使用 Splunk 制定事件响应计划

白皮书使用Splunk开发一个事件反应计划 白皮书安全事故会毫无预警地发生,而且经常长时间未被发现。组织难以识别事件，因为它们经常在孤岛中工作，或者因为警报量大势不可挡，很难找到信号在噪音。有效安全平台的其他关键功能能够手动或自动聚合事件和支持应用程序编程可用于从 或 拉取数据的接口 （API）推动信息向第三方系统。这些平台必须提供的能力收集法律上可接受的法医证据，他们还必须有为组织提供的行动手册指导如何应对特定类型的事件。负责处理这些威胁的安全团队也经常被错误警报所淹没。所有这一切减缓和影响组织的效率事件反应。虽然预防措施仍是必不可少的首席信息安全官整体递减整体战略的一部分事件，不可能阻止每一次攻击。在事实上,组织必须承担一个网络妥协。什么会变得更重要的防止破坏最小化通过检测造成的损害,包括和控制事件。最重要的是，分析驱动的安全平台需要包括自动响应功能，这些功能可以扰乱网络攻击已经在进步。安全平台也需要成为周围的枢纽用于管理事件的可自定义工作流程可以制作。当然，并非每个事件都有相同级别的紧迫性。安全信息和事件管理 （SIEM）系统由一个analytics-driven安全平台为IT组织提供了手段通过以下方式对任何潜在威胁的严重性进行分类指示板,可以用来诊断新引人注目事件,分配事件为审查和分析检查调查线索的显著事件详细信息。事件响应特指流程以及与调查有关的活动，包括并在安全事件或违规行为发生后进行补救已经发生了。任何组织的目标通过有效的事件响应计划可以最大限度地减少通过近乎实时地管理安全事件进行损害以及利用在调查袭击事件。这有助于做出决策控制和消除攻击的影响。这些响应能力包括能够识别值得注意的事件及其状态，指出事件的严重性，启动修正过程，以及提供对整个过程的审核这一事件。任何有效的事件响应策略的核心是一个强大的分析驱动的安全平台，不仅可以识别事件和它们的严重性，也提供了跟踪的手段，批注和分配与响应相关的任务警报。最后,IT团队授权和仪表板他们可以直观地应用过滤器以启用团队在分析期间扩大或缩小分析范围只需点击几下即可进行调查。这消除了更多的手动过程。对有信心最终目标应该不亚于启用任何安全团队成员将事件、行动和在时间轴中添加注释，使其变得简单团队的其他成员可以轻松理解什么正在发生。然后，可以将这些时间线包含在一个使审查攻击和实施可重复的杀伤链方法来处理与特定类型的事件。了解分析驱动如何非常重要安全平台可以帮助事件响应和提高一个组织的安全姿势。任何安全平台都必须启用能够提供其他成员的 IT 团队具有不同访问级别的组织，基于他们的角色。使用Splunk开发一个事件响应计划1 白皮书这一切在现实世界中意味着什么？也许了解分析影响的最佳方式 -开发事件的驱动安全平台响应计划是查看实际用例。繁重的。了解如何实现的安全控制,保持当前和创建一个开始发现并确定关键值的基线数据可以繁琐和费时。我们将着眼于以下用例:但安全监控是风险的关键组成部分缓解。它使信息安全专业人员能够等，可以看到近乎实时的连续流其安全、数据、网络、端点、云设备、系统和应用。事实证明，这既困难又耗时不仅对系统进行分类、授权和监控，但评估,选择和实施正确的安全控制。•安全监视•事件调查和取证•SOC自动化•欺诈检测•内部威胁•恶意软件检测安全监视使用Splunk®安全监控,客户可以更轻松地识别潜在攻击和受损系统。通过监视导致攻击，客户可以更好地保护其关键数据以快速了解和修正攻击。我们的世界充满了数据。拥有如此多的数据收集，组织发现难以扩展和确定需要监测。这就是为什么安全监控是很困难的,昂贵的和Splunk 中的仪表板，可帮助组织可视化其安全状况。使用Splunk开发一个事件响应计划2 白皮书事件调查和取证传统上，组织使用监视工具，这就告诉你什么时候不工作。主动管理运营和在发生中断或服务流失之前做出响应。能够搜索所有与安全相关的数据在IT和安全领域都增加了端到端结束组织的可见性。操作性越强情报，调查越快越容易和解决事件发生。根据事件的严重性和范围，这可能需要深入的法医调查。安全事件在没有警告的情况下发生，并且可能会发生未被发现的时间足以对您的业务。调查可能具有挑战性，冗长 — 通常在安全团队意识到时的事件，组织很有可能已经被负面影响。SOC自动化景观与今天的威胁,它是至关重要的组织快速反应以识别和响应任何类型的威胁，尤其是复杂性继续增加。重要的是团队知道如何快速识别真实事件警报的海洋，并确定要采取行动的误报业务的速度和阻止事件成为突破口。通过实施最佳实践，组织不仅保护他们的客户和合作伙伴，但也有助于解决关键问题客户的问题。安全团队有大量的警报难以将信号与噪声分开。这些团队负责及时、重要的决策以防止可能影响业务的违规行为。他们往往缺乏技能、经验、协作工具和流程需要迅速调查,纠正的威胁对业务造成重大风险。这些团队正在与经常具有异构环境，缺乏端到端可见性或集成工具以自动响应，使组织难以保护。他们还经常跨孤岛工作，以便管理和协调应对恶意活动,事件和漏洞。让团队有效地了解事件正在发生，他们需要跨数据的可见性孤岛，这使他们能够主动和有效地确定事件的范围和快速修复。如果团队无法有效识别事件的范围可以迅速转变进入违规行为，影响业务并传播到其他地区造成更大的伤害和难度要矫正。组织需要利用分析和机器学习以及已知的最佳实践，以释放分析师做他们最擅长的事情 — 进行补救决定。高级安全解决方案，例如Splunk 平台，使组织能够实施其 SOC 中的分析驱动型安全实践响应速度调查和自动化。法医分析通常是作为执行将合规,发现法律或法律执法调查。法医分析是重点在充分理解和彻底补救缺口。团队通常需要更长的寿命日志、文件和与更广泛的集合的交互部门，包括运营、法律、人力资源和合规。彻底的法医调查允许通过仔细分析修复所有威胁整个攻击事件的连锁反应。使用 Splunk 实现安全自动化，为分析师提供有效诊断和分类违规使分析师能够专注于优先级调查,而常见的自动化和更少关键行动和任务。这提供了一个框架通过收集所有相关上下文来加快调查速度在一个地方,也加速了反应由于自动化的过程。使用Splunk开发一个事件响应计划3 白皮书欺诈检测除了用例开发,Splunk也可以利用提供功能和工具来协助欺诈检测、分析、调查和响应。以下是 Splunk 在打击欺诈行为。欺诈是一个日益严重的问题的组织银行的医疗保健提供者。具体来说，欺诈，盗窃和滥用检测和预防是一项大数据随着企业继续在线迁移而面临的挑战入云。•定制,基于表单的仪表板与钻向下，使分析师能够轻松访问以下数据针对他们的调查需求。这可以允许较低级别的分析师执行搜索没有学习Splunk搜索相关数据语言。问题加速了我们生活的数字化以及组织的事实创建新的在线服务速度吗比以往任何时候都。欺诈可能产生重大影响组织在财务和运营上。在除了大规模的货币损失,欺诈的叶子企业容易受损的声誉和客户关系紧张。•查找表和基于gui编辑器允许团队轻松地管理和更新他们的查找用于丰富数据或维护黑名单和白名单。许多欺诈相关的事件开始,•摘要仪表板提供高层概述,趋势分析数据和工作流摘要报告。安全事件，扰乱了IT 或安全运营。如果您相信某个事件与欺诈相关的最佳实践是跟踪事件响应计划。您将需要调查以确定事件范围，是否有实际欺诈并决定如何处理它。如果是欺诈行为事件组织必须具有执行能力先进的数据分析,以识别和应对欺诈模式。简单来说，更快欺诈检测对于最大限度地降低业务风险至关重要。欺诈模式（内部和外部）是经常潜伏在庞大的非结构化机器数据中由公司的应用程序和 IT 系统生成。• 轻松灵活地入职各种各样的数据源。不管数据结构(数据库表)或非结构化的私有数据,Splunk可以配置为接收数据。• 其他不连贯数据源的关联。Splunk能够加入不同的数据共同提供对序列的见解基于事务。• 灵活地集成数据并将其导出到其他数据系统通过脚本,警戒行为和动态形式或钻取。尽管每个组织都有自己的独特欺诈挑战需要解决，有一些常见的挑战银行、金融、医疗保健和其它行业。• 能够提取历史报告以实现合规性要求和协助金融犯罪调查。使用Splunk开发一个事件响应计划4 白皮书内部威胁Splunk软件还提供内幕的例子威胁，一种多通道机器学习架构可以帮助自动异常的相关性行为转化为高保真威胁。Splunk平台还提供了动态和重复出现的内容没有任何帮助识别最新的威胁操作停机时间。一个内部威胁来自人内组织，如员工、前员工、承包商或商业伙伴，他们内部有有关组织安全的信息实践、数据和计算机系统。是否内部人员恶意行事或不知道他们的行为，对业务的影响是最大的对企业的威胁。恶意软件检测恶意软件攻击是一个日益严重的问题通常，当安全团队意识到内部人员时威胁，很有可能是内部威胁已经造成了破坏。各种规模的组织的数量攻击和清理损害所花费的钱正在崛起。恶意软件攻击曾经是消费者——定向威胁，然后是一个小公司问题，但现在攻击经常成为头条新闻。因为它是一个恶意软件攻击类型，勒索软件经常可以坐视不理网络发现了很长一段时间。商业内部威胁的影响灾难性的。的联邦调查局估计的平均成本每个内部威胁事件为 412，000 美元，平均亏损1500万美元每行业超过十年。分析驱动的安全解决方案，如 Splunk，可以帮助组织通过以下方式处理内部威胁成功实施事件响应计划。Splunk Enterprise Security （ES） 和 Splunk UBA 提供准备使用指示板来检测异常员工的行为。事实上，恶意软件占安全性的82%。事件,根据无调查.Ransomware,一个类型的恶意软件的攻击,通常目标端点漏洞,掠夺可能未完全更新其“安全卫生。”这转化为基本的安全性实践，例如补丁和防病毒软件，这是在小型 IT 和安全团队中尤其重要用一个不那么正式的过程。Ransomware的进化RansomlockUrausyCryptodefenseTeslacrypt7CrypowallRevetonLockdroidirlockCTB-Locker屏幕锁托克斯成束的CryptolockerSamsameranger爱克赛彼佳2013Teslacrypt 2.0TorrentlockerDMAlock201Teslacrypt 4Cerber嵌合体igsaw201RokkuHydracrypt201使用Splunk开发一个事件响应计划5 白皮书美国联邦调查局(Federal Bureau of Investigation)209美元百万了2016年第一季度ransomware罪犯。联邦调查局还预计收购攻击为1美元到最后，网络犯罪分子的收入来源十亿2016年。这个数字不包括收入从业务损失和机会成本中断造成的攻击。反击有这么多漏洞登上了头版头条,很多组织正在被迫开发事件保持成为反应能力国际新闻.最优秀的组织成功处理事件遵循流程并计划检测、调查和补救应这一事件是违反。这些更成熟的事件响应团队取得更大成功的检测和控制使用积极的持续监控和响应策略，而不是反应性间歇性反应过程。另一项研究发现,近70%的2016年高管ransomware攻击击中支付打开他们的数据． 和这些数字很可能甚至更高,因为他们不包括小组织和消费者也付出赎金拿回他们的数据。那么，组织如何防御勒索软件呢？提高勒索软件预防水平的很大一部分是做基础更好,这是哪里事件响应进来了。组织需要采取退后一步，问问他们的仪器有多好做三个关键安全基础知识:达到这种级别的安全成熟度并不困难，但它需要能力和知识来了解关注点。它需要调查的能力并分析您的系统以识别恶意软件和攻击行为和其他可能在这个网络中妥协。1.整体安全态势评估组织还需要确保他们有能力捕获一个事件的全部范围,先前的事件的知识。减少事故的潜在损害，重要的是禁用最易受攻击或受损，这可以极大地减少事件的影响。许多组织也是从自动化和集成中获得更大的价值与一个analytics-driven SIEM解决方案更好事件反应。2 .有效地与适量的调查上下文来验证威胁3 .适当的反应,迅速和有效地可以利用额外层的组织的可见性可以学习