ATT&CK 在大数据安全分析中的应用思考(11)
举例:
Powershell目前被攻击者频繁利用 , 也是终端必须审计的数据源之一 。
若规则为定义如下 , 那么这只能算是一个审计信息 。
Image contains 'powershell.exe'
若规则有了更细致的特征 , 那么可以定级为一个参考告警甚至失陷告警 。
Image contains 'powershell.exe' and CommandLine contains ('-w hidden' or '–Exec Bypass' or '-c' or '-Enc' or '–Nop' or 'DownloadFile')
有了详细的特征为什么还需要使用宽泛的审计规则: 世上没有完美的规则 , 规则总可能被绕过 , 这时还有审计信息给予我们溯源的可能 。
审计规则可以记录所有动作为什么还要颗粒度更高的规则: 权重! 让机器帮你做初步的筛选 , 直接关注存在的高风险问题 , 权重不同的告警在场景化过程中对结果的判断也会有影响 。
推荐阅读
- 捉迷藏|?LOL世界赛“含金量”数据出炉:EDG仅排第六,IG稳居榜首
- 碧蓝航线|碧蓝航线SR重巡福煦数据详解 期待越高失望越大 强度平平无奇
- kramer|国服极地大乱斗数据上线,来看看胜率榜符合你的预期吗?
- 米莱狄|峡谷数据榜:分均输出TOP5,干将莫邪只排第四,米莱狄至今被误解
- |S11淘汰赛数据盘点:场均时长为33分 55个不同英雄登场
- 中单|2021年英雄联盟世界赛终于落下帷幕!!大数据统计二!!
- 灵饰|梦幻西游:109级法系前排灵饰选择方法,用数据告诉你怎么做
- 卡牌|S11淘汰赛数据出炉,卡牌24场全被ban,压刀最多竟是辅助
- 地下城与勇士|DNF:逼格拉满,这些高格调光环&称号不容错过
- edg战队|堡垒之夜国服将清除数据,EDG创造队史晋级S11世界赛决赛