##

资料分享 技术文章

Splunk ES的风险评分功能

Posted on 2017年10月26日

风险分析框架作为Splunk ES的的一项重要功能模块,为用户提供了利用风险评分系统的能力,为不同的资产和身份分配不同程度的风险。

风险评分概述

风险分析框架作为Splunk ES的的一项重要功能模块,为用户提供了利用风险评分系统的能力,为不同的资产和身份分配不同程度的风险。

在风险分析框架中——资产、身份和其他任何为风险评分分配的元素,都被称为风险对象。风险对象分为不同的风险对象类型。ES配置了3种不同的风险对象类型:

1.系统:应用于资产;

2.用户:应用于身份ID

3.其它:其他不被视为资产或身份的其他类型数据的。一些风险对象的例子会被归入“其他”类别,比如进程名称,或物理位置,它本身也承载着较高的风险。

用户可以使用ES默认的风险评分建议,也可以使用任意的数字,这是一个非常灵活的框架,使我们能够定义一个适合自身安全规范的风险级别。

 

风险评分示例

让我们以一个鱼叉式钓鱼事件为例,来看看如何使用风险评分框架来帮助评估和监控一个恶意事件的总体风险影响,这涉及到的而不仅仅是一个或两个资产,而是整个IT全局生态系统的内相当多的资产。

日常工作中,我们突然发现安全域中出现“鱼叉式钓鱼”活动。众所周知,“鱼叉式钓鱼”活动诱使电子邮件接收者运行恶意附件或恶意链接。如果终端本身无任何防护措施,而不知情的接受者点击链接或执行附件,终端就会被感染,攻击者将在环境中建立一个据点。利用此据点,攻击者将有方法在整个环境中横向移动(APT Lateral Movement),并开始执行高危攻击活动。如下图所示。

电子邮件是通过SMTP网关为大量的用户帐户接收的。 然而,我们可能并不知道点击和下载压缩文件或易感染系统的用户数量。即使用户单击并下载文件,系统也可能不会被破坏。假设我们的分析人员已经安排好要求采取适当的措施开始分析威胁,我们现在希望利用ES中包含的新的风险分析框架来帮助我们监测和评估这种威胁对我们整个企业的风险。

 

 

2.1  创建风险调节器

我们要做的第一件事就是把威胁分成不同的阶段,这样它就可以被隔离起来。为了简单起见,我们将重点放在终端上,使用3个阶段

1.链接被点击;

2.恶意文件存储在端点;

3.恶意文件执行并与它的命令和控制(C2)服务器通信。

然后我们根据实际情况分配风险分数,如下所示:

现在我们可以利用终端设备的日志创建关联搜索,不仅要提醒我们何时发生特定的阶段,还可以提供可以量化的提示,以评估每个阶段的总体风险。通过创建关联搜索来完成这个任务,如下图所示。

在定义了新的关联分析搜索并配置了重要事件参数之后,我们可以选择是否需要创建一个风险调节器。这显示了一些需要定义的必需字段。第一个是风险评分。第二个是需要定义一个风险对象来应用这个分数。我们通过定义相关字段来实现这一点。最后,我们需要从下拉菜单中指定风险对象类型,如下图所示。

 

 

2.2 应用风险评分框架

回到上文提到的钓鱼事件,我们刚刚设置了关联搜索,并配置它们将风险得分应用于任何受影响的资产。在此过程中,尽管我们的搜索生成了值得注意的事件并应用了风险,但我们不必同时做这两件事。关联搜索可以设置为只应用风险调节器。这为用户提供了一种追踪事件的方法,而这些事件本身可能无法证明创建一个值得注意的事件,但与其他事件相结合,可能需要进一步的审查。现在我们的搜索已经配置好了,我们现在可以使用风险分析仪表板来全面了解鱼叉式网络钓鱼运动对我们公司风险态势的影响,如下图所示。

风险分析仪表板为我们提供了与“鱼叉式钓鱼”活动相关的风险综合概述。它通过总结在“时间”面板中“风险调节器”中发生的事件的第一次和最后一次事件来确定活动的影响。

  • “时段内风险调节器”面板,以从最高到最低的顺序显示每个资产的总合计风险评分,来量化哪个资产受到了最严重的影响。
  • “最活跃的来源”:显示对任意对象诱发最高⻛险的相关性搜索。钻取会打开针对选定源的搜索。。
  • “时段内风险调节器”面板显示了最近的指标,这些指标导致了风险评分的分配。

 

 

 

 2.3 回顾

我们首先需要监测最近的一次鱼叉式网络钓鱼运动对我们的企业造成的日益严重的风险,同时我们也在对威胁进行补救。为了做到这一点,我们将威胁分为三个不同的阶段,并根据我们提供的风险评分指南将风险得分应用于它们。一旦确定了威胁级别,我们就创建了关联搜索,将风险得分应用到任何执行我们定义的阶段的资产中。然后我们利用“风险分析”仪表盘来全面了解鱼叉式钓鱼运动对我们公司风险态势的影响。

 

3 总结

ES风险评分模块通过关联资产与事件,结合大数据及行为分析算法,构建了多位一体的安全风险评测模型,为不同的安全对象映射相关的分数,将透明的证据转换成定量数字,将风险评分的概念扩展到安全运维工作流,以利用风险分析框架来监视数以百计、数百甚至上千的威胁,从而实时量化和展现展示事件、帐户和目标主机资产的风险等级现状和趋势。协助用户合理化并分析行为与所有数据间的关系,调查风险因素以预测威胁和预防未来的威胁。

 

 

By Eddiiy

 

点击查看更多技术文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们联系我们

希望我们主动联系您

关于我们关于我们

10DATA关注于机器大数据技术与互联数据应用推广拥有国内丰富的项目实施经验和专业的产品技术团队。总部位于上海,在北京和深圳分设办事处。
10DATA团队以Startup初创公司的方式进行组建、成长壮大。 创新、自由、平等、互相尊重的精神始终贯穿于整个团队, 鼓励员工在享受工作的乐趣和满足的同时,为客户带来持续的有深度的价值。

您也可通过以下方式联系我们

  • 客服电话:4000671005
  • 电子邮件:contact@10data.com
  • 公司地址:上海市浦东新区世纪大道1229号东方汇广场1号楼3楼
  • 公司官网:www.10data.com
  • Splunk中文社区: ask.10data.com

##

沪ICP备11017547 沪公网安备 31011502002368号 ©版权所有 2005-2017 上海天旦网络科技发展有限公司(Netis)

GO TOP

返回

发表评论

电子邮件地址不会被公开。 必填项已用*标注