信息安全分析师-他是谁？ 沉浸在专业中

今天，我们将为您概述信息安全分析师的日常职责。 从本质上讲，他的工作是对来自
维持（最好是）事件（信息和网络）安全性的异构源可以提高组织的安全性。 这些并不总是具体的实际操作，但通常，它们包括来自许多可能来源的数据聚合：操作系统的事件日志，防火墙，路由器，防病毒扫描程序等等。 然后他需要结合
或将它们匹配以获得可以使用适当算法处理的数据集。

目录内容

• 详细的安全分析
• SIEM与IB分析
• 实际例子
• IB Analytics的优势
• UBA或用户行为分析
• 如何可视化安全分析：仪表板和威胁模型

详细的安全分析

IB分析专业的困难部分是在臭名昭著的干草堆中查找当前的活动威胁。 而且，超越当前的威胁，可以查看和分析整个情况。 结果，阻止所有与之类似的威胁，或者提出一次性但有效的答案。

为了正确执行此操作，重要的是立即确定所需的分析类型，并突出显示您将在此调查中关注的特定事件。

这是信息安全分析的鸟瞰图。

现在让我们谈谈安全信息和事件管理（SIEM）。 实际上，这与我上面所述的相同-处理事件日志，主要是从操作系统，网络设备和其他安全工具的日志及其后续组合分析中进行处理。 分析完成后，将使用经典的数学统计数据，以便人们可以可靠地解释初始数据。

要了解事件日志的外观，可以通过在笔记本电脑上打开“事件查看器”来查看Windows操作系统的事件：

这是低级Windows事件的例程-一切都不是那么神奇！

在这里，您可以滚动浏览成千上万的系统和安全事件：启动和结束进程，阻止帐户，执行PowerShell命令等。 现在想象一下SIEM应该做什么：结合并找到这些操作系统事件与从网络设备和其他安全系统捕获的事件之间的关联，并最终在此基础上向我们展示一些意义！

举一个小例子，假设您要跟踪重要文件的删除 。 当与其他事件相关联时，这种删除也可能表示真正的攻击。 对于不熟悉SIEM的IT专业人员来说，这似乎是一个非常简单的任务：只需找到
在Windows事件日志中，与此文件关联的delete事件：

哦，不！ Windows卸载事件（事件号4660）不包含文件名！

不幸的是，如果您查看Windows文件删除事件，它缺少一个重要信息：文件的名称和路径，然后我们如何确定Windows日志中与删除事件关联的文件的名称？

SIEM与IB分析

这并不容易，因为此信息分布在多个日记帐分录中。 您将必须将删除事件4660映射到另一个对象访问事件4663。 在实践中，您可能会搜索这两个事件4660 和 4663，然后合并来自它们的信息以获得清晰的画面。 而且，顺便说一句，如果您不知道，在Windows上启用对文件操作的审核（以接收与上述文件类似的文件上的事件）是一项相当艰巨的任务-根据各种估计，这将使您损失多达30％文件服务器断电。 这就是为什么有专门的解决方案的原因。

即使在这个非常简单的示例中，您也可以看到SIEM是一个耗费大量资源的密集而复杂的过程。 顺便说一句，这就是为什么正如安全分析师所指出的那样，至少在第一代产品中，SIEM 受到了一些基本限制 。

实际例子

信息安全分析的最常见用例包括：

• UBA用户行为分析（请参见下文）
• 威胁检测与分类
• 通过向企业提供完整而准确的信息以降低总体风险来确保IT安全性

IB Analytics的优势

试图在未处理的事件日志中查找安全事件本质上是复杂的，并且SIEM往往会有太多不准确的结果和误报。

IB分析师在这里具有优于SIEM的主要优势：他在如何查看事件的原始数据以及如何显示结果分析以在IT管理中做出更好的决策方面更有经验和洞察力。

UBA或用户行为分析

用户行为分析或UBA可以看作是SIEM的更全面的版本。 是的，像SIEM一样，它也依赖于事件日志。 但是，UBA专注于用户的操作 ：运行应用程序，网络活动以及用户打开的最关键的文件（打开文件或信函的时间，打开者，使用它们的频率以及频率）。

与SIEM中的标准日志相比，基于用户操作的事件存储和收集具有显着的优势。 用户具有自己独特的行为模式 ：例如，定期访问某些文件和目录。 为了查找潜在的安全事件，UBA查看与每个用户关联的当前事件日志，然后将它们与用户通常的行为的典型图片进行比较。

因此，UBA本质上是SIEM，但具有历史和上下文优势 。 因此，它可以识别潜在的攻击，确定可疑活动是否来自黑客，内部人员，恶意软件或其他进程和服务。

如果您只是想在这里使用大数据理论中的机器学习和分析/预测方法，那么您绝对正确！ 这些分析方法有助于建立一定的基线，然后您可以在此基础上预测什么是正常的，什么不是正常的。

总之，SIEM当然是检测攻击的明智方法。 但是如果没有其他背景，仅基于SIEM统计信息的结论和行动就变得不太可靠。 当SIEM系统向我们指示不存在的威胁时，这些实际上是“误报”。 在某个时刻，您突然发现几乎100％的时间都是在分析假冒威胁。 但是最后，您通常会开始忽略它们，甚至忽略那些肯定值得您注意的东西。

UBA 带来了上下文 ，从而减少了误报。 UBA系统处理相同的事件流，但是从计算机系统中人们的日常活动的角度对其进行观察，然后将其与累积的标准化基准进行比较。 因此，使用我们自己的算法和规则，可以更准确地识别非标准活动。

如何可视化安全分析：仪表板和威胁模型

正如我们所看到的，UBA系统为我们提供了更干净的数据，IT安全人员应可以在此基础上做出更明智的决策。 为了使任何人都能使用数据，需要一种可视化技术，使人们一目了然地辨别出哪些用户出现了异常行为。

单个安全仪表板。 在这里，您可以深入了解有关受影响的用户以及迫在眉睫的威胁的详细信息。

安全分析仪表盘是多级GUI界面，使我们能够深入挖掘并查看更多信息，例如，通过单击用户的上下文映射来查看受影响用户的详细信息。 例如，在我们的Varonis仪表板 （请参见上图）中，您可以轻松查看受到攻击的用户，与之关联的设备以及所涉及的威胁模型。

好吧，最终，所有这些都应该引导我们讨论威胁模型，这实际上是识别和评估潜在威胁和漏洞的一种正式方法。 例如，著名的MIT研究实验室Mitre在有关当前威胁模式方面拥有出色的知识基础 ，值得您注意。

组织的安全状态仪表板位于事件食物链的顶部。 这是处理链的视觉结果，该处理链始于将UBA方法应用于未经处理的原始事件，然后以通常基于机器学习的特殊算法结束，以将数据搜索并将其分类为各种威胁模型。 例如，对机密数据的异常访问，检测到的加密活动，对用户或组特权的异常更改，批量删除等等。

我希望您现在也很明显，基于UBA的当前威胁监视面板比处理原始事件日志有效得多吗？ 例如，我们的DatAlert解决方案涵盖了非常广泛的威胁模型 。 而且，如果您想进一步了解我们的数据分析功能如何帮助您避免查看原始日志，请注册进行演示或试点测试。