1、海量数据下的安全事件运营Author：雷 春company：度小满Research：安全检测/应急响应/红蓝对抗等ID：lcamry安全发展历程应急响应单兵作战，无法联动，效果不佳单设备报警过多，有限人力无法处置基础建设环境不断变化，产品需不断迭代未知威胁感知能力不足自建安全能力与商业化产品割裂事件驱动阶段安全架构阶段安全运营阶段TDIR事件来源单一且存在滞后性事件处置完全依赖人力未知威胁感知能力不足安全能力联动复杂性高数据量巨大，耗费资源较大计算能力需求较高运营人员能力要求较高及时响应安全事件风险看不见、摸不着安全产品自研or采购安全能力风险看得见、摸不着体系作战有限资源下的安全对抗风险看得

2、见、摸得着基于端点安全能力的整合基于数据内容的整合安全运营转型的选择XDRExtended Detection And Response扩展检测响应(EDR+EPP+NDR+UBR)基本为商业软件（PA、Trend Micro、Trellix、Nsfocus等）如自研实现XDR，投入研发精力较大需推动终端agent部署且终端消耗大集成程度高，省心省力能力整合NG-SIEM+SOARNG-Security Information and Event ManagementSecurity Orchestration Automation and Respones(数据源的整合)商业软件(Splun

3、k、QRadar等)开源(elastic)安全运营人员要求高（数据理解+安全落地）安全集成程度低（搜索能力最为重要）方案构建灵活性高（适应基础环境变化、自定义安全能力）NG-SIEM能力不足无法运营IPDRR报警事件被动响应主动防守威胁情报NG-SIEM解决的痛点 安全能力缺失覆盖部分攻防点IT环境变化单点设备的缺陷 应急能力不足0day应急应急排查没有数据源MTTR/MTTD 报警数据泛滥设备类型众多日均报警10W+报警数据准确率低无法形成有效事件 分析能力不足无上下文分析无法关联分析检测方式单一不能定制化分析NG-SIEM架构NG-SIEM之数据建设哪些数据可以玩NG-SIEM之数据建设数

4、据难点&解决方案8数据难点 多源数据来源众多：kafka、安全设备、生产服务器、云盘、数据库等数据接入通道方式多样化：syslog、http、tcp、udp等 多元数据结构多样化：文本、可执行文件、pcap、文档、数据库等需提供多种不同结构数据的存储&分析引擎 多量数据量众多，日增TB级别数据甄别工作量巨大：需分析大量已有数据，确定有用数据&字段数据解决方案 设立数据PM岗位，理解全量数据(字段级别)，并按需接入有价值的数据 制定数据接入标准，只收集“高质量”数据 建立数据相关服务，例如数据通道、数据监控等服务 提供多种数据接入方式&多种数据分析引擎数据相关服务有用的数据&字段存在上下文信息尽

5、可能准确的数据尽可能为基础数据自生产的数据数据接入标准终端数据采集能力多条数据接入通道数据传输监控数据Meta信息管理数据格式化存储NG-SIEM之数据建设数据解决方案推荐splunksyslogHdfskafkalogstashElasticsDataBase数据仓库数据通道数据管理+监控NG-SIEM之检索建设检索能力为核心检索能力数据优化检索优化增加硬件计算数据结构化流式计算检索语句优化选择优秀平台数据分区分桶通用数据模型特殊处理引擎hivesplunksparkprestoCH/Mongo/flink等NG-SIEM之安全方案建设安全架构建设自建检测能力数理统计数理统计基于机器学习的基

6、于机器学习的异常检测异常检测/预测分析预测分析Active Threat Hunting规则判断规则判断模式识别模式识别关联分析关联分析基础安全能力终端检测终端检测情报辅助情报辅助网络检测网络检测MITRE ATT&CK/MITRE SHIELD/D3fend/Engage邮件检测邮件检测安全建设方案11兼容性自适应NG-SIEM之安全方案建设主动hunting添加检测规则1.注重规则准确率（攻击的深入理解），减少报警数据；-frp2.开放性规则，哨兵带来的惊喜-dnslog添加数理统计1.统计学的阈值设定的合理性，检测率和报警数量的平衡2.规律性统计：时间固定的心跳添加机器学习模型1.能够转

7、化为数据问题的安全解法，比规则更有效。例如DGA识别2.效率更高，模型带来的快速执行3.聚类下的异常发现带来的惊喜添加模式识别1.安全基线、合规基线2.ueba添加关联分析1.攻击有效性难题的解决，减少报警2.攻击链条发掘，纵深防御思想落地 利用第三方能力，理解并二次加工报警结果威胁情报、沙箱欺骗防御 多种手段自建安全能力，覆盖更多的攻击面添加基础sensor：邮件检测系统、高交蜜罐、基础数据利用多种检索方式自建检测能力检测方式的融合：risk分值 安全模型指明方向（D3fend、Att&ck）事件跟进，应急响应中成长 0day漏洞的持续跟进：log4j、CVE-2021-40444钓鱼、cv

8、e-2022-30190钓鱼 主动的红蓝对抗，利用外部攻击能力 以上仅是example，攻防检测方案的核心NG-SIEM之安全事件处置安全事件误报分析负向反馈运营分析师playbookSoar自动响应应急溯源工单系统业务处置IACD（集成的自适应网络防御框架）NG-SIEM之运营案例一DNS面临的攻击DNS攻防检测方案规则匹配数理统计关联分析机器学习模式识别DNSLog检测域传送攻击办公网DNS/生产网DNSDNS隧道反射/DOSDoH/DoT终端攻击DGA域名IDN域名FastFlux威胁情报D3fendNetwork Traffic AnalysisDNS Traffic Analysis

9、ATT&CKT1583.002/T1557.004/T1584.002/T1568.001/T1568.003/T1499.002满足检测能力hunting可运营NG-SIEM之运营案例二PHP提供web服务java日志平台Log4j payload日志流转请求字节码1234Q：如果时间倒回到2021年12月9日下午，NG-SIEM该如何应对log4j漏洞？A：纵深检测+防御1、7层流量中对于$jndi:ldap:是否能感知到异常？-可能不会2、攻击过程中DNSlog的探测是否能检测到？-可以，事实证明3、请求远程字节码文件的行为是否能检测到？-可以，内网向外请求.class文件为异常行为4、

10、被控主机打反弹shell或者建立其他的隧道（frp、dns、msf等）是否能检测到？-可以，标准4层流量检测能力5、提权行为是否能感知到？-可以6、内网横向能否感知到？-可以接受一定的不完美，允许安全事件的发生。安全的目标是控制风险。NG-SIEM之运营案例三钓鱼邮件从感染的站点下载恶意软件123攻击者服务器EMAILWEB攻击过程攻击过程检测方案应急响应4邮件安全检测系统规则检测模型检测静态检测动态检测NG-SIEM威胁情报流量信息UEBAhunting终端设备SEPEDRSYSLOG添加邮件黑名单拦截添加静态样本库邮件系统FW拉黑恶意IP情报库添加恶意IPSEP杀毒Edr终端取证攻击者溯源顽固病毒手动清除