數據洩露:安全調查,檢測和快速響應

  • 安全調查的必要性
  • 具體調查項目和確定問題的方法
  • 安全調查已定義

調查和快速響應對於日常警報處理,例行“搜尋”以及調查違規情況至關重要。 在所有安全方案中,執行任務以快速響應和理解上下文至關重要。 可以更快地檢測和調查威脅及其影響,就可以更快地對影響和所採取的適當行動做出決定,並且攻擊對組織的影響也就越小。

這就是安全團隊和IT專業人員需要盡快發現並修復安全問題的原因。 但是,當很少或只有一小部分有關要調查,發現和探索的信息時,要找到東西非常困難。

無論是尋找未知威脅還是調查警報或破壞,對於任何人(無論是專職分析師還是扮演多個角色的人),調查都可能具有挑戰性和耗時。

安全調查的必要性

無論是尋找未知威脅還是調查警報或漏洞,對於任何人(無論是專職分析師還是扮演多個角色的人),調查都可能具有挑戰性和耗時。 IT和安全專業人員需要盡快收集警報或通知的基礎知識,以確定最重要的問題。

分析師必須快速找到所需的信息,以確定誰,什麼,什麼地方,什麼時候以及如何確定安全威脅可能對公司造成的影響以及採取何種措施。

要調查的具體項目為:

  • 誰與警報,攻擊或兩者相關?
  • 設備或活動位於何處?
  • 警報試圖說什麼?
  • 與攻擊或警報相關且與之相關的活動是什麼?
  • 攻擊何時開始?

分析人員還需要確定以下內容的方法:

  • 如果系統已被感染或損壞
  • 如果攻擊超出受感染系統的範圍
  • 攻擊達到多遠

數據可以位於不同的位置,並且可以來自許多不同的安全技術,例如防火牆,入侵防禦系統,Web代理,電子郵件保護系統,反惡意軟件,端點保護套件,端點威脅檢測,身份訪問管理等。

數據還可以來自非安全技術,例如資產數據庫,網絡基礎結構,文檔存儲庫,讀卡器,服務器,應用程序等。 創建的所有這些數據稱為機器數據,與安全調查,搜尋和快速響應有關。

安全調查已定義

安全調查需要多步分析。 這是進行交互和瀏覽數據以尋找感染或攻擊證據的需求。 它通常從一個小的線索開始,然後用戶必須在數據中找到關係,共同主題,關聯和相關性,以確定影響和適當的行動過程。 最常見的步驟包括:

  • 使用多種方法在任何數據中搜索關鍵字,術語或值-這使分析師可以查找由不同技術的日誌中值的存在所代表的所有相關活動。
  • 通過在搜索中添加或刪除搜索條件來快速更改搜索條件,這使分析人員可以根據有關獵物的假設進行研究。
  • 添加和刪除特定調查的字段以查找有意義的信息–這有助於分析人員將精力集中在相關的任務和字段上。
  • 自定義和描述時間軸上任何一點的參數,以幫助了解活動順序以及潛在原因和影響關係。
  • 對搜索結果應用不同的統計運算,以匯總,計數和排序結果以確定異常。
  • 將不同的可視化技術應用於搜索結果,以查找趨勢和/或模式。
這些步驟通常以任何順序和任何組合重複進行,以使分析人員能夠發現各種活動之間的關係,以確定哪些是惡意的,哪些是正常的。

這些步驟通常以任何順序和任何組合重複進行,以使分析人員能夠發現各種活動之間的關係,以確定哪些是惡意的,哪些是正常的。 一旦建立了任何搜索條件,分析人員就可以設置儀表板來監視該條件,或者設置一個警報,以在遇到該條件時得到通知。 這就是我們所謂的安全分析週期。

當用於安全調查時,Splunk平台可幫助用戶獲得一系列分析功能,包括可視化分析,閾值,警報和指示器的圖形表示。 安全知識和工作流程可以擴展到更廣泛的數據集,這些數據集可以使用平台不可或缺的應用程序捕獲見解並將其提供給任何團隊。 這有助於團隊協作並解決技能短缺的問題,並允許較少的技術人員輕鬆地從所有數據中找到價值。

閱讀更多訪問 技術雲鏈接

每次$ 1美元

在這裡提交廣告

傑克·蘇里

在Tech Cloud Link上可以免費下載各種格式的技術白皮書,包括流行文章技術摘要,技術白皮書的PDF版本以及在IT領域內範圍廣泛的研究文章。 在這裡,您將解決與IT趨勢相關的趨勢,這些問題涉及–網絡通信–存儲–數據中心–服務器–網絡安全。 白皮書準確地解決了工業和企業網絡之間的融合以及有關企業IT,業務和領導力戰略的文章,功能,幻燈片和分析的集合
https://techcloudlink.com/

發表評論