Sign up to save your podcasts
Or
Share 告警运营很难,看看他是怎么思考的
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
告警运营很难,看看他是怎么思考的
选自:公众号A9 Team
原文链接:https://mp.weixin.qq.com/s/hKJNonfb3ZJdjtFLasK7JA
这篇文章干货贼多,本期仅取用部分,感兴趣的朋友不妨点进上面链接深入瞅瞅
围绕着资产、风险、人、工具、流程进行
1、知己知彼,才能百战不殆
资产:这里的资产指的就是一家公司他所拥有的所有资产,当然我们也没办法去做到非常细因为资源有限,需要利用有限的资源去创造更大的价值,那么我们就需要去关注核心资产、核心业务所关联的"资产",只有明确了我们需要保护的核心业务及资产,才能更好的去把识别其可能面临的风险、挖掘出潜在的风险提前去做好应对,这个叫做"知己";
风险: 风险其实就是"知彼",除了对于已知的历史风险漏洞、供应链问题、木马特征等,还是需要持续性的获取到最新的风险,且快速的去匹配公司可能受影响的资产,赶在风险被利用的前面修复它,避免核心资产、业务受到影响,故拥有一支优秀的情报小组也是十分重要的,并且能做到持续学习,持续提升,毕竟每天都在产生大量的漏洞和其他潜在的风险;
2、人尽其才,物尽其用
对于所有设备,作为告警运营的负责人,对于前面提到的资产和风险,那么这里的物就是需要你去思考,每个设备到底有啥能力,它所覆盖的范围是什么,在哪些场景下你能去充分的使用它。如:有些HIDS产品或者监控agent能去监控系统的补丁,对于熟悉产品能力的人能结合这个去把派发下去的漏洞工单做自动化关联,如果显示补丁打了就自动关单;不熟悉产品能力的人却需要等系统负责人截图证明,那要是系统负责人处理了后忘记提交工单复核,你还需要一个个去问。故对于一个设备,尽管你不需要去深入了解它的检测原理,但是它具备什么能力,它的定位是什么都值得去深思并做好相对应的规划,才能做到物尽其用!除了对于整个小组成员的共同提升(定期分享、组织复盘)以及个别较为自觉的主动提升外;我更喜欢的是去倾听一线的声音,辅助一线分析他们所遇到的问题,并站在更广的视角去给他们寻求资源和解决方案来共同提升整个小组的能效;
3、流程高效,持续提升
前面大概的介绍了资产、风险、人、物,那么把这些东西串起来并高效运转、持续的提升就是流程或会议了;这里简单分享下我们认为相对有比较多辅助于我们告警小组提升的流程或会议。
(1)自动化需求收集会议:定期对现有或者近期新增的安全设备(能力)、告警响应流程等做分析,看看是否可通过自动化来对现有的流程做优化或能力关联运用,做到提质增效;
(2)告警分类分级: 对从设备产出的告警,通过告警的攻击来源、受害范围、攻击类型、资产等级几个做对应的权重,在每个设备告警吐出来后通过SOAR去做计算给出对应告警的权重值,越高的值越需要重点去及时响应,避免被其他低中危风险影响到真实存在且严重的风险对业务造成影响,而权重低的可以放后确认,做好抓大放小;
(3)白名单(例外)流程: 前面提到告警可能会有大量误报或者已知风险但已经过领导层认可表示风险可接受的告警重复出现、又或者是临时需要使用且能接受风险的中低风险的持续告警,这都会影响整个告警组处置告警的效率,毕竟单单都需要反馈和复核,那么白名单流程就是临时或永久对规则做 白名单(例外),并定期组织复盘对原定的白名单在现在是否仍需执行,是否要对该策略做优化,策略优化是否解决了这块告警噪音,如果是则取消原定的白名单策略,避免相关被误用而导致风险行为未能被监测,持续做好降噪增效;
(4)告警复盘: 告警可能可以分为个别告警复盘或者对全局告警回顾,至于这个时间多久一次可能就见仁见智了,而复盘我建议是当天如果出现较为重大的告警响应,应在当天告警处理的差不多的时候,及时把整个小组拉齐做复盘,一方面互相分享排查思路,一方面就是分享下排查过程中流程、相互配合、思路、工具等是否存在问题,是否可以优化提升,同时也能分析出是否有遗漏的风险需要去做进一步确认,注意最好是当天,上午发生的告警,在下午忙的差不多的时候组织大家共同复盘,复盘后大家都认为收获满满同时经验较少的人也能通过此次复盘汲取到经验较为丰富的人的排查思路,做到人的能力共同提升,同时流程、工具也有可能会在这个环节做到持续提升。
View all episodes
By mztkn123456选自:公众号A9 Team
原文链接:https://mp.weixin.qq.com/s/hKJNonfb3ZJdjtFLasK7JA
这篇文章干货贼多,本期仅取用部分,感兴趣的朋友不妨点进上面链接深入瞅瞅
围绕着资产、风险、人、工具、流程进行
1、知己知彼,才能百战不殆
资产:这里的资产指的就是一家公司他所拥有的所有资产,当然我们也没办法去做到非常细因为资源有限,需要利用有限的资源去创造更大的价值,那么我们就需要去关注核心资产、核心业务所关联的"资产",只有明确了我们需要保护的核心业务及资产,才能更好的去把识别其可能面临的风险、挖掘出潜在的风险提前去做好应对,这个叫做"知己";
风险: 风险其实就是"知彼",除了对于已知的历史风险漏洞、供应链问题、木马特征等,还是需要持续性的获取到最新的风险,且快速的去匹配公司可能受影响的资产,赶在风险被利用的前面修复它,避免核心资产、业务受到影响,故拥有一支优秀的情报小组也是十分重要的,并且能做到持续学习,持续提升,毕竟每天都在产生大量的漏洞和其他潜在的风险;
2、人尽其才,物尽其用
对于所有设备,作为告警运营的负责人,对于前面提到的资产和风险,那么这里的物就是需要你去思考,每个设备到底有啥能力,它所覆盖的范围是什么,在哪些场景下你能去充分的使用它。如:有些HIDS产品或者监控agent能去监控系统的补丁,对于熟悉产品能力的人能结合这个去把派发下去的漏洞工单做自动化关联,如果显示补丁打了就自动关单;不熟悉产品能力的人却需要等系统负责人截图证明,那要是系统负责人处理了后忘记提交工单复核,你还需要一个个去问。故对于一个设备,尽管你不需要去深入了解它的检测原理,但是它具备什么能力,它的定位是什么都值得去深思并做好相对应的规划,才能做到物尽其用!除了对于整个小组成员的共同提升(定期分享、组织复盘)以及个别较为自觉的主动提升外;我更喜欢的是去倾听一线的声音,辅助一线分析他们所遇到的问题,并站在更广的视角去给他们寻求资源和解决方案来共同提升整个小组的能效;
3、流程高效,持续提升
前面大概的介绍了资产、风险、人、物,那么把这些东西串起来并高效运转、持续的提升就是流程或会议了;这里简单分享下我们认为相对有比较多辅助于我们告警小组提升的流程或会议。
(1)自动化需求收集会议:定期对现有或者近期新增的安全设备(能力)、告警响应流程等做分析,看看是否可通过自动化来对现有的流程做优化或能力关联运用,做到提质增效;
(2)告警分类分级: 对从设备产出的告警,通过告警的攻击来源、受害范围、攻击类型、资产等级几个做对应的权重,在每个设备告警吐出来后通过SOAR去做计算给出对应告警的权重值,越高的值越需要重点去及时响应,避免被其他低中危风险影响到真实存在且严重的风险对业务造成影响,而权重低的可以放后确认,做好抓大放小;
(3)白名单(例外)流程: 前面提到告警可能会有大量误报或者已知风险但已经过领导层认可表示风险可接受的告警重复出现、又或者是临时需要使用且能接受风险的中低风险的持续告警,这都会影响整个告警组处置告警的效率,毕竟单单都需要反馈和复核,那么白名单流程就是临时或永久对规则做 白名单(例外),并定期组织复盘对原定的白名单在现在是否仍需执行,是否要对该策略做优化,策略优化是否解决了这块告警噪音,如果是则取消原定的白名单策略,避免相关被误用而导致风险行为未能被监测,持续做好降噪增效;
(4)告警复盘: 告警可能可以分为个别告警复盘或者对全局告警回顾,至于这个时间多久一次可能就见仁见智了,而复盘我建议是当天如果出现较为重大的告警响应,应在当天告警处理的差不多的时候,及时把整个小组拉齐做复盘,一方面互相分享排查思路,一方面就是分享下排查过程中流程、相互配合、思路、工具等是否存在问题,是否可以优化提升,同时也能分析出是否有遗漏的风险需要去做进一步确认,注意最好是当天,上午发生的告警,在下午忙的差不多的时候组织大家共同复盘,复盘后大家都认为收获满满同时经验较少的人也能通过此次复盘汲取到经验较为丰富的人的排查思路,做到人的能力共同提升,同时流程、工具也有可能会在这个环节做到持续提升。