Please enable JavaScript.
Coggle requires JavaScript to display documents.
Security Monitoring Approach (làm gì? (giám sát, phát hiện các mối nguy…
Security Monitoring Approach
làm gì?
giám sát, phát hiện các mối nguy tồn tại trong hệ thống
xử lý các sự cố security đã xảy ra
làm như thế nào?
IoCs-based
là cái gì?
detect threat đã được công bố
static indicators
file hash
domain
IP
làm như thế nào?
threat intelligence
Threat Intelligence Platform - MISP
Threat feeds
OTX
IBM X-force
detection & analysis
tạo rule/cấu hình phát hiện trên các hệ thống AV/FW/SIEM
TTPs-based
là cái gì?
Tactics, Techniques, Procedures
Tactics
mục đích của attacker là gì?
Techniques
attack làm như thế nào để đạt được mục đích của mình?
Procedurecs
Cách tổ chức một cuộc tấn công hoàn thiện, từ bước 1 đến khi đạt được mục đích cuối cùng
phát hiện hành vi của attacker, thay vì static indicators
làm như thế nào?
ATT&CK
Adversary Tactics, Techniques & Common Knowledges
là một kho kiến thức về chiến lược, kỹ thuật và quy trình tấn công, được tổng hợp và phân tích từ nhiều nguồn khác nhau
dựa vào đó để define các rules detect threat
threat intelligence
mục tiêu
hiểu được chiến lược và các kỹ thuật mà attacker sử dụng
cách thực hiện
chọn lựa một số nhóm APT có liên quan đến tổ chức và tìm hiểu các kỹ thuật mà các nhóm đó hay sử dụng
APT32
APT37
HoneyBee
APT19
thống kê các kỹ thuật, sử dụng ATT&CK Navigator
độ ưu tiên: từ phải sang trái
detection & analysis
mục tiêu
xây dựng được các biện pháp để phát hiện các kỹ thuật tấn công
cách thực hiện
xác định data source cần thu thập
một số data sources chính
processes + processes command line
registry keys
authentication logs
packet capture
thu thập log về một nguồn tập trung
splunk
tìm hiểu phương pháp phát hiện
tham khảo một số nguồn sẵn có
https://car.mitre.org/analytics/
xây dựng rule phát hiện
pseudocode
pseudocode --> sigma
sigma --> rule
tunning rules
giảm false positive
giảm false negative