Если вы преодолели первую головоломку SOC для разработки контента, то ваша организация находится на правильном пути к созданию нового интересного контента, не беспокоясь об этих бессмысленных вопросах, когда появляются новые угрозы, например, имеет ли эта угроза отношение к вашей организации. Вместо этого ваша организация должна быстро определить применимость угрозы и двигаться вперед с помощью четко определенного и оптимизированного процесса разработки контента с использованием методологий создания, атаки и защиты. Если вы еще не в этом месте, вы можете вернуться к моему предыдущему сообщению и части 1 этой серии здесь.
С этим потоком нового и применимого контента, который разрабатывается в вашей SIEM для использования вашей группой реагирования на инциденты, у вас теперь есть несколько новых запросов на обнаружение, активно ищущих угрозы в вашей среде, но как вы собираетесь управлять этим растущим хранилищем контента, когда каждый фрагмент кода разрабатывался индивидуально без возможности повторного использования, и как именно вы планируете гарантировать, что прошлые фрагменты контента все еще применимы сейчас, когда прошло время? И здесь кроется следующая загадка контента для SOC.
Начнем с нескольких вопросов, которые необходимо решить:
1. Как ваша организация собирается действовать в ситуации, когда критический компонент этих запросов на обнаружение изменяется?
2. Как ваша организация собирается обеспечить повторяемость логических блоков в ваших запросах и возможность их уточнения с течением времени?
3. Как ваша организация собирается проверять, что ранее созданный контент остается применимым и работает правильно с течением времени?
Идея о том, что ваша организация только что произвела большое количество контента, на который потребовалось кропотливое количество времени и ресурсов, чтобы сделать его полностью бесполезным из-за изменения схемы хранения данных или даже частично бесполезным для новых подключенных бизнес-подразделений, потому что их данные должны быть быть включенным в логику - это кошмар. Никто не хочет просматривать каждую отдельную часть контента и обновлять компоненты один за другим, особенно когда есть много места для человеческой ошибки. Итак, как бы вы удостоверились, что просмотр всего вашего прошлого разработанного контента не является реальностью? Легко, модульность вашего контента в полной мере. Это можно сделать с помощью функций или макросов или любого другого многократно используемого логического группирования, которое может использовать ваша организация SIEM. Идея здесь состоит в том, чтобы разбить на модули каждую часть логики, которую можно повторно использовать для другой части контента, даже то, как вы называете определенный набор данных, должно быть модульным только для учета изменений схемы хранения данных и новых объектов хранения данных, создаваемых для новых бизнес-единиц. . К счастью, эта идея решает и вторую проблему, упомянутую выше, а также путем объединения сложных логических блоков в эти функции или макросы. Вы можете быть уверены, что любая статистическая агрегация, алгоритм машинного обучения или что-либо еще может быть постоянно улучшено и иметь весь ваш старый контент. автоматически улучшаться с каждым обновлением. Звучит здорово, что вам не нужно возвращаться и обновлять все по одному каждый раз, когда вы обновляете способ выполнения определенного статистического анализа или даже что-то такое простое, как вызов данных, верно? Так оно и есть, и это сэкономит вашим аналитикам невероятное количество времени, давая им уверенность в том, что все работает с последними и лучшими решениями. При этом мы также представили третью проблему, указанную выше, а именно: откуда вы знаете, что эти замечательные новые обновления этих блоков кода ничего не сломали.
В худшем случае эти модульные обновления логических блоков потребуют от вас вернуться и сделать то же самое, что вы пытались удалить из своей рабочей нагрузки, просто чтобы быть уверенным, что все по-прежнему работает. Вы только что сэкономили все это время, заставив свои обновления гарантировать, что все работает на ваших самых современных логических разработках, просто чтобы добавить это время обратно из-за отсутствия проверки и регрессионного тестирования. Здесь лучший способ — автоматизировать регрессионное тестирование ваших правил при внесении обновлений. Это можно сделать с помощью пользовательских сценариев или даже с помощью плейбуков в системе SOAR, если SIEM, с которым вы тестируете, поддерживает какой-либо вызов API для запуска удаленного поиска. Конечно, есть пара вещей, которые вы должны включить в свой B.A.D. процессы, упомянутые в Части I этой серии, которые, по сути, заставляют вашу Красную/Атакующую группу принимать к сведению симуляции времени эксплойта таким образом, чтобы в сочетании с вашими запросами на обнаружение эти переменные могли быть переданы через удаленный поиск для очень конкретных временных рамок, где вы можете убедитесь, что результаты появятся. Если ваша автоматизация возвращается с определенными запросами обнаружения, возвращающими нулевые результаты после обновления модульного логического блока, значит, что-то пошло не так. В то же время вы можете использовать ту же автоматизацию для проверки того, неприменимы ли определенные запросы обнаружения, выполняя периодический просмотр выходных данных и метаданных, связанных с каждым поиском, выполненным в ваших автоматических регрессионных тестах. Это поможет обеспечить как можно более низкую загрузку системы, чтобы освободить место для содержимого обнаружения, которое по-прежнему применимо к вашей среде.
Мы надеемся, что эти идеи помогут вашей организации решить проблемы с контентом SOC. Если есть какие-либо другие сложные проблемы, с которыми сталкивается ваша организация сегодня, не стесняйтесь обращаться к нам, мы будем рады выслушать вас. А пока следите за новостями Content Conundrums for the SOC: Part 3.
В Anvilogic мы серьезно относимся к разработке контента SOC, проходя несколько энергичных циклов, чтобы гарантировать, что весь разработанный контент будет максимально надежным, эффективным и применимым, и мы надеемся помочь вашему контенту обнаружения SOC выйти на новый уровень. Дайте нам знать, как мы можем помочь вам.
