以風險為基礎的警示：SIEM 的新境界

如果您還沒有聽說過什麼是在 SIEM 環境中以風險為基礎的警示 (RBA, risk-based alerting)，那麼在閱讀本文時，您將了解為什麼巴不得它已經在環境中運作了，無論您是分析師、工程師或專案負責人。

在 2018 年奧蘭多市一個陽光明媚的日子，Splunk 的 Jim Apger 和 Stuart McIntosh (現任職於 Outpost Security) 為 Splunk .conf 大會發表了一篇關於 RBA 的演說，當場讓我的思緒天馬行空地飄了起來。RBA 方法已經廣為使用在其他情況了，但由於某種原因，它尚未被運用在一個可以真正發揮作用的 SIEM 產品中。借助 Splunk 處理語言 (SPL) 的彈性，他們在演講中展示了如何簡單地建立一些欄位來將物件的資訊綁在一起，然後在資訊中新增安全中繼資料，並使用摘要索引將它們打包在一起。從 Splunk Enterprise Security 6.4 開始，RBA 就已經整合到關聯性搜尋中，因此只要您花一點時間建立框架基礎，就可以立即啟動並開始運作。

從奧蘭多回來後，我對藍隊工作的未來有了新的希望。正如任何熟悉內容工程的人知道的，您必須花費數小時來盡可能嚴格地在有價值的偵測結果中篩選以排除一般的業務流量，而且即使透過精心調整的偵測來填補每一個缺口，仍會增加分析人員的工作量。我在 RBA 中看到的既是一種警示數量解決方案，也是一種追蹤複雜、互連的攻擊者活動的方法。我看到所有厲害、成熟的安全團隊都將時間用來執行許多 SOC 沒空進行的威脅捕獵。

當團隊能夠花時間建立 RBA 並實現這個願景時，可以獲得許多優點。如警示數量固定減少 50-90%，警示保真度大大提高，我們經常看到甚至在 RBA 完全投入運作之前就能偵測到紅隊活動。MITRE ATT&CK 框架包含大量內容，只能用包含雜訊資料的偵測來解決。最重要的是，RBA 所省下的時間、安全成熟度能力和營運解決方案，可為組織帶來一連串的變化。當廠商做出重大承諾時，我通常是第一個持懷疑態度的人，但 RBA 更像是一種方法，您可以自訂和建立以解決您的獨特問題。有時，當您釋放一個卡住的齒輪時，可以讓其他齒輪再次轉動。

我計劃在接下來的幾週內陸續發表後續文章，討論您在 RBA 之旅中可能遇到的階段 (和潛在的陷阱)。但首先，我想我應該先回答：「RBA 能做什麼，它到底是什麼？」

RBA 對我有什麼好處？！
我不想虛張聲勢，但是您不知道我是多麼迫不及待地想告訴您，它真是好的令人難以置信。

(咳)。這就是 RBA 對我的意義。

因此，無論您是誰，RBA 都可以為您帶來以下好處。

專案負責人
我知道您四周圍繞著各種廠商宣傳和指標，所以再來一個有望實現轉型的作法聽起來不見可信。除非這個作法一再被證明真的非常有效。RBA 可以：
• 減少保真度低、耗時的警示。這意味著您的安全部門將有更多時間進行更有價值的活動，例如威脅捕獵、攻擊者模擬和開發安全內容。
• 與 MITRE ATT&CK、Lockheed Martin 獵殺鏈或 CIS20 等網路安全框架保持一致。您可以藉此量化環境中有哪些需要填補的缺口，並授權員工以最快速度處理它們。
• 能夠滿足並超越許多安全稽核要求，使稽核作業更加順暢。

工程人員
工作上總是有無數的要求、不切實際的垂直或橫向期許，一天中幾乎沒有時間可以處理您自己的寵物專案 (來幫助解決巨大缺口或效率低下的問題)。我告訴您，不妨讓 RBA 成為您的寵物專案。如果您不用無止盡地微調和調整以獲得數量少且高保真的警示時，內容開發速度會快得多。RBA 代表：
• 您可以從吵雜的安全資料來源中獲得有用的資訊，藉此可以建立過去力有未逮的各種偵測。
• 一種彈性的風險偵測和警示方法，可防止您無止盡地將主機列入白名單並調整邏輯，就只是為了避免警示壓垮 SOC。
• 您可以建立零風險事件，這些事件僅在與其他行為一起出現時或僅在某些情況下才會增加風險。

分析人員
警示。就是。那麼。多。「每次」都必須搜尋多個來源來找出其他潛在的可疑活動是真正的苦差事。若能將所有動作串聯在一起並自動呈現結果，代表您將更有餘裕知道應該從哪裡開始。透過減少重複提醒，您將有更多時間做更有用的事情。有了 RBA：
• 警示中包含多個事件和更多相關內容，可提供有用的資訊來為您的調查做出初步假設。
• 威脅目標可讓您調查行為並檢視環境、業務部門或該使用者是否存在異常情況。
• RBA 的彈性和 SPL 的自訂功能，意味著您的回饋意見對於開發新功能、偵測和改善工作品質以進行調查和回應非常寶貴。

轉向使用 RBA 看似難度很高，但如果我們有合適的工具來和正確的專案負責人討論作法上的轉變，就會容易得多。我知道每個人都有很多事情要做，但希望這篇部落格文章能幫助播下一個可以繼續發展的種子。與所有相關團隊進行討論，可以讓大家都保持在相同 (或至少相似) 的思緒上，而且每個團隊都會對他們可能需要什麼有所了解，更重要的是，RBA 可以幫助他們解決哪些問題。您還可能會找到一些能夠看到 RBA 的潛力，並為環境尚未發現的問題預先找出解決方案的高手。

什麼是 RBA？
我們習慣的偵測是：我有一個日誌來源，我為該日誌來源上的一些潛在錯誤編寫了偵測邏輯，而且該偵測會發出警示。

有了 RBA 之後，我喜歡認為我們的偵測邏輯會提供觀察結果，然後我們用安全中繼資料標記這些觀察結果，並根據高權限使用者、服務外界的伺服器等感興趣的屬性調整評分。只有當出現足夠感興趣的觀察結果時才會發出警示。

讓我們進一步分解一下。

我們都熟悉使用某種評分來表示風險的可能性、嚴重性或緊迫性，而這只是風險狀態的一小部分。我喜歡使用的說法是不使用平面的一維偵測來尋找有惡意的程序 (因為我們可能需要花費數週時間調整以讓警示數量保持合理)，我只是保存對主機、使用者或某 ID 感興趣的任何內容，並將其放入該物件自己的特殊貯體中。只有當貯體中有足夠有趣的東西時，我才會建立警示。藉此，警示量會減少且保真度增加，這一點我們經常從客戶實作中看到 (且真正令人難以置信)。您仍然可以擁有高保真、始終可以調查的警示，但這種方法非常適合進行大量的偵測。

當我在該貯體中放入一些資訊 (我們稱之為 risk_object) 時，我不僅可以新增其他有用的安全中繼資料，例如 MITRE ATT&CK 策略/技術或資料來源，還可以使用該物件的資訊來調整評分。也許這是一部對外服務的實際執行伺服器或資料庫，或者這個系統有一個已知的漏洞，或者這個使用者的業務部門絕對不應該執行這些類型的命令。相反的，也許用戶的業務部門會定期執行這些類型的命令，那麼我們可以反向調整槓桿以略過這些特定命令。我最喜歡 RBA 的部分之一，是我們可以根據需要新增旋鈕和控制桿，藉此調整出現的警示而無需列入白名單。聽到人們用有趣的方法來解決特定問題，總是很令人興奮。

此外，RBA 將該 risk_object 的活動或行為儲存為 threat_object。這將成為一個有用的施力點，可以查看我們環境中是否有其他物件正在與此 IP 地址互動或執行此命令，進而為我們提供另一個觀點來檢視正常或不正常的活動。藉此可我們的日誌提供一個全新的觀點，以確定我們的物件正在做什麼或某些物件正在發生什麼。所以我可以將系統 acme-host 視為 risk_object 進行調查，或者查看它的 threat_objects：奇怪的 IP 地址 123.123.123.123、命令列 powershell.exe ExecuteMaybeBadThing，以及來自各種風險規則的檔案名稱 ReallySensitiveInfo.xlsx。

當我進行調整以查看有多少其他系統或使用者執行會出現警示的活動，或是在識別紅隊活動時一目了然地查看哪些風險物件和威脅物件互動時，這種作法很有幫助。還有一些有創意的方法可以建立威脅物件本身的警示，或者建立一些儀表板來按物件劃分風險指數，當成是一種威脅捕獵目標。

它有什麼用途？
您已經知道了它的運作原理——我希望您已經能將這些點串連起來，以便可以設計出一些機制——但是它能讓您做點什麼？帶來一些改變：
• 減少整體警示的數量，同時提高出現警示的保真度
• 允許客戶定義和建立內部威脅情報，以識別正常或異常行為。
• 從傳統的吵雜資料來源建立高價值的偵測，而且符合主流的網路安全框架 (如 MITRE ATT&CK、CIS20 或 Lockheed Martin 網路獵殺鏈)。
• 開發一個有價值的中繼資料擴充物件和行為風險庫，用於手動分析或機器學習。

正如我之前所說，安全數據、偵測和團隊之間的工作量減少、便利性增強，意味著更多的人可以一起工作，因為他們的資訊孤島變得越來越彼此關聯，並且可能性大幅擴展。

但下一步呢？
這不是一個如同開關般可以立即看到變化的解決方案；這是用產品投資員工，以改變安全方法的作法。我確信公司可以在許多其他產品中採用這種方法 (我有朋友告訴我他們認為可以解決這個問題)，但是 Splunk 有一群很棒的人已經為您建立了一個框架，並不斷努力使這一切盡可能順利地發生。我從使用 RBA 解決安全問題的人們那裡看到了轉變，這給了我對下一代安全團隊的希望，他們希望能減少過多工作，並透過 SIEM 新標準的彈性和功能獲得更多能力。
接下來將概述我看到往後的可能發展，我將在日後發布的文章中進一步解釋。

如何開始？
這是一個很好的問題！我們將在下一篇部落格文章中解決這個問題，但您可以先觀看最近幾年的 .conf 影片以獲得更多想法。訂閱 Splunk 安全部落格或在 Twitter 上追隨注我以隨時了解最新資訊！

作者
Haylee Mills
Haylee Mills 是 Splunk 的一名安全策略師，擁有在一家大型金融技術公司擔任內容偵測工程師的經驗，該公司透過以風險為基礎的警示升級了他們的安全營運。工作之餘，Haylee 教授課程並指導希望進入網路安全領域的人們，而且關注 BIPOC、女性和酷兒等群體。她是美國亞利桑那州科技教育組織網路安全委員會的開發總監，當地網路安全會議 CactusCon 的工作人員，並且是坦佩藝術與文化委員會 (Tempe Arts & Culture Commission) 的成員，就藝術發展和保護議題向市議會提供建議。她熱衷於與當地社區建立聯繫，並將自己的家作為 LGBTQ 安全空間和過渡性住房合作社。