高效 SIEM 用例快速指南

用例能够在安全分析师和威胁监控目标上提供帮助和支持。什么是用例？用例可以是 SIEM 工具中多个技术规则的组合，也可以是多个规则中的操作组合，具体视需求而定。用例能够将业务威胁转换为 SIEM 技术规则，然后检测可能的威胁并将警报发送给 SOC。建立和定义正确的用例有助于区分真实警报和误报。用例还会根据当前或历史活动来给出建议操作，这些活动可能就是进行中或未来攻击的一部分。了解如何设置 SIEM 用例及其对 SOC 的帮助。

部分 SIEM 用例

首先要注意，我们可以在各种用例之间建立关联。从本质上讲，单独采用用例的效果不佳。用例的组合输入或操作链将决定传入攻击的复杂性或类型。

所有用例都有三个主要的组成部分：

· 规则，用于根据目标事件检测和触发警报

· 逻辑，定义如何考虑事件或规则

· 操作，确定在满足逻辑或条件时需要执行的操作。

如何构建 SIEM 用例？

在开始选择用例之前，务必为其确定一个框架。

1.选择工具，选择一个可以设计和映射用例框架的工具。决定使用何种框架后，开始确定优先级并集中处理对团队财务、声誉和数据有影响的业务威胁和风险。

2.考虑攻击类别。这意味着定义可能会产生影响的商业威胁，比如网络钓鱼、数据提取等。将适用的每种攻击类型链接到一个或多个商业威胁。最终，我们将得到一张图，显示业务风险与攻击之间的关系。

3.创建另一种关系：通过创建另一种关系来指定化解攻击的途径和方式。确定列出的攻击类型，并将其置于所选框架中。举例来说，我们可以将外部扫描攻击归于框架内的侦察/目标之中。

4.在两种关系之间建立联系：即业务威胁和攻击的关系，以及攻击和框架的关系。

在此基础上，您可以将这些关系编入 SIEM 用例。已识别的业务威胁将会是高级别用例。我们可以进一步将其细分为低级别用例。每个高级别用例中可以嵌套两三个用例。一般在用例如何适用于多个业务威胁/高级别用例的情况下，我们总会发现一些重叠。举例来说，如果已有“数据丢失”这个高级别用例，嵌套在数据丢失用例中的低级别用例将是服务器泄密、从服务器导出数据以及服务器上未经授权的管理员活动。

每个低级别用例都会与某些攻击类型之间有逻辑连接，进而辅助定义技术规则。每个低级别用例可能都适合多个规则，而且一个规则可能与多个低级别用例有关。我们有必要通过定义其结构来展示连接情况，因为这将进一步定义要使技术规则生效所需的日志源。

SIEM 用例生命周期

图片由 IBM 提供

在 SIEM 用例的生命周期中，用例有多个输入点。这取决于将数据馈送到用例的源头。在 SOC 的日常操作过程中，用例将通过 1 级或 2 级 SOC 分析师获取输入信息。这些输入信息中的大部分均归因于误报检测。如果 SOC 内配备威胁搜捕和情报功能，则将根据当前用例未检测到的流量或其在威胁情报输入信息中识别的新威胁来输入信息。

根据 1 级和 2 级 SOC 分析师发现的误报，我们可以通过修改用例来减少 SIEM 平台生成的不良警报。SIEM 管理员或用例工程师还将通过识别半匹配事件、生成的重复警报数和其他标准来研究用例的效率。

用例管理

和任何其他应用或产品一样，用例必须不时地加以管理和维护，方可确保其有效性。用例要经历多个阶段才能完成从计划到部署的周期：

图片由 IBM 提供

定义/审核需求：在设置 SIEM 用例之前，我们要先考虑业务威胁和风险。有关如何构建用例，请参见上述章节。

识别数据源：明确目标数据后，我们紧接着就是要考虑如何找到这些数据。攻击是根据攻击源定义的。

内接/外接数据源：开始将识别的数据/日志源集成到 SIEM 中。这可能需要在源头进行一些配置，具体视配置的 SIEM 而定。这其中还可能需要对防火墙进行一些更改，以确保数据源与 SIEM 之间进行通信。

设计/审核逻辑：在获得数据/日志之后，我们就可以查看日志并确定检测攻击所需的内容（事件字段）。构建此逻辑/规则的重要因素是识别正确的事件字段以执行关联或聚合。

定义基线：在用例/规则中，定义阈值/基线以聚合类似事件。

测试和调优：我们必须对用例中定义的逻辑和基线进行测试。根据测试结果，我们需要进行调整以确保降低噪声。

基于成效进行优化：根据测试，优化基线以检测攻击。

监控性能：在生产中部署用例并开始监控性能和生成的警报，以检查误报和总体运行状况。

用例框架

我们可以采用多种框架来构建 SIEM 用例。在本例中，我们来了解一下两种最有效的框架：MITRE ATT&CK 和 Lockheed Martin Cyber Kill Chain。这两种框架都包含两个部分：攻击前和攻击后。攻击前包括与目标选择和发现漏洞相关的所有用例/规则。攻击后则涉及与交付、执行、连接和提取相关的用例/规则。

图片由 IBM 提供

SIEM 用例是确保 SOC 处于最佳状态的重要环节。这些用例可以确定是已检测到还是已错失网络内的攻击，以及我们可以在什么阶段检测到传入威胁。SOC 分析师的专业程度也会因定义的用例不同而有所差异。用例的优化和完善程度越高，检测和分析的质量也就越高。

立即前往 2021全新安全专区，掌握 SIEM 最新安全技术趋势。

高效的 SIEM 用例，从 IBM Qradar 开始，立即尝鲜 IBM Qradar 社区版，体验全球企业安全的领导技术。

作者简介

Asheesh Kumar

IBM Security 安全架构师、咨询师，从事网络安全领域工作的安全架构师兼顾问。