快速识别重要威胁：威胁情报与SIEM的结合

ThreatConnect是威胁情报代表性企业之一，著名的钻石模型理论提出者。ThreatConnect近期发布了一份报告，讲述企业如何通过威胁情报平台来增强SIEM/SOC的安全能力，以便更全面的理解威胁、消除误报，形成主动、智能的防御体系。小编带您一起具体了解下这份报告的内容。

1. 从SIEM的本质出发，它是用来做什么的？有哪些局限？

安全信息与事件管理系统（SIEM）在国内我们通常更倾向于称之为安全运营中心（以下简称SOC），主要用于发现整个企业中的趋势和态势，从多种事件和具有上下文信息的数据源中收集和分析安全事件，SIEM支持威胁检测和安全事件响应——即：一个界面可以连接所有数据。大多数企业使用SIEM来收集日志数据，并将安全事件与多个系统（入侵检测设备，防火墙等）内部安全日志和事件数据相关联。它是有效关联内部数据和提取的威胁数据信息流的起点，还可以自动报警并进行阻断。然而，随着攻击者的不断“创新”，企业需要越来越多的了解威胁的本质、意图、技术和造成损害的能力，SIEM的局限性开始显现。随着SIEM投产与运营。不断增加的噪音和系统复杂性中的“传感器疲劳”会逐步压垮SIEM和它的安全技术团队。企业安全团队正在努力从已部署的SIEM中发现真正价值，原因如下：

· 太多原始“噪音”：SIEM的一个重大困难在于其中输入的数据需要大量的过滤。如果过量的威胁元数据进入SIEM，可能会产生大量的误报，降低SIEM性能，也会强烈干扰监控和事件响应团队。此外，当无效的原始威胁信息流开始并入到SIEM中，它就无法分别情报的好坏。如果您的SIEM都无分辨，您又如何做到？

· 知己欠缺知彼： 虽然SIEM可以关联事件，或分析可疑或恶意活动，精确定位威胁。但是它缺乏专注于对手的意图或基于过去观察到的行为显示入侵者下一步可能做什么的能力。

· 只对已知威胁有反应：由于SIEM通常只能识别和标记已知威胁，而当您试图在恶意行为之前提前采取行动时，这将成为问题。如果一个持续的攻击者使用新的技术或工具来抵御企业的检测，SIEM本身无法检测到它，因为它对这种新方法并不熟悉。

2. 将威胁情报集合到SIEM中的好处

· 许多机构认为，SIEM和态势感知系统是解决安全分析困境的灵丹妙药，实际上它们只是一个起点。因为传统SIEM不是设计用来处理非结构化、具备多种格式的威胁情报，并且这些情报是分析所必需的，来自于不同来源。如果输入太多未经验证的数据，这些数据将会在实质上以垃圾信息的方式来阻碍企业的安全动脉，会快速导致SIEM消化不良并拖垮稀缺的安全分析资源。所以希望将一大堆未经审查的威胁数据输入SIEM，来实现一个所谓的威胁情报解决方案的，一定请三思。

· 威胁情报为安全团队提供了“及时识别和应对攻陷指标的能力“。虽然有关攻击的信息比比皆是，威胁情报在过程中识别攻击行为的实质是将这些信息与攻击方法和攻击进程的上下文知识紧密结合。

· 将SIEM与威胁情报匹配。企业将以敏捷和快速反应的方式应对不断发展的、大批量、高优先级的威胁。如果不进行匹配，企业则是在盲目地努力并且还要面对混乱报警的局面。

· 在SIEM中观察威胁会过度关注内部细节。所有形式的威胁数据，不论是结构化还是非结构化的， 都需要从更“全球化”的角度进行综合分析和研究。当使用筛选后的高质量威胁情报来预警时，你才能开始形成对于威胁的态势感知能力（它们可以对你做什么以及它们如何做），黑客基础设施和武器（它们从哪来），动机（为什么它们这么做）以及它们的目的和资源的全面的了解。

3. 用威胁情报来构建SIEM的主要部分，将SIEM与威胁情报平台绑定联动。

威胁情报平台可以帮助企业完成经常超过企业自身能力的、需要耗费大量劳动力的对于威胁情报的威胁分析。威胁情报平台是一个动态系统，从许多不同的来源自动采集威胁数据，然后将该数据相互关联，将其丰富，并将其无缝与基础安全设施联动。

通过威胁情报平台，企业可以汇总和合理化威胁数据自动筛选出攻陷指标（IOC）作为可机读威胁情报（MRTI），并且使用现存的日志对比匹配以便轻松发现不常见的趋势或线索，并对其有效执行操作。通过将团队、流程和工具结合在一起，威胁情报平台为安全团队提供了对于威胁来自哪里前所未有的视野，并可以从头到尾跟踪整个事件，通过报告，可指导安全响应并进行阻断。节省了追踪传统SIEM产生的误报所花的大量时间。

在威胁情报平台聚合的威胁情报和SIEM可让您对威胁进行有效的控制、验证、度量威胁情报的价值，并在SIEM中成熟地使用它来进行警报和阻断。通过威胁情报平台，可以确信您的数据是与威胁相关的并已经进行优先性排序的，以便您在SIEM中更正确地处置。

4. SIEM+威胁情报平台： 如何充分利用您的威胁情报？

如果正确实施的话，威胁情报可以增强检测和响应能力，节省时间，并帮助您做出更好的战略安全决策。但要充分利用威胁情报，威胁情报平台提供的一些最佳实践和工作流程能够帮助统一人员、流程和技术。

· 日志，事件和数据的进一步分析：基于两个系统之间的双向数据流，来自威胁情报平台的攻陷指标将自动发送到SIEM中进行警报，并将来自SIEM的特定事件发送回威胁情报平台来进行关联分析、数据挖掘和优先性排序。在威胁情报平台通过确定哪些来源或工具被识别出的恶意行为，可在网络中进行定位，分析人员可以锁定恶意行为的所在位置。

· 建立企业自身威胁知识库：综合性威胁情报平台可以作为企业的中央威胁信息库。帮助企业了解网络犯罪分子的工具、流程、受害者和预期目标。可以轻松地将来自过去的攻击者活动的信息与当前的信息进行关联，并从过去的攻击中学习，主动阻止攻击者当前和未来可能的攻击。

· 优化企业安全投资：利用内置的工作流程，威胁情报平台也可以将更智能的做法转移到SIEM及其他入侵检测安全工具中。

· 根据企业网络环境生成和优化情报：威胁情报平台没有像SIEM那样关注一系列事件找出矛盾的地方，而是增加了上下文信息和关系丰富的指标，从而使企业能够更好地了解威胁的性质、对企业的风险，更有效地做出全面的反应。帮助企业从战略上挫败攻击者，而不是玩打地鼠的游戏。

· 形成主动防御：威胁情报平台允许安全响应团队跨过自己的网络寻找线索和联系，这可以显示攻击企业的威胁与可能存在的威胁之间的关系，并发现新的相关的情报。使用这些信息，帮助安全团队变被动防御转为主动防御。

一个高效的威胁情报平台（Threat Intelligence Platform,TIP）致力于精准发现内部失陷主机，帮助安全团队快速并准确定位威胁所在，提供威胁相关的丰富的上下文信息以供分析和响应。比如微步在线是基于庞大的威胁分析云，经验丰富而专注的分析师团队，深度学习技术积累，国内外领先的网络基础数据和威胁情报社区，帮助客户实现以下检测目标：

1. 以结果驱动的数据收集体系。

威胁情报中心是以实际的检测和分析能力输出作为驱动，与SIEM最大的差别在于不是数据的吸尘器，收集过多的数据只会产生更大的噪声，并对影响性能。仅收集必要的多源数据，极大降低了投入和运维成本，缩短建设周期，可快速见效，有助于帮助管理层逐步树立对大数据安全建设的信息。这也是国内知名威胁情报公司定位于聚焦威胁，情报驱动的初衷。

2. 能够快速准确的检测威胁，发现被控主机。

要基于海量数据和强大分析师团队提取遍布全球的恶意域名、IP等攻击基础设施在网络流量中准确发现失陷主机与被控端的连接。此外应用深度学习方法的DGA算法，发现对恶意动态生成域名的访问。TIP还在通过在主机端指定目录和进程中进行恶意软件和木马的发现，进一步帮助定位失陷主机。

3. 结合威胁情报数据和海量基础数据提升客户对威胁事件的分析能力。

有效的将企业安全分析所需的海量网络基础数据、黑客组织画像等基础能力植入本地TIP平台，帮助客户形成一整套用于威胁分析的能力体系。

在实际应用当中，一个高效的威胁情报中心还应具备的实战应用特性，如微步在线TIP：

· 基于出站流量检测，实现更全面的失陷主机发现。

· 主机Webshell和流行黑客工具检测功能。

· 主机恶意文件云端沙箱与多引擎分析，这是对未知威胁的有效检测机制。

· 可实现内部溯源分析：最大范围地发现内部被攻击的节点，帮助企业更快响应和处理。

· 可对安全事件进行关联分析。

· 能够与企业安全现有方案有效结合。

· 具备企业整体安全状态可视化能力满足企业态势感知需求。

· 部署灵活简单：可安装在虚拟机或者硬件设备上，对机器配置要求低，部署简单且维护成本低。

5. 结论：SIEM是非常重要的安全系统，但是它需要帮助才能发挥最大的潜能。

很简单：在配备威胁情报平台的情况下，SIEM才能发挥最大效能。威胁情报平台是分析人员理想的工作地点，通过将数据合并在一起，能够更全面地了解威胁。威胁情报平台帮助分析人员从所有来源获取数据，融合内部和外部数据，优化数据以进行更快分析。

通过将SIEM与威胁情报平台相结合，企业可以将所有人、过程和技术统一在智能驱动的防御背后，获得强大的效果：

· 识别重要威胁：汇集企业内部日志，并将其与威胁情报相结合，以快速识别哪些反馈最适合企业环境。

· 更好地了解威胁的本质：超越SIEM的能力，为警报和事件添加情景和关联丰富的上下文，帮助企业更好地了解风险，做出更有针对性的反映。

· 丰富企业内部能力：通过共享威胁数据，并使用可靠的情报来源丰富企业能力。

· 数据共享和存储：将平台用作历史威胁数据的知识库，帮助应对重新出现或持续存在的威胁。

· 优化工作流程和编排：使用平台工作流程，通过与其他安全基础架构的集成来驱动行动，将自身的事件数据转化为内部威胁情报（这是最有价值的情报）。并且从一个中心平台来消除碎片化，管理企业安全基础架构。