子事件响应步骤。
7. 响应手册 -基于响应动作，在检测到特定威胁期间生成的事件响应场景。
8. 强化策略 -允许您设置特定威胁的系统设置。
9. 缓解系统 -允许您分级特定威胁的系统和技术。

另外，我注意到这一时刻通常在客户和供应商的视线范围之外。 有时会发生无法由客户专家解决的复杂事件。 供应商不应让客户面对他的问题：“我们为您提供规则，它们起作用，其余的不是我们的问题。” 在我看来，认真的专业知识供应商应在其产品组合中提供事件调查服务，客户在紧急情况下可全天候24/7使用。

结论

总结一下：

1. 购买SIEM的客户通常没有机会分配个人专家以100％的工作时间解决方案。 在这种情况下，SIEM将在一段时间后停止使用。
2. 仅相关规则还不足以确保识别出实际的安全威胁。 在这方面，仅关联规则不能称为专业知识。 考试-一套相关的规则，专家知识和数据，这些信息对于识别和响应事件至关重要。
3. 考试应具有以下性质 ：
   
   • 准确识别客户特定基础架构中的违规行为；
   • 识别当前的世界级威胁，以及特定于特定国家和行业客户的威胁；
   • 同时具有反应性和主动性成分；
   • 向客户解释其逻辑结论的结果；
   • 提供有关响应已识别事件的其他步骤的说明。
4. 仅提供现成的Sigma规则就不能成为专业的供应商。 专业知识的提供者必须满足许多要求 。
5. 提供的专业知识包括以下相互联系的要素：
   
   • 来源清单和设置；
   • 规则逻辑描述；
   • 相关规则；
   • 应对计划；
   • 遥测触发规则。
6. 如果客户没有自己的能力来分析复杂的事件，则考试提供者应该在其资产组合调查服务中使用该服务。