它的最佳实践

通过琳达Musthaler，有个足球雷竞技app |

关于|

Linda Musthaler是Essential Solutions Corp.的首席分析师，该公司为计算机行业和企业客户提供咨询服务，帮助定义和实现IT的潜力。

Secdo自动警报调查与先发制人的事件响应

该公司表示，该平台通过将警报与端点法医数据关联起来，揭示攻击链、根本原因和损害评估，从而减少了事件响应

本专栏可在名为“IT最佳实践”的每周时事通讯中获得。点击这里订阅．

“我们的安全运营中心没有收到足够的警报，”从来没有一个安全分析师说。事实上，大多数SOC团队都被安全警报淹没了，他们必须优先调查哪些警报。许多警报因为缺乏资源而被简单地忽略了，但通常在数据泄露后，会有一个警报在很早的时候就指向了泄漏。

在几年前一家大型零售商发生的一起重大入侵事件中，许多消息来源称，FireEye工具生成了一个警报，确认恶意软件出现在公司系统中。因为这些特别的警报中有很多是误报，所以它被忽视了，这随后导致了历史上规模最大、代价最高的零售数据泄露之一。

企业组织每天生成成千上万，有时甚至数百万个警报，其中许多警报指向网络端点。然而，安全分析师并没有对端点的持续可见性;他们不知道在任何给定的时间内每台设备上发生了什么。如果发生了事件，并且企业SIEM生成了警报，那么几乎没有关于事件的上下文来帮助分析人员进行调查。在这种环境下，可能需要几天、几周甚至几个月才能确定发生了什么。

的创始人Secdo是经验丰富的SOC分析师，曾负责调查大公司和政府机构的事件。他们不满意现有的调查和响应工具，以帮助他们完成工作，他们开始创建一种新的工具，使许多安全分析师必须做的工作自动化。结果就是Secdo平台。

大多数网络安全解决方案关注于事件的预防和/或检测阶段。这些阶段对于生成警报当然很重要，但是一旦SOC有了这些警报，这些工具在自动化事件验证和响应方面通常提供的很少。因此，这是分析人员投入大部分时间和精力的地方。Secdo平台旨在满足最后阶段的需求，即事件响应阶段。

Secdo表示，他们的解决方案从记录一个机构所有服务器和终端上每时每刻发生的一切开始，就像一个永远不会关闭的视频监控摄像头。通过每个设备上的代理，每个动作都被记录下来，不管是否存在威胁。这种先发制人的取证证据被发送到一个中央服务器，在那里它被保留数百天。这些数据提供了由其他安全解决方案(如SIEM)检测到的事件的上下文。

Secdo平台连接到该组织的SIEM和其他检测设备，以持续接收警报，并通过Secdo开发的专利分析技术“因果引擎”将警报与法医证据关联起来。该引擎使用来自端点和服务器的数据记录围绕警报构建故事。Secdo说，最好用一个例子来解释这一点。

SIEM生成警报，指出分配给管理员的计算机试图与列入黑名单的中文IP地址通信。幸运的是，该组织的Check Point防火墙检测到这种通信并阻止它通过。

在Secdo平台上，分析师可以通过中文IP地址进行搜索，并提出相关问题。例如，通过询问谁或什么与该IP通信，他发现一个名为CALC.EXE所做的。一个计算器程序与中国交流是没有意义的。

再深入一点，分析员分析数据，看看网络上哪些文件被这个程序访问过CALC.EXE．程序读取了管理员桌面上的所有文件。现在我们知道这个过程叫做CALC.EXE模拟Windows计算器，与中国通信，读取内部文件。这是不好的。

分析师可以继续使用Secdo平台中的信息进行手动调查，或者选择一种更自动化的方法(见图)。这就是法医时间线。一些数据来自其他供应商(如Check Point, Microsoft)，其余的数据是由Secdo从端点或服务器收集的。值得注意的是，SIEM将提供的唯一信息是关于与中国服务器连接失败的警告。

通过Secdo平台，分析师可以访问与此警报相关的所有活动记录，包括在中国IP地址之前发生的活动。图形显示显示攻击链、根本原因、涉及的实体和损害评估。

在这个故事中，一个用户叫SECDO-SUPPORT \管理浏览了一个叫pr-news.cn，下载了一个名为Rsa会议2016票，它可能已被感染，因为该演示文稿已安装CALC.EXE在用户的计算机上。下一个节目CALC.EXE试图与中国IP通信，因此触发检查点警报。

先下手为强CALC.EXE杀了杀毒软件，以防被发现。然后，恶意软件创建持久性，以确保它在计算机重新启动后仍然存在。在屏蔽了中国IP后，恶意软件继续工作。它读取管理员计算机上的文件，并将这些文件发送到一个总部位于美国的IP地址，该IP地址没有被任何代理程序或防火墙拦截。此操作成功地规避了Check Point防火墙规则。然后恶意软件开始端口扫描，做横向移动并感染其他主机。

这里显示的一切都是Secdo平台如何自动进行调查。下一步是通过各种响应器特性实现快速响应，这些特性的功能类似于虚拟的第3层或第4层分析师。

该公司表示，该平台可以对任何主机上的实际威胁进行远程遏制和补救，而不需要当今普遍存在的昂贵和耗时的重新成像。安全分析人员和IT人员可以通过一个窗口远程查看、检索、评估、隔离、包含和删除任何主机上的各个进程和线程。

Secdo平台使组织能够关注比人类单独能够得到的更多的警报，因为它可以在更短的时间内为组织进行调查、验证和响应工作。soc可以在修复过程中使用更少的分析人员和更少的技能和专业知识进行操作。这有助于组织扩展其soc，并通过更快速地响应和解决警报来降低风险。

加入网络世界社区有个足球雷竞技app脸谱网和LinkedIn对自己最关心的话题发表评论。

安全

琳达Musthaler首席分析师在哪里基本解决方案公司。，它研究信息技术的实用价值，以及信息技术如何使个体工人和整个组织更有生产力。基本解决方案为计算机行业和企业客户提供咨询服务，帮助定义和实现IT的潜力。

工资调查:结果在