TryHackMe-SOC-Section 3：核心 SoC 解决方案

目录

• Section 3：核心 SoC 解决方案
  • EDR简介
    • 介绍
    • 什么是EDR？
      • EDR的特点
      • 能见度
      • 检测
      • 回复
    • 超越杀毒软件
      • 既然终端上已经安装了防病毒软件（AV ），为什么还需要EDR呢？
      • 情景分析
    • EDR是如何工作的？
      • 代理人
      • EDR控制台
      • 检测到病毒后会发生什么？
      • EDR与其他工具
    • EDR遥测
      • 什么是遥测技术？
      • 收集到的遥测数据
    • 检测与响应能力
      • 检测
      • 回复
    • 调查EDR上的警报
      • 设想
    • 结论
  • SIEM简介
    • 介绍
    • 到处都是日志，却找不到答案。
      • 到处都是日志
      • 1）以主机为中心的日志源
      • 2）网络中心日志源
      • 无处可寻答案
    • 为什么选择 SIEM？
      • SIEM的特点
    • 日志源和摄取
      • 日志源
      • Windows 机器
      • Linux机器
      • Web服务器
      • 日志摄取
    • 警报流程与分析
      • 触发警报背后的故事
      • 如何创建检测规则？
      • 用例 1：
      • 用例 2：
      • 警报调查
    • 实验室工作
  • Splunk基础知识
    • 介绍
    • Splunk组件
      • Splunk转发器
      • Splunk索引器
      • 搜索头
    • 浏览 Splunk
      • Splunk Bar
      • 应用面板
      • 探索Splunk
      • Splunk仪表板
    • 添加数据
  • Elastic Stack基础知识
    • Elastic Stack 概述
      • 1. Elasticsearch
      • 2. Logstash
      • 3. Beats
      • 4.Kibana
      • 它们如何协同工作
    • KQL概述
      • 自由文本搜索
      • 逻辑运算符 (AND | OR | NOT)
    • 创建可视化
      • 相关性选项
      • 连接失败尝试可视化
    • 创建仪表盘（Dashboard）
  • SOAR简介
    • 介绍
    • 传统SOC及挑战
      • 传统安全运营中心的工作原理
      • 安全运营中心面临的挑战
    • 利用SOAR克服SOC挑战
      • SOAR是什么？
      • 1. 管弦乐编排
      • 2. 自动化
      • 3. 回应
      • 我们还需要安全运营中心分析师吗？
    • 构建SOAR行动手册
      • 网络钓鱼剧本
      • CVE补丁手册
    • 威胁情报工作流程实践
      • 设想

Section 3：核心 SoC 解决方案

对于安全运营中心 (SOC) 分析师而言，了解安全解决方案至关重要。本模块涵盖安全信息和事件管理 (SIEM)、事件检测与响应 (EDR) 以及安全运营与自动化响应 (SOAR)，这些都是 SOC 中使用的核心安全解决方案。

EDR简介

学习 EDR 的基本原理，探索其特性和工作原理。

介绍

端点检测与响应 ( EDR ) 是一种安全解决方案，旨在监控、检测和响应端点级别的高级威胁。作为安全运营中心 (SOC)分析师，了解EDR 的工作原理至关重要，因为它是企业广泛采用的端点保护解决方案。在本次会议中，我们将探讨EDR与传统防病毒软件的区别，以及它从端点收集哪些数据。我们还将讨论其提供的检测和响应功能。

• 学习目标
  • 了解EDR的基本原理及其工作方式
  • 将EDR与传统防病毒解决方案区分开来
  • 分析EDR解决方案的架构
  • 分析它从端点收集的遥测数据类型
  • 了解EDR的检测和响应能力
  • 调查EDR中实际存在的警报。

什么是EDR？

数字设备的使用量增长毋庸置疑。大多数企业的核心功能都依赖于这些数字设备。另一方面，网络威胁也在日益加剧。为了保护这些设备，企业实施了多种安全措施，其中大部分旨在保护运行这些数字设备的网络。然而，远程办公的快速普及使得这些设备暴露在风险之中，因为它们已不在企业网络部署的边界防护之下。

为了确保这些终端设备即使在网络之外也能受到保护，我们需要一种能够保护不同区域所有设备并抵御高级威胁的安全解决方案。终端检测与响应 ( EDR ) 就是这样一种安全解决方案，它能为终端提供深度保护。无论终端位于何处，EDR都能确保对其进行持续监控并及时检测威胁。

以下是市面上一些EDR解决方案：

• CrowdStrike Falcon(https://www.crowdstrike.com/wp-content/uploads/2022/03/crowdstrike-falcon-insight-data-sheet.pdf)
• SentinelOne ActiveEDR(https://sentinelone.com/resources/datasheets/assets/usecase/sentinel-one-active-#page=1)
• Microsoft Defender for Endpoint(https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoints)
• OpenEDR(https://www.openedr.com/)
• 赛门铁克EDR(https://docs.broadcom.com/doc/endpoint-detection-and-response-atp-endpoint-en)

市面上还有其他几种EDR解决方案。它们的底层架构大同小异，但功能可能有所不同。

EDR的特点

EDR有三个主要特点，也可以称之为EDR解决方案的三大支柱。

注意：本任务中使用的屏幕截图取自创建此房间时的CrowdStrike Falcon EDR 。

能见度

有效的分析往往取决于活动的可见性。这正是EDR区别于其他端点安全解决方案的独特之处。EDR提供的可见性令人印象深刻。它从端点收集详细数据，包括进程修改、注册表修改、文件和文件夹修改、用户操作等等。然后，它以结构化的格式将这些信息呈现给分析人员。分析人员可以看到完整的进程树以及操作序列的完整活动时间线。分析人员还可以访问任何端点的历史数据，用于威胁狩猎或其他用途。EDR中的任何检测结果都包含完整的上下文信息。

工艺改进	注册表修改	文件和文件夹修改	用户操作	还有更多

以下屏幕截图展示了进程树的图形化表示。我们可以看到端点上启动了哪些进程。每个节点代表一个进程，连接它们的线条表示它们之间的关系。点击+每个进程旁边的图标，即可查看与该进程相关的所有网络连接、注册表更改、文件更改等信息。

除了流程树之外，EDR 中还有许多其他功能可以最大限度地提高可见性。

检测

EDR的检测功能优于传统检测方式。它融合了基于特征码的检测和基于行为的检测，例如异常用户活动。凭借现代机器学习技术，它可以识别任何偏离基线行为的情况并立即发出警报。它还可以检测驻留在内存中的无文件恶意软件。此外，它还允许我们为威胁检测提供自定义的入侵指标 (IOC)。

以下屏幕截图显示了各个端点上发生的所有检测的仪表板。每项检测都以一行表示，包含不同的字段，例如检测严重程度、时间、触发文件、主机名、用户名等等。“策略与技术”字段将检测与MITRE 分类进行映射。点击任何检测即可查看详细信息，这有助于SOC分析师进行分析。

回复

EDR还赋予分析人员对检测到的威胁采取行动的能力。这些行动可以在中央EDR控制台中的任何端点执行。试想一下， EDR检测到威胁，并提供了事件发生的时间、地点和具体细节，而您必须选择针对该威胁的最佳应对措施。作为分析人员，您可以选择隔离整个端点、终止进程或隔离某些文件。您还可以远程连接到主机并独立执行操作。所有这些操作都可以在EDR控制台中完成。

以下屏幕截图显示了连接到主机后可以对主机执行的操作。

分析人员在调查过程中还可以采取其他几项行动。

注意： 在任务 #6中，我们将更详细地介绍EDR的检测和响应能力。

凭借先进的可见性、检测和响应能力，EDR成为一款非常强大的工具。然而，同样重要的是要记住，EDR是一种仅限主机的安全解决方案，它无法检测网络层面的威胁。

---

请回答以下问题。

EDR的哪个特性能够为所有检测结果提供完整的上下文信息？

## Visibility
能见度，可见范围

sc.exe 是哪个进程生成的？

cmd.exe

超越杀毒软件

在深入探讨 EDR 的工作原理之前，让我们先回答一个在听到EDR解决方案时经常会想到的问题。

既然终端上已经安装了防病毒软件（AV ），为什么还需要EDR呢？

这两种安全解决方案的目标都是保护其安装的终端设备。然而，它们提供的保护级别却有所不同。假设机场是一个需要保护的终端设备。其中一层保护措施是在旅客通过入境检查时检查护照。入境检查系统（AV）会监控入境旅客，并将他们的护照与数据库中已知的犯罪分子名单进行比对。如果匹配成功，则会阻止该旅客入境。

听起来像是个明智的保护措施，对吧？

但是，如果一个过去从未被认定为犯罪分子、性格也十分清白的人试图入境呢？入境检查会放行。那么，如果这个清白的人其实是一个受过专业训练、能够躲避基本安检的窃贼呢？机场里就潜藏着一个未被发现的威胁！

这时就需要用到事件数据审查（EDR）了。

在这个比喻中， EDR （事件数据采集器）相当于驻守在机场（终点）内的安保人员。这些安保人员会持续监控机场（终点）内的监控摄像头和运动传感器。与入境检查（AV）相比，安保人员（EDR）通过闭路电视监控和运动传感器增强了机场（终点）的安全防护。即使有人设法逃避了入境检查，安保人员也会持续监控他们的行为，例如：

• 它们是否在禁区附近活动？
• 他们的行为可疑吗？
• 他们是不是把行李放在无人看管的地方了？

如果安保人员感觉情况不对劲，也可以采取行动，或者将事件的完整细节告知机场管理部门。

防病毒软件 ( AV ) 可以检测到一些基本威胁，但要检测那些能够绕过常规检测的高级威胁，我们需要端点检测与响应(EDR)系统。与防病毒软件基于特征码的基本检测方式不同，EDR 会监控并记录端点的行为。EDR还能提供组织范围内的活动可见性。例如，如果在一个端点上检测到可疑文件，EDR也会在所有其他端点上检查该文件。

让我们逐步分析端点上的高级恶意活动，并比较AV和EDR在每个阶段的响应。

情景分析

• 步骤一： 用户收到一封钓鱼邮件，其中包含一个嵌入恶意宏（VBA脚本）的Word文档。
• 步骤二： 用户下载并打开文档。
• 步骤 3： 恶意宏在静默状态下执行，并启动PowerShell进程。
• 步骤 4： 恶意宏运行一条混淆的PowerShell命令，以下载复杂的第二阶段有效载荷。
• 步骤 5： 将有效载荷注入到合法的 svchost.exe 进程中。
• 步骤六： 攻击者获得对系统的远程访问权限

攻击步骤	AV的回应	EDR的回应
步骤一	如果下载的文件在数据库中没有先前的签名，则不执行任何操作。	记录文件下载活动并进行监控
步骤二	打开文档时不会执行任何操作，因为 winword.exe 是一个合法的实用程序。	记录 winword.exe 的执行情况并持续监控
步骤三	如果执行的宏没有先前的签名，则不执行任何操作。	由于 winword.exe 和PowerShell .exe 进程之间存在不寻常的父子关系，因此会检测并标记宏的执行。
步骤 4	通常情况下，杀毒软件无法检测到混淆后的PowerShell脚本。	标记混淆脚本的执行
步骤五	由于它不监控内存注入，因此不会标记对 svchost.exe 的恶意注入。	检测到 svchost.exe 中的进程注入
步骤 6	缺乏网络级可见性	标记 svchost.exe 的异常行为，即建立出站连接。
最终行动	可能被标记为清洁	生成包含完整攻击链的警报，并允许分析人员在EDR 系统中采取相应措施。

注： 某些现代防病毒软件可能具有更强的可视性和检测能力。然而，EDR更胜一筹，因为它能提升终端的检测和响应能力。

---

请回答以下问题。

在给定的类比中，什么代表了AV？

# 入境检查
immigration check

在此场景中，攻击者劫持了哪个合法进程？

svchost.exe

哪些安全解决方案可能会将此活动标记为干净的活动？

# AV 杀毒软件
Antivirus

EDR是如何工作的？

在之前的任务中，我们已经了解了EDR对终端安全有多么强大。但是，您是否知道：

• EDR是如何实现对终端如此全面的可见性的？
• 它如何检测高级威胁？
• 如何通过几次点击消除终端上的威胁？

这简直就像魔法一样。让我们试着用最简单的方式来理解它。

代理人

我们可以将多个终端集成到我们的EDR系统中，并通过集中式控制台进行管理。我们需要在这些终端内部部署EDR代理。这些代理有时也被称为传感器，它们是EDR的“耳目”。它们的职责是驻留在终端并监控所有活动。这些活动的详细信息会实时发送到EDR中央控制台。EDR代理可以自行执行一些基本的基于特征和行为的检测，并将结果发送到EDR控制台，从而触发警报。

EDR控制台

EDR代理发送的所有详细数据都会通过复杂的逻辑和机器学习算法进行关联和分析。威胁情报信息会与收集到的数据进行匹配。EDR就像大脑一样，将所有数据点连接起来。这些数据点最终会形成检测结果，通常称为警报。

以下屏幕截图显示了EDR控制台的仪表板。所有来自端点代理的数据都会传输到此控制台，检测过程也在此处进行。此仪表板全面展示了所有端点的当前检测状态。

检测到病毒后会发生什么？

当检测到安全事件时，安全运营中心(SOC)分析师的职责是确认警报并确定其优先级。EDR系统本身就简化了优先级确定过程。它会为所有警报赋予不同的严重级别（严重、高、中、低、信息）。严重级别最高的警报会被优先调查。在调查过程中，分析师点击警报后即可查看所有检测详情，包括已执行的文件、已执行的进程、网络连接尝试、注册表修改等等。根据现有数据，分析师首先需要运用专业知识判断警报是误报还是真报。如果是真报，分析师可以直接在EDR控制台中采取相应措施。

EDR与其他工具

作为一名安全运营中心 (SOC)分析师，必须了解，虽然独立的端点检测与响应(EDR) 系统能够提供足够的信息来检测和响应端点威胁，但它需要与其他安全解决方案协同工作，才能构建一个更完善的安全生态系统。在网络中，防火墙、数据防泄漏 (DLP)、电子邮件安全网关、身份与访问管理 (IAM)、EDR 以及其他安全解决方案共同保护着网络的各个组件。为了最大限度地减少工作量并提高效率，所有这些安全解决方案都与安全信息与事件管理(SIEM)解决方案集成，SIEM 解决方案也成为分析师调查的核心。我们将在本模块的后续章节中详细讨论SIEM解决方案。

---

请回答以下问题。

EDR 的哪个组件负责从端点收集遥测数据？

Agent

EDR代理也称为？

# 传感器
sensor

EDR遥测

什么是遥测技术？

在之前的任务中，我们学习了EDR代理，它们从端点收集各种数据并将其推送到EDR控制台。这些数据被称为遥测数据。遥测数据就像一个黑匣子，包含了检测和调查所需的一切信息。

收集到的遥测数据

通常情况下，终端上会进行许多活动，其中大部分是合法的。区分正常活动和恶意活动往往很困难。收集的数据越多，就能做出越准确的判断。EDR会从终端收集详细的遥测数据。让我们简要了解一下它收集的一些遥测数据：

• 进程执行和终止
  它会跟踪所有正在运行和空闲的进程，这有助于识别可疑的子进程-父进程关系、可疑的可执行文件启动进程、恶意软件有效载荷等。
• 网络连接
  所有端点的网络连接都会受到监控，这有助于识别与C2服务器的任何连接、异常端口使用、数据泄露或网络内的横向移动。
• 命令行活动它会捕获在端点上执行的所有 CMD、 PowerShell
  等命令，这有助于识别恶意命令执行、混淆的PowerShell脚本执行，而这些往往会被传统的防病毒软件忽略。
• 文件和文件夹修改：
  威胁行为者在数据准备、勒索软件执行和恶意文件投放过程中会修改各种文件和文件夹。EDR会跟踪这些修改。
• 注册表修改
  注册表是Windows系统配置信息的宝库。恶意活动期间会发生许多注册表修改，而EDR会监控其中大部分修改。

EDR从端点收集的数据远不止这些。它运用复杂的逻辑和机器学习算法来评估活动。高级威胁大多隐蔽进行，在执行过程中使用合法工具。单独来看，它们的活动可能看似无害，但通过详细的遥测数据进行观察，就会发现并非如此。这些详细的遥测数据不仅有助于EDR检测高级威胁并更准确地判断活动的合法性，而且对分析人员的调查工作也大有裨益。分析人员可以了解完整的事件链，识别根本原因，并重构攻击时间线。

---

请回答以下问题。

哪些遥测数据有助于检测指挥控制通信？

# 网络连接
Network Connections

Windows 系统的配置设置主要存储在哪里？

# 注册表
Registry

检测与响应能力

在本任务中，我们将讨论EDR的先进检测技术和响应机制。

检测

基于从端点接收的遥测数据，我们对这些数据应用了一些先进的检测技术。这些技术包括：

• 行为检测
  并非仅仅将特征码与已​​知威胁进行匹配，而是观察文件的完整行为。高级威胁会精心构造恶意软件，使其看起来干净无害，并利用合法进程来执行攻击。EDR可以捕获这种行为。例如： 进程 winword.exe 启动PowerShell.exe的行为会被EDR标记。Word 文档启动PowerShell是一种不寻常的父子关系。

• 异常检测：
  随着时间的推移，EDR会逐渐了解端点的基线行为。任何偏离此行为的活动都会被标记。当发生恶意活动时，端点的行为会偏离正常状态，EDR会检测到这种异常。有时，EDR 也会产生误报。但是，结合 EDR 提供的完整上下文信息，分析人员可以判断异常的合法性。
  例如： 在某个端点上，一个进程修改了自动启动注册表项，这在该端点上并不常见。

• 符合入侵指标 (IOC)
  的EDR 系统与威胁情报领域有着强大的集成。除了零日攻击之外，大多数攻击都有在威胁情报源中发布的指标。EDR会标记任何与已知IOC匹配的活动。  例如：用户下载了一个文件，该文件会释放一个可执行文件。该可执行文件通常用于特定攻击。该可执行文件的哈希值将与威胁情报源进行匹配，并立即被EDR标记。

• MITRE ATT&CK 映射： EDR
  标记的任何活动不仅会被标记为恶意或可疑，还会映射到该活动所属的MITRE战术和技术（攻击阶段）。这对分析人员来说非常有用。例如： 如果EDR出于任何原因标记了计划任务的创建，它很可能会将此活动映射到以下阶段：

  • 策略：持久性/后门痕迹等等
  • 技术：计划任务/作业

• 机器学习算法：
  高级威胁行为者会尽可能地规避防御措施，他们的活动有时甚至能绕过高级检测技术。现代端点检测与响应 (EDR) 系统配备了机器学习模型，这些模型通过大量正常和恶意行为数据集进行训练。这可以检测出复杂的攻击模式。
  例如： 某些攻击中，单个操作本身可能并非恶意，但机器学习算法却能将整个攻击链识别为恶意行为。无文件攻击和多阶段入侵通常可以通过这种方法检测到。

回复

检测到恶意行为后的下一步是响应。EDR提供自动响应和手动响应两种方式。您可以制定策略来自动阻止已知的恶意行为。此外，手动响应也为您提供了更广泛的响应功能。接下来，我们将探讨其中的一些功能。

• 在终端发生任何恶意活动时，您可以通过EDR 将该终端与网络隔离。这是遏制恶意活动的一种非常有效的功能。大多数攻击都从单个终端开始，然后横向蔓延到其他终端，最终导致整个网络瘫痪。及时隔离受感染的终端可以阻止这种情况的发生。

• 并非所有恶意活动都需要隔离主机。有些主机运行着核心业务，隔离这些主机造成的损失可能比恶意活动本身更大。在这种情况下，终止进程足以消除恶意活动。分析人员在EDR 系统中可以使用此功能，他们可以随时终止任何进程。但必须谨慎执行此操作，因为终止合法进程可能会中断终端的正常运行。

• 隔离：
  如果恶意文件进入终端，可以对其进行隔离。隔离功能确保文件被移动到无法执行的独立位置。分析人员随后可以审查该文件，以决定是否恢复或永久删除它。

• 远程访问
  分析人员还可以远程访问任何端点的 shell。当EDR的内置响应不足以对特定活动采取行动时，通常会使用这种方法。通过远程访问，分析人员可以更深入地了解系统或在端点上执行自定义操作。分析人员还可以通过远程访问运行脚本或从主机收集所需数据。以下是 CrowdStrike Falcon EDR
  的 RTR（实时响应）控制台示例，分析人员可以通过该控制台远程访问任何端点的 shell 并运行命令和脚本。
  

• 数据采集
  ​​ 有时，分析人员可能需要从终端设备提取一些数据，以便进行详细的取证调查或为法律诉讼撰写报告。分析人员无需实际接触设备即可从终端设备提取重要的数据。最常提取的数据包括：

  • 内存转储
  • 事件日志
  • 具体文件夹内容
  • 注册表单元

EDR解决方案的检测和响应能力与传统端点保护解决方案有所不同。现代EDR引入了更先进的检测技术。

---

请回答以下问题。

EDR 的哪项功能可以帮助您根据已知的恶意行为识别威胁？

# 静态分析，直接匹配已知的IOC
IOC matching

调查EDR上的警报

设想

您是TECH THM的一名SOC分析师，拥有EDR控制台的访问权限，并已收到多条中高危安全事件的检测结果。您的任务是利用EDR中可用的信息对每条检测结果进行分类，并回答一系列与这些检测结果相关的问题。

---

请回答以下问题。

CMD.exe 启动了哪个工具来在 DESKTOP-HR01 上下载有效载荷？

CURL.exe

DESKTOP-HR01 机器上下载的恶意软件的绝对路径是什么？

C:\Users\Public\install.exe

---

WIN-ENG-LAP​​TOP03 机器上可疑的 syncsvc.exe 的绝对路径是什么？

C:\Users\haris.khan\AppData\Local\Temp\syncsvc.exe

---

WIN-ENG-LAP​​TOP03 上的数据泄露尝试是通过哪个 URL 进行的？

https://files-wetransfer.com/upload/session/ab12cd34ef56/dump_2025.dmp

---

DESKTOP-DEV01 上的威胁情报将 UpdateAgent.exe 标记为什么？

# 已知的内部IT实用工具
Known internal IT utility tool

结论

恭喜！我们已经学习了安全运营中心 ( SOC )的一项关键工具——端点检测与响应 ( EDR )。作为SOC分析师，我们现在了解了EDR的基本架构及其除防病毒之外的功能。我们探索了EDR提供的详细遥测数据，也了解了EDR解决方案强大的检测和响应能力。最后，我们还练习了在模拟EDR 环境中调查一些检测结果。

SIEM简介

介绍

安全信息和事件管理系统 ( SIEM ) 是安全运营中心(SOC)分析师使用的核心安全解决方案。在本课程中，我们将学习网络中不同设备如何生成日志，以及为什么集中式解决方案对于收集、规范化和关联这些日志至关重要。

• 学习目标
  • 了解不同类型的日志源
  • 找出使用隔离日志的局限性
  • 认识到安全信息和事件管理 (SIEM)解决方案的重要性
  • 探索SIEM解决方案的功能
  • 了解各种类型的日志源及其在安全信息和事件管理(SIEM) 系统中的摄取方式。
  • 了解警报和警报分析背后的流程

---

请回答以下问题。
SIEM 代表什么？

Security Information and Event Management system

到处都是日志，却找不到答案。

到处都是日志

网络中的多个设备彼此通信，并且大多数情况下通过路由器与互联网通信。下图展示了一个简单的网络示例，该网络包含多个基于Linux /Windows 的终端设备、一台数据服务器和一个网站。

这些设备会持续生成其内部活动日志。我们也可以称这些设备为日志源。它们生成的日志记录了所有活动，对于识别恶意活动或进行一般故障排除极其有用。这些日志源主要分为两类，下文将对此进行讨论。

1）以主机为中心的日志源

这些日志源捕获主机内部或与主机相关的事件。生成以主机为中心的日志的设备包括 Windows、Linux服务器等。以下是一些以主机为中心的日志示例：

• 正在访问文件的用户
• 用户正在尝试进行身份验证。
• 流程执行活动
• 添加/编辑/删除注册表项或值的过程。
• PowerShell执行

2）网络中心日志源

当主机之间通信或访问互联网访问网站时，会生成网络相关日志。生成网络日志的设备包括防火墙、入侵检测/防御系统(IDS / IPS)、路由器等。以下是一些网络日志的示例：

• SSH连接
• 正在通过FTP访问文件
• 网络流量
• 用户通过VPN访问公司资源。
• 网络文件共享活动

这些以主机为中心和以网络为中心的日志源共同作用，在网络中不断生成大量日志。

无处可寻答案

到目前为止，日志源生成日志、我们分析日志并识别恶意活动的过程似乎非常简单。然而，事实并非如此。它面临着一些挑战。以下将讨论其中一些挑战：

• 众多日志源一个网络拥有众多日志源，每秒产生数百个事件。这些日志分散在不同的设备上，一旦发生事件，逐个检查每个设备上的日志将非常繁琐。
• 由于日志存储在生成它们的机器上，因此您可能需要通过SSH、RDP等方式连接到每个日志源，才能分析来自多个日志源的日志。这种方式效率极低，会浪费您宝贵的调查时间。
• 信息有限： 单个日志无法完整呈现事件经过。在任何事件中，不同日志源上的单个活动可能看起来无害。但如果将这些日志关联起来，则可能揭示完全不同的情况。例如，您观察到系统中发生了文件访问事件，这通常是正常的活动。但是，如果您关联不同的日志源，您可能会发现该文件是由一个用户访问的，该用户在入侵网络中的另一台机器后，通过横向移动访问了这台机器。
• 分析局限性： 日志源每秒生成大量日志，人工分析所有设备的所有日志以识别任何异常活动几乎是不可能的。实际上，由于日志数量庞大，分析人员在分析过程中会遗漏许多重要的日志。
• 格式问题： 不同的日志源会生成各种格式的日志。分析人员需要了解所有这些格式才能进行分析，这可能极其困难，尤其是在处理网络中众多日志源时。

在接下来的任务中，我们将学习一种可以解决所有这些问题的强大技术。

---

请回答以下问题。

注册表相关活动是以主机为中心还是以网络为中心？

# 主机为中心的日志源
host-centric

VPN相关活动是以主机为中心还是以网络为中心？

# 网络中心日志源
network-centric

为什么选择 SIEM？

在之前的任务中，我们了解了不同的日志源如何生成各种类型的海量日志，以及分析这些日志所面临的挑战。那么，我们如何才能更有效地管理这些海量数据并从中提取有价值的结果呢？

这时，安全信息和事件管理（ SIEM ）就发挥作用了。SIEM是一种安全解决方案，它从各种类型的日志源收集日志，将它们的格式标准化为一致的格式，将它们关联起来，并使用检测规则来检测恶意活动。

SIEM的特点

SIEM解决方案不仅解决了我们在上一项任务中讨论的问题，还提供了增强安全运营的功能。接下来，我们将讨论SIEM的一些核心功能。

• 集中式日志收集
  SIEM从所有来源（终端、服务器、防火墙等）收集日志，并将它们集中存储在一个位置。这些日志通过轻量级代理或 API 提取并导入到SIEM解决方案中。这解决了需要逐台机器分析日志的问题。
• 日志规范化原始日志格式和大小各不相同。Windows 日志与
  Linux日志的格式就截然不同。由于SIEM解决方案会将这些日志集中存储在一个位置，因此它还能确保所有日志都被分解成不同的字段，并以统一的格式呈现。将日志分解成多个字段以便于理解的过程称为解析，而将来自各种日志源的所有日志转换为统一格式的过程称为规范化。
• 日志关联：
  单个日志的用途有限。SIEM系统会关联来自不同来源的日志，并查找它们之间的任何关联。这有助于通过分析恶意活动的模式来识别恶意活动。例如，让我们看一下系统在 5 分钟内发生的以下活动。
  • 哈里斯通过VPN从一个他以前从未用过的 IP地址登录。
  • 哈里斯访问了共享驱动器上的一些文档。
  • Haris 执行了一个PowerShell脚本
  • 系统建立出站网络连接
    单独评估这些活动，看起来都没问题，但SIEM解决方案会将这些活动关联起来，这可能表明 Haris 的VPN凭证被盗用，导致潜在的数据泄露活动。
• 实时告警
  SIEM 系统能够根据其预设规则检测恶意活动。SIEM 系统默认包含许多规则。然而，分析人员会根据自身需求创建新的检测规则，以完善未来的检测能力。当这些检测规则的条件得到满足时，系统会触发告警并通知分析人员。分析人员随后可以在SIEM平台内调查这些告警。
• 仪表盘和报告仪表盘是任何
  SIEM 系统最重要的组成部分。SIEM在数据规范化和采集后，将其呈现以供分析。分析结果以可操作的洞察形式，借助多个仪表盘进行展示。每个SIEM解决方案都自带一些默认仪表盘，并提供创建自定义仪表盘的选项。以下是仪表盘中包含的一些信息：
• 警报要点
• 系统通知
• 健康警报
• 失败登录尝试列表
• 已接收事件计数
• 触发的规则
• 访问量最高的域名

下面展示的是使用Splunk SIEM创建的仪表板示例：

SIEM还有其他一些功能，我们这里就不详细介绍了。这些功能包括与威胁情报源集成、广泛的数据保留、强大的搜索功能等等。

日志源和摄取

日志源

网络中的每个设备在执行任何活动时都会生成某种日志，例如用户访问网站、连接到SSH、登录工作站等等。让我们来看看网络环境中一些常见设备的日志是什么样的。

Windows 机器

Windows 会记录所有可通过事件查看器查看的事件。它会为每种类型的日志活动分配一个唯一的 ID，方便分析人员进行检查和跟踪。要在 Windows 环境中查看事件，请 Event Viewer在搜索栏中输入相关内容。这将引导您进入存储和查看不同日志的工具，如下所示。来自所有 Windows 端点的这些日志都会转发到SIEM解决方案，以便进行监控并获得更好的可见性。

Linux机器

Linux 操作系统会存储所有相关日志，例如事件、错误、警告等。这些日志随后会被导入到SIEM 系统中进行持续监控。Linux存储日志的一些常见位置包括：

• /var/log/httpd：包含HTTP请求/响应和错误日志。
• /var/log/cron：与 cron 作业相关的事件存储在此位置。
• /var/log/auth.log 和 /var/log/secure：存储与身份验证相关的日志。
• /var/log/kern：此文件存储与内核相关的事件。

以下是 cron 日志示例：
定时任务日志

May 28 13:04:20 ebr crond[2843]: /usr/sbin/crond 4.4 dillon's cron daemon, started with loglevel noticeMay 28 13:04:20 ebr crond[2843]: no timestamp found (user root job sys-hourly)May 28 13:04:20 ebr crond[2843]: no timestamp found (user root job sys-daily) May 28 13:04:20 ebr crond[2843]: no timestamp found (user root job sys-weekly) May 28 13:04:20 ebr crond[2843]: no timestamp found (user root job sys-monthlyJun 13 07:46:22 ebr crond[3592]: unable to exec /usr/sbin/sendmail: cron output for user root job sys-daily to /dev/null

Web服务器

监控所有进出 Web 服务器的请求/响应对于防范任何潜在的 Web 攻击至关重要。在Linux 系统中，通常将所有与Apache相关的日志写入 /var/log/apache 或 /var/log/httpd 目录。

以下是Apache日志示例：
Apache日志

192.168.21.200 - - [21/March/2022:10:17:10 -0300] "GET /cgi-bin/try/ HTTP/1.0" 200 3395 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36"127.0.0.1 - - [21/March/2022:10:22:04 -0300] "GET / HTTP/1.0" 200 2216 "-" "curl/7.68.0"

日志摄取

所有这些日志都提供了丰富的信息，有助于识别安全问题。每种SIEM解决方案都有其自身的日志采集方式。以下将介绍一些SIEM解决方案常用的日志采集方法：

1. 代理/转发器
   这些SIEM解决方案提供了一种名为代理（Splunk称为转发器）的轻量级工具，该工具安装在终端设备上。它被配置为捕获所有重要日志并将其发送到SIEM服务器。
2. Syslog
   是一种广泛使用的协议，用于从各种系统（如 Web 服务器、数据库等）收集数据，并将实时数据发送到集中式目标。
3. 手动上传：
   某些SIEM解决方案，例如Splunk和ELK等，允许用户导入离线数据进行快速分析。数据导入后，会被进行规范化处理，并可用于分析。
4. 端口转发
   SIEM解决方案还可以配置为监听某个端口，然后端点将数据转发到监听端口上的SIEM实例。

下面展示了Splunk提供的各种日志采集方法示例：

---

请回答以下问题。

在Linux环境中，HTTP日志存储在哪个位置？

/var/log/httpd

警报流程与分析

触发警报背后的故事

我们了解到，SIEM解决方案通过关联来自日志源的日志来检测威胁并触发警报，但我们知道这些检测背后的奥秘吗？

SIEM解决方案包含用于捕获威胁的检测规则。这些规则在及时检测威胁方面发挥着重要作用，使分析人员能够及时采取行动。检测规则本质上是一系列逻辑表达式，这些表达式会在特定情况下被触发。以下是一些检测规则的示例：

• 如果用户在 10 秒内登录失败 5 次，则发出警报。Multiple Failed Login Attempts
• 如果在多次登录失败后终于成功登录，则发出警报。Successful Login After multiple Login Attempts
• 已设置规则，每当用户插入 USB 设备时发出警报（如果公司政策限制使用 USB 设备，则此功能很有用）。
• 如果出站流量大于 25 MB，则发出潜在数据泄露尝试警报（通常取决于公司策略）。

如何创建检测规则？

为了解释该规则的工作原理，请考虑以下事件日志使用案例：

用例 1：

攻击者通常会在后渗透阶段删除日志以消除踪迹。每当用户尝试删除或清除事件日志时，系统都会记录一个唯一的事件 ID 104。要基于此活动创建规则，我们可以按如下方式设置条件：

规则： 如果日志源为 WinEventLog且事件 ID 为 104，则触发警报Event Log Cleared

用例 2：

攻击者会在利用漏洞/权限提升阶段之后使用类似这样的命令whoami 。以下字段有助于将其添加到规则中。

• 日志源：确定捕获事件日志的日志源
• 事件 ID：哪个事件 ID 与流程执行活动相关联？在本例中，事件 ID 4688 将很有帮助。
• NewProcessName：哪个进程名称需要包含在规则中？

规则： 如果日志源为 WinEventLog 且 事件代码为 4688，并且 NewProcessName 包含whoami， 则触发警报。WHOAMI command Execution DETECTED

在前一个任务中，我们讨论了字段值对的重要性。检测规则会监控特定字段的值以触发检测。这就是为什么摄取规范化日志如此重要的原因。

警报调查

在监控SIEM时，分析师的大部分时间都花在仪表盘上，因为仪表盘以非常简洁的方式展示了网络的各种关键细节。一旦触发警报，分析师会检查与该警报关联的事件/流程，并检查规则是否满足哪些条件。根据调查结果，分析师会判断警报是真阳性还是假阳性。分析后执行的一些操作包括：

• 警报为误报。可能需要调整规则以避免再次出现类似的误报。
• 警报确认为真阳性。请进行进一步调查。
• 联系资产所有者询问相关活动情况。
• 已确认存在可疑活动。隔离受感染宿主。
• 屏蔽可疑IP地址。

---

请回答以下问题。

删除事件日志时会生成哪个事件 ID？

104

哪些类型的警报可能需要调整？

# 误报
False Positive

实验室工作

请回答以下问题。

点击“开始可疑活动”按钮后，是哪个进程触发了警报？

cudominer.exe

---

找出引发警报的事件，并确定负责执行该流程的用户。

Chris

可疑用户的主机名是什么？

HR_02

检查规则和可疑流程；哪个术语与引发警报的规则相匹配？

# 挖矿
miner

以下哪个选项最能代表该事件？请从以下选项中选择：
假阳性
真阳性

True Positive

选择正确的操作将显示标志。标志是什么？

THM{000_SIEM_INTRO}

Splunk基础知识

了解安全运营中心分析师如何使用 Splunk 进行日志调查。

介绍

Splunk是市场上领先的SIEM解决方案之一。它允许用户实时收集、分析和关联网络及机器日志。在本次会议中，我们将探讨Splunk的基础知识及其功能，以及它如何提供更清晰的网络活动可见性并帮助加快安全检测速度。

• 学习目标
  本教室涵盖以下学习目标：
  • 了解Splunk的组成部分
  • 探索Splunk中的一些可用选项
  • 了解Splunk中的日志摄取
  • 实际上，我们正在将一些日志导入Splunk并进行分析。

Splunk组件

Splunk由三个主要组件构成：转发器、索引器和搜索头。这些组件协同工作，帮助我们搜索和分析数据。以下将详细介绍这些组件：

Splunk转发器

Splunk Forwarder 是一个轻量级代理，安装在待监控的终端设备上，其主要任务是收集数据并将其发送到Splunk实例。由于它仅占用少量资源，因此不会影响终端设备的性能。一些关键数据源包括：

• 网络服务器生成网络流量。
• Windows 机器生成 Windows 事件日志、PowerShell和Sysmon数据。
• Linux主机生成以主机为中心的日志。
• 数据库生成数据库连接请求、响应和错误。
  

转发器从日志源收集数据并将其发送到Splunk索引器。

Splunk索引器

Splunk Indexer 在处理从转发器接收的数据方面发挥着主要作用。它将数据解析并规范化为字段-值对，对其进行分类，并将结果存储为事件，从而使处理后的数据易于搜索和分析。

现在，经过索引器规范化和存储的数据，可以通过搜索头进行搜索，如下所述。

搜索头

Splunk搜索头是搜索与报告应用程序中用户可以搜索已索引日志的位置，如下所示。搜索使用SPL（搜索处理语言）完成，SPL 是一种功能强大的查询语言，用于搜索已索引的数据。当用户执行搜索时，请求会发送到索引器，并将相关事件以字段-值对的形式返回。

搜索头还允许您将搜索结果转换为可展示的表格和可视化图表，例如饼图、条形图和柱状图，如下所示：

---

请回答以下问题。
用于通过 Splunk 实例收集和发送数据的组件是哪个？

# 转发器
Forwarder

浏览 Splunk

当您访问Splunk时，您将看到如下所示的默认主屏幕：

让我们来看一下主屏幕的每个部分。

Splunk Bar

顶部面板是Splunk Bar 
在Splunk工具栏中，我们提供以下选项：

• 消息： 查看系统级通知和消息。
• 设置： 配置Splunk实例设置。
• 活动： 审查搜索职位和流程的进展情况。
• 帮助： 查看教程和文档。
• 查找： 在整个应用程序中进行搜索。
  Splunk Bar 允许用户在已安装的Splunk应用程序之间切换，而无需使用应用程序面板。

应用面板

接下来是应用面板。此面板显示Splunk实例中已安装的应用。每个Splunk安装的默认应用都是 “搜索与报告”。

您还可以直接从Splunk工具栏切换Splunk应用程序，如下所示，而无需使用应用程序面板。

探索Splunk

下一部分是 “探索Splunk” 。此面板包含用于向Splunk实例添加数据、添加新的Splunk应用以及访问Splunk文档的快速链接。

Splunk仪表板

最后一个部分是“首页仪表盘” 。默认情况下，不显示任何仪表盘。您可以从Splunk实例中预先提供的多种仪表盘中进行选择。您可以从下拉菜单中选择仪表盘，也可以访问仪表盘列表页面进行选择。

您还可以创建仪表盘并将其添加到首页仪表盘。点击 “您的” 选项卡，即可将您创建的仪表盘与其他仪表盘分开查看。

请点击https://docs.splunk.com/Documentation/Splunk/8.1.2/SearchTutorial/NavigatingSplunkSplunk文档中的“Splunk 导航”部分。

---

请回答以下问题。
在“添加数据”选项卡中，哪个选项用于从文件和端口收集数据？

# 监视器
Monitor

添加数据

Splunk可以摄取任何类型的数据。根据Splunk文档，当数据添加到Splunk时，数据会被处理并转换为一系列独立的事件。数据源可以是事件日志、网站日志、防火墙日志等等。数据源会被分组到不同的类别中。

下面这张图表来自Splunk文档，详细列出了每个数据源类别。

在这个任务中，我们将重点关注 VPN日志。点击Splunk主页Add Data上的链接后，我们会看到以下屏幕。

我们将使用此Upload选项从本地计算机上传数据。

VPN_logs点击下方按钮下载日志文件Download Task Files，并将其上传到我们在任务 2 中启动的 Splunk 实例。如果您使用的是 AttackBox，则日志文件位于该/root/Rooms/SplunkBasic/目录中。
（已下载，打开当前笔记的目录，文件名为：VPN-logs-1663593355154.json）
要成功上传数据，您必须按照以下五个步骤操作：

1. 选择来源： 选择日志文件和数据源。
2. 选择源类型： 选择要摄取的日志类型，例如JSON、syslog。
3. 输入设置： 选择要转储这些日志的索引以及要与日志关联的主机名。
4. 复查： 检查所有配置。
5. 完成： 上传完成。您的数据已成功上传，可以进行分析了。

---

请回答以下问题。

请上传此任务附带的数据 ，并创建一个名为“VPN_Logs”的索引。日志文件中有多少条事件记录？

# 使用SPL ： index="vpn_logs"
2862

---

用户 Maleena捕获了多少条日志事件？
先看字段都有哪些，你会发现一个UserName的字段，所以我们筛选这个即可

# 使用SPL语句：index="vpn_logs" | where UserName="Maleena"
60

---

与 IP 地址 107.14.182.38 关联的用户名是什么？
查看字段，可以发现有关ip字段的是Source_ip

# 使用SPL语句查询： 
Smith

查完后看UserName即可看到这个ip下对应的用户是Smith

---

除法国以外的所有国家共举办了多少场活动？
我们看回字段，发现有一个字段是有关国家的Source_Country

# 使用SPL筛选即可：index="vpn_logs" | where Source_Country!="France" 
2814

---

与 IP 地址 107.3.206.58 关联的 VPN 事件有多少个？

# 筛选：index="vpn_logs" | where Source_ip="107.3.206.58"
14

Elastic Stack基础知识

在这个房间里，我们将学习如何使用Elastic Stack ( ELK ) 进行日志分析和调查。虽然ELK不是传统的SIEM系统，但由于其强大的数据搜索和可视化功能，许多安全运营中心 (SOC)团队都将其用作 SIEM 系统。我们将探索ELK的各个组件，并学习如何通过它进行日志分析。我们还将学习如何在ELK中创建可视化图表和仪表板。

学习目标

本教室的学习目标如下：

• 了解ELK的组成部分及其在SOC中的应用
• 探索ELK的不同功能
• 学习如何在ELK中搜索和筛选数据
• 分析VPN日志以识别异常情况
• 熟悉如何在ELK中创建可视化和仪表板

Elastic Stack 概述

Elastic Stack ( ELK ) 最初开发的目的是为了存储、搜索和可视化大量数据。企业使用它来监控应用程序性能并对大型数据集执行搜索。随着时间的推移，其功能也使其在安全运营领域广受欢迎。如今，许多安全运营中心 (SOC)团队几乎将ELK用作安全信息和事件管理(SIEM)解决方案。

Elastic Stack 是一系列不同的开源组件的集合，这些组件协同工作，可以从任何来源收集数据，存储和搜索数据，并实时可视化数据。

在学习如何通过ELK进行日志分析之前，我们先来讨论一下它的核心组件。

注意： 作为安全运营中心 (SOC)分析师，您的主要职责是使用ELK进行日志分析和调查。您无需精通ELK各个组件的工作原理，但对这些组件的基本概念有所了解至关重要。

1. Elasticsearch

第一个组件Elasticsearch是一个用于JSON格式文档的全文搜索和分析引擎。它存储、分析和关联数据，并支持用于与之交互的RESTful API 。

2. Logstash

Logstash是一个数据处理引擎，它从不同来源获取数据，对其进行过滤或规范化处理，然后将其发送到目标位置，例如Kibana或监听端口。Logstash配置文件分为三个部分，如下所示。

1. 输入部分是用户定义数据来源的地方。
2. 过滤器部分是用户指定过滤器选项以规范化上述摄取的日志的地方。
3. 输出部分是用户希望将过滤后的数据发送到的位置。它可以是监听端口、Kibana界面、Elasticsearch数据库或文件。

Logstash支持多种输入、输出和过滤器插件。

3. Beats

Beats 是基于主机的代理，也称为数据发送器，负责将数据从端点发送到Elasticsearch。每个 Beats 都是一个单一用途的代理，专门向Elasticsearch发送特定数据。所有可用的 Beats 如下所示。

4.Kibana

Kibana是一款基于 Web 的数据可视化工具，它与Elasticsearch协同工作，能够实时分析、调查和可视化数据流。它允许用户创建多种可视化图表和仪表板，从而获得更清晰的数据可视化效果。以下任务将详细介绍Kibana 。

它们如何协同工作

现在我们已经了解了 Elastic Stack 的所有组件，接下来让我们逐步了解这些组件是如何协同工作的：

• Beats从多个代理收集数据。例如，Winlogbeat 收集 Windows 事件日志，Packetbeat 收集网络流量。
• Logstash从 beats、端口或文件中收集数据，将其解析/规范化为字段值对，并将它们存储到Elasticsearch中。
• Elasticsearch 用作数据库，用于搜索和分析数据。
• Kibana负责显示和可视化存储在Elasticsearch中的数据。使用Kibana ，可以轻松地将存储在Elasticsearch中的数据制作成各种可视化图表，例如时间图表、信息图等。
  

---

请回答以下问题。

Logstash 用于数据可视化。(yay / nay)

nay

Elasticstash 支持除 JSON 之外的所有数据格式。(yay / nay)

nay

KQL概述

使用KQL，我们可以通过两种不同的方式搜索日志。

• 自由文本搜索
• 基于实地的搜索

自由文本搜索

自由文本搜索允许用户仅根据文本搜索日志。这意味着，security无论日志位于哪个字段，只需简单搜索某个词条，即可返回包含该词条的所有文档。让我们在搜索栏中输入文本United States。它将返回包含该词条的所有日志，无论其位置或字段如何。如下所示，此次搜索返回了 2304 条结果。

如果我们只搜索这个词呢 United？你觉得会返回结果吗？

由于KQL会在文档中查找整个术语/单词，因此没有返回任何结果。

KQL允许使用通配符*匹配单词的一部分。让我们来看看如何在搜索查询中使用此通配符。

搜索查询： United*

我们使用通配符United 来返回包含“United”及其后任何词语的所有结果。如果我们有包含“.”的日志，United Nations它也会因为这个通配符而返回这些日志。

逻辑运算符 (AND | OR | NOT)

KQL还允许用户在搜索查询中使用逻辑运算符。让我们来看下面的示例。

---

1. AND
在这里，我们将使用AND"United States"运算符创建一个搜索，返回包含术语and 的 日志"Virginia"。
搜索查询： "United States" AND "Virginia"

---

2. OR

我们将使用OR运算符来显示包含“或United States”的日志England。

搜索查询： "United States" OR "England"

---

3. NOT

同样，我们可以使用NOT运算符从搜索结果中移除特定词语。例如，以下搜索查询将显示来自****美国（包括所有州）的日志，但忽略佛罗里达州。

搜索查询： "United States" **AND NOT** ("Florida")

---

在基于字段的搜索中，我们需要提供字段名称和要在日志中查找的值。这种搜索方式的语法比较特殊Field: Value，它使用冒号作为字段和值之间的分隔符。下面我们来看几个例子。

搜索查询： Source_ip : 238.163.231.224 AND UserName : Suleman

说明： 我们告诉Kibana显示所有字段 包含Source_ip该值238.163.231.224 且UserName为 的 日志Suleman，如下所示。

创建可视化

可视化选项卡允许我们以不同的形式（例如表格、饼图、条形图等）可视化数据。此可视化任务将使用此选项卡提供的多种选项来创建一些简单易懂的可视化图表。

有几种方法可以导航到可视化选项卡。一种方法是单击“发现”选项卡中的任意字段，然后单击如下所示的可视化图表。

我们可以通过选择表格、饼图等选项来创建多种可视化效果。

相关性选项

我们经常需要创建多个字段之间的关联。将所需字段拖到中间即可在可视化选项卡中创建一个关联选项卡。这里，我们选择“Source_Country客户”作为第二个字段，以显示客户之间的关联Source_IP。

我们还可以创建一个表格，将所选字段的值显示为列，如下所示。

创建这些可视化图表最重要的步骤是保存它们。为此，请点击右侧的保存选项，并填写下面的描述性数值。

创建可视化图表后需要采取的步骤：

• 创建可视化图表，然后点击右上角的“保存”按钮。
• 为可视化图表添加标题和描述。
• 完成后，点击“保存”并添加到库中。

连接失败尝试可视化

我们将利用以上所学知识创建一个表格，显示失败尝试中涉及的用户和 IP 地址。

创建仪表盘（Dashboard）

仪表盘能够清晰地展示日志收集情况。用户可以创建多个仪表盘来满足特定需求。在本任务中，我们可以组合不同的已保存搜索和可视化效果，创建一个用于查看VPN日志的自定义仪表盘。

创建自定义仪表盘

现在，我们已经保存了一些Searches仪表板Discover tab，创建了一些 仪表板Visualizations并保存了它们。接下来，我们将探索仪表板选项卡并创建一个自定义仪表板。创建仪表板的步骤如下：

• 前往Dashboard tab并点击Create dashboard.
  
• 点击Add from Library.
• 点击可视化图表和已保存的搜索。它将被添加到仪表板中。
• 添加完项目后，请按如下所示进行相应调整。
• 完成后别忘了保存仪表盘。
  

---

恭喜！我们已经了解了 Elastic Stack ( ELK )，这是一款在安全运营中心 ( SOC ) 中广泛使用的工具。作为SOC分析师，我们现在了解了ELK 的工作原理，它虽然不是传统的SIEM 系统，但被SOC团队广泛用作SIEM解决方案。

我们探索了ELK的关键组件，包括收集、解析、搜索和显示海量日志。我们还了解了它强大的日志搜索功能。我们扮演了安全运营中心（SOC）分析师的角色，并使用ELK分析了某个组织的VPN日志。最后，我们练习了如何在ELK中创建可视化图表和仪表板，从而提供了一个统一的界面来检测恶意模式。

SOAR简介

介绍

为了防御攻击，安全运营中心 (SOC)团队依赖于各种安全解决方案，例如安全信息和事件管理(SIEM)、端点检测与响应(EDR)、防火墙和威胁情报平台。他们还会与 IT 团队和管理团队进行沟通，这是其工作流程的一部分。然而，随着威胁变得越来越复杂和高级，SOC团队面临着诸多挑战，例如警报疲劳、手动流程、工具过多且彼此独立以及团队间沟通困难等。

在这个房间里，我们将探讨安全编排、自动化和响应 ( SOAR ) 工具如何帮助SOC团队克服这些挑战。

• 学习目标
  • 了解传统安全运营中心及其挑战
  • 探索SOAR如何克服这些挑战
  • 学习SOAR剧本
  • 实际演示威胁情报工作流程

传统SOC及挑战

传统安全运营中心的工作原理

在深入了解SOAR工具之前，让我们先来看看传统的安全运营中心 ( SOC ) 的工作原理以及它们面临的挑战。

组织机构通常会设立安全运营中心 ( SOC )，作为集中监控和保护其数字资产的场所。SOC 随着时间的推移不断发展演进，每一代都会引入新技术。组织机构设立SOC的主要优势在于，通过持续的监控和分析来增强其安全事件处理能力。这可以通过合理配置人员、流程和技术来实现，从而支持SOC的能力和业务目标。

SOC的一些关键功能包括以下方面：

• 监控与检测： 这部分工作侧重于持续扫描并标记网络环境中的可疑活动。它有助于了解新出现的威胁以及如何在早期阶段进行预防。监控主要通过安全信息和事件管理 (SIEM)系统完成。 
  例如，检测关键工作站上的大量登录失败尝试，或检测来自未知位置的登录等。
• 恢复与补救： 组织依靠其安全运营中心( SOC)在安全事件发生时提供恢复和补救中心。SOC团队作为第一响应者，在识别出网络威胁时立即采取行动。他们执行的操作包括隔离或关闭受感染的终端、清除恶意软件以及停止恶意进程。在此过程中，他们通常会利用其他安全解决方案，例如端点检测与响应(EDR)、防火墙、身份与访问管理 (IAM)等。 例如，通过EDR隔离终端、在防火墙上阻止 IP 地址、在IAM上禁用用户等。
• 威胁情报： 持续监控环境需要源源不断的威胁情报。这确保安全运营中心 (SOC)团队能够获得持续且最新的威胁数据，例如 IP 地址、哈希值、域名和其他指标。 
  例如，阻止威胁情报源标记的恶意域名。
• 沟通： 安全运营中心 (SOC)团队不仅负责检测和应对威胁，还与 IT 团队和管理层协调，有效沟通威胁信息，确保事件得到妥善处理。
  例如，生成工单供 IT 团队验证最近部署的补丁。

你可以看到安全运营中心 (SOC)如何使用多种工具并与各个团队沟通协作来执行其流程。虽然这些流程能够保护组织的安全，但SOC团队也常常面临一些挑战。让我们来探讨一下这些挑战。

安全运营中心面临的挑战

• 警报疲劳：使用过多的安全工具会在安全运营中心 (SOC)内触发大量警报。其中许多警报是误报或不足以进行调查，导致分析人员不堪重负，无法处理任何严重的安全事件。
• 工具过多且彼此独立： 安全工具通常在组织内部部署时缺乏集成。安全团队需要处理防火墙日志和规则，而这些日志和规则与终端安全日志的处理方式截然不同。这也导致了工具过多，最终造成系统过载。
• 人工流程：安全运营 中心 (SOC) 的调查程序通常没有文档记录，导致应对威胁的效率低下。大多数 SOC 依赖于经验丰富的分析师积累的经验知识，而这些流程从未被记录下来。这导致调查速度减慢，响应时间延长。
• 人才短缺： 安全运营中心 (SOC)团队发现，在应对日益严峻的安全形势和复杂威胁方面，招聘和扩充人才库十分困难。加之团队面临的警报过载问题，安全分析师的职责越来越繁重，导致工作效率降低，事件响应时间延长，从而使攻击者有机会在组织内部肆意破坏。

---

请回答以下问题。

您如何描述安全运营中心 (SOC) 内触发过多安全事件的体验？

# 告警疲劳，太多告警要处理啦！还很多都是fp
Alert Fatigue

利用SOAR克服SOC挑战

在上一项任务中，我们了解了安全运营中心 ( SOC ) 面临的一些挑战。在本任务中，我们将学习一款可以帮助SOC团队克服这些挑战的工具。这款工具名为安全编排、自动化和响应 ( SOAR )。接下来，我们将探讨这款工具的功能以及它如何应对这些挑战。

SOAR是什么？

安全编排、自动化和响应 ( SOAR ) 是一款整合安全运营中心 (SOC)中使用的所有安全工具的工具。借助SOAR，SOC分析师无需在安全信息和事件管理(SIEM)、端点检测与响应(EDR)、防火墙和其他安全工具之间切换即可进行调查。他们可以在单一的SOAR界面中操作所有这些工具。除了整合安全工具外，SOAR 还为分析师提供工单和案例管理功能，使他们能够以结构化的方式记录、跟踪和解决安全事件。

SOAR工具的核心优势来自于以下三个主要功能：

1. 管弦乐编排

传统上，在调查安全警报时，SOC分析师需要在多个安全工具之间切换进行分析。例如，在VPN暴力破解攻击中，分析师通常会在以下工具之间切换：

1. SIEM 会检查用户是否通常使用该 IP 地址进行日志记录。
2. 威胁情报 (TI) 平台用于验证 IP 地址的信誉
3. 如果尝试成功， IAM 工具将禁用该用户。
4. 用于开启和跟踪事件的工单系统

手动切换不同的工具会降低流程速度。编排通过在SOAR中协调所有这些工具来解决这个问题。它将来自不同供应商的不同工具连接到统一的SOAR界面中。它定义了用于调查各种类型警报的工作流程，称为 “剧本”。这些剧本是预定义的步骤，用于告诉SOAR如何调查警报。

例如，我们上面讨论的VPN暴力破解警报将遵循以下策略：

1. 收到来自SIEM的警报
2. 查询SIEM 系统以检查用户是否正常使用该 IP 地址
3. 检查TI平台以了解该IP的信誉度
4. 查询SIEM 系统，查看是否有任何成功的登录记录
5. 升级至遏制措施

上述操作已预先定义在针对特定警报的剧本中。这些剧本是动态的，通常包含不同的路径。每个步骤的结果决定了下一步的操作。例如，如果用户通常使用该 IP 地址，且失败尝试次数极少，则剧本可能会提前停止。在接下来的任务中，我们将讨论一些实际的剧本示例。

2. 自动化

我们在编排课程中学习的通过预定义操作（剧本）协调多个工具的技巧可以实现自动化。自动化意味着安全运营中心(SOC)分析师无需再进行手动点击操作。安全运营自动化与响应(SOAR)将自动遵循剧本执行。让我们继续探讨结合自动化功能的VPN暴力破解警报剧本。

1. SOAR从SIEM接收到警报
2. 它会自动向安全信息和事件管理 (SIEM)系统查询用户的历史登录记录。
3. 它通过TI平台自动验证IP的信誉。
4. 如果 IP 地址恶意，系统会自动禁用该用户的IAM 权限。
5. 最后，它会自动在工单系统中创建一个包含所有详细信息的工单，以便启动调查。

这为安全运营中心（SOC）分析师节省了大量时间。他们可以处理数百条警报而不会精疲力竭。

3. 回应

SOAR允许用户通过一个统一的界面使用不同的工具执行操作。正如我们之前在了解其自动化功能时所看到的，它还能自动执行响应。例如，SOAR可以按照VPN暴力破解的剧本，在防火墙上阻止 IP 地址，在IAM中禁用用户，并创建包含所有详细信息的工单。

SOAR的编排、自动化和响应功能解决​​了SOC团队面临的主要挑战。借助SOAR，告别了告警疲劳，大部分流程实现了自动化，所有不同的工具都连接起来进行协调。

我们还需要安全运营中心分析师吗？

虽然安全运营自动化与响应 (SOAR)工具可以自动化大部分重复性任务，但它并不能取代安全运营中心 (SOC)分析师。复杂的调查仍然需要SOC分析师。SOAR在某些关键点上无法做出判断，但分析师可以。SOC分析师能够从更广泛的业务角度理解威胁。不同类型警报的操作手册也由SOC分析师制定。因此，这个问题的答案是：SOAR可以通过自动化重复性任务并将所有内容组织在一个简化的结构中来减轻SOC的负担，但我们仍然需要SOC分析师。

---

请回答以下问题。

将安全工具和系统连接并集成到无缝工作流程中的行为被称为？

# 管弦乐编曲, 管弦乐作曲法
Orchestration

我们如何称呼用于处理事件的预定义操作列表？

# 剧本
Playbook

构建SOAR行动手册

在上一项任务中，我们学习了SOAR剧本如何作为预定义的工作流程，指导SOAR工具在特定调查期间采取哪些操作。SOC分析师会针对一类常见的重复性警报创建剧本。接下来，我们来看两个不同的剧本示例，一个用于应对网络钓鱼攻击，另一个用于应对CVE漏洞补丁。

网络钓鱼剧本

网络钓鱼攻击仍然是安全漏洞中最常见的攻击手段。然而，对于安全分析师而言，调查钓鱼邮件往往耗时费力，需要手动操作，例如分析附件和 URL，并通过威胁情报平台进行验证。在其他调查进行的同时，安全运营自动化与响应(SOAR)解决方案可以通过预先设定的剧本在后台执行这些任务。此外，一旦识别出钓鱼邮件，还可以立即进行补救。

那么，这套策略手册会是什么样的呢？

假设您是一位经验丰富的安全运营中心 (SOC)分析师，专门处理网络钓鱼警报。您正在培训一位初级分析师如何应对网络钓鱼警报。为此，您绘制了一张流程图，供他们在调查此类警报时参考。为了更好地帮助您的初级分析师，您会在流程图中添加哪些内容？从收到“收到可疑电子邮件”的警报开始，您可能会告诉他们接下来应该采取哪些步骤。他们应该创建一个工单，并检查电子邮件是否包含 URL 或附件。如果没有，只需通知用户；如果有，下一步该怎么做？后续步骤将取决于邮件是否包含 URL 或附件。因此，流程图中会包含大量的“如果发生这种情况，则执行此操作；否则，执行此操作”的指令。这就是钓鱼应对手册的制作方式。下图展示了一个钓鱼应对手册，说明了在每个步骤中应该做什么。

CVE补丁手册

CVE （通用漏洞披露）是指已公开披露并分配有CVE编号的漏洞。作为漏洞管理的一部分，SOC团队必须处理新发布的 CVE，验证其是否存在于网络中，如果存在则进行修补。分析师必须时刻关注有关新 CVE 及其修复计划的发布信息。这个过程可能会变得非常繁琐，导致积压的 CVE 数量不断增加，补丁程序无法及时应用，从而使环境更加脆弱。此外，由于 CVE 发布频繁，这个过程会占用SOC团队大量的时间和资源。因此，为了解决这个问题，我们可以像处理网络钓鱼案例一样，在SOAR工具中创建一个处理 CVE 的剧本。

本操作手册将分析CVE 的详细信息，评估其风险阈值，创建补丁工单，并在将补丁推送至生产环境之前进行测试。以下是一个用于CVE补丁的操作手册示例。

注： 请点击图片放大。

正如您在两个操作手册的流程图中所见，大部分步骤都已自动化，但仍有一些环节需要安全运营中心(SOC)分析师的参与。这表明，尽管安全运营自动化与响应 (SOAR)减少了重复性的人工操作负担，但SOC分析师在关键决策和验证方面仍然发挥着至关重要的作用。

---

请回答以下问题。

在SOAR工作流程中，手动分析是否至关重要？ Yay or Nay?

Yay

CVE补丁程序从哪里获取新的CVE？

Advisory lists

在 CVE 补丁程序中，如果在部署补丁后仍然发现资产存在漏洞，SOC 接下来应该采取什么措施？

# 缓解计划
mitigation plan

威胁情报工作流程实践

设想

您所在的安全运营中心(SOC)团队最近遭遇了一起大型安全漏洞调查，由于缺乏自动化，调查耗时过长。您的朋友 McSkidy 最近建议采用安全运营自动化与响应 (SOAR)并设置自动化工作流程（也称为剧本）来辅助安全调查。McSkidy 向您发送了一份威胁情报集成工作流程的清单，您的任务是弄清楚它的工作原理。

调整后点击运行即可

THM{AUT0M@T1N6_S3CUR1T¥}