本文介绍了Security Information and Event Management(SIEM)的基础概念,包括警报关联分析的流程,如alert normalization、aggregation、verification等步骤。重点讨论了alert时间标准化、源和目标确定以及攻击名称规范化。此外,还概述了multistep correlation和impact analysis等高级分析方法,强调了在大规模关联分析中的挑战和解决策略。
参考资料:
intrusion detection and correlation
security information and event management implementation
Gartner magic quadrant for security information and event management(年报)
由于是上班第一天,大佬们比较忙,所以可能需要自己查阅很多资料,虽然是很粗略的看了上面关于警报关联分析的那一本书,还是在这里稍微总结一下:
首先是一个最基本的概念:
A successful intrusion into a computer:
1.surveillance stage 监控阶段
2.exploitation stage
3.masquerading stage 伪装阶段
下面用例子分别从这三个方面来介绍alert correlation:
首先是alert correlation 的大致流程:
然后是我们的例子,也就是攻击被sensor发现并报警的情况:
最后是非常重要的一点,也是在整个alert correlation中必不可少的一个环节或者说工具,那就是Alert Merging:
在后面的步骤介绍中都会看到,这就是alert correlation的核心步骤
从第三章开始就详细讲述了alert correlation的各个步骤,下面我进行很粗略的总结:
Chapter 4 ALERT COLLECTION
- Alert Normalization
顾名思义,就是将所有的数据格式规范化,而书中也提到了各种规范与标准,对应到我们的例子中,就是攻击名字出现了不规范的情况,将其更改如下:
Alert Preprocessing
数据预处理是每个数据挖掘过程中必须完成的一个重要步骤,这里的预处理主要包含以下部分:
2.1 Determining the Alert Time
关于时间,The IDMEF standard defines the following three different classes to represent time.
①CreateTime: This is the time when the alert is created by the analyzer.This is the only timestamp considered mandatory by the IDMEF standard.
②DetectTime: This is the time when the event(s) producing an alert are detected by the analyzer. In the case of more than one event, the time the first event was
detected.
③AnalyzerTime: This is the time at the analyzer when the alert is sent to a correlation system (which is called manager in the IDMEF terminology).
至于以上三个标准时间采用哪一个,书中推荐一般为第二个,但是根据不同要求和情况也会选择其他的
最低0.47元/天 解锁文章
1141
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
