全新改進的Splunk風險警報指南

非常高興地與大家分享一個全新的版本，我使用基於風險的警報框架取得成功的分步指南！它最初於 2022 年發布，我在設計時考慮到了任何技能水準的客戶，因為使用這種令人興奮但與傳統警報不同的方法意味著構建一些不是輕彈開關解決方案的東西;這是通過產品投資於您的員工，以改變您的安全方法。

它如此強大的原因是因為它允許您：

1. 減少總體警報的數量，同時提高出現的警報的保真度
2. 定義和生成內部威脅情報，以識別正常或異常行為
3. 從傳統上嘈雜的數據源創建高價值檢測，這些數據源與 MITRE ATT&CK、CIS18 或 Lockheed Martin 網路殺傷鏈等流行的網路安全框架保持一致
4. 開發一個有價值的元數據豐富的對象和行為風險庫，用於手動分析或機器學習

那麼有什麼新內容呢？

我已經審閱了整個指南，並確保在相關的情況下包括 RBA 社區對 RBA GitHub 的許多貢獻、過去兩年中客戶精彩的 Splunk .conf 演講，以及來自令人難以置信的 Splunk 嚮導 Gabriel Vasseur 的一些很好的反饋和更好的 SPL。 在許多客戶電話之後，他們肯定已經閱讀了該指南，但可能因為我沒有重複足夠而錯過了一個關鍵點，我還添加了 5 個 RBA 構建塊來重申一些要點：

並行構建

並非每部分 RBA 都需要完全開發和完成才能開始下一部分。 CIM數據規範化很重要，數據模型（尤其是*加速數據模型*）很重要，資產和身份框架很重要，但不要讓完美妨礙好的行徑！當你確實收緊這些其他部分時，它會提高 RBA，但它們並不是阻礙因素。

構建威脅物件

威脅對象對於優化、SOAR 擴充和查找異常行為非常寶貴。一開始就加入它！你可以看看 Outpost Security 的 Stuart McIntosh 和我的 .conf23 talk 以更好地瞭解這有多有用，但請相信我的話。我接到了很多客戶電話，我看到一個問題，如果他們只在關聯搜索中充實威脅對象，那麼診斷、調整和補救就會容易得多。

構建規則多樣性

您需要各種分數和來源，以便 RBA 真正顯示其價值。 如果你的風險指數中只有一個數據源，或者你的分數都是平的，那麼你就錯過了以有趣的方式將事物串在一起的力量。

構建基於簽名的源

IDS、DLP、EDR 或雲警報日誌等基於簽名的風險事件源可以非常快速地將許多不同的內容上線。 這與上述觀點有關，因為這些基於特徵的源可以非常快速地為許多行為類型帶來大量可見性。決定使用直接警報調查的內容 （可能是高嚴重性和嚴重性），其他一切都非常適合風險。

將嘈雜內容構建到風險中

RBA 可以做的最具影響力的事情之一是從您的分析師佇列中刪除繁忙的工作。 如果您的分析師在大多數情況下都關閉警報而不採取任何行動，則這些警報應位於 RBA 中。如果他們每次都通過行動來結束它，那就是SOAR自動化的絕佳候選者。

現在怎麼辦？

你還在等什麼？下載全新改進的 Splunk 基於風險的警報指南，您將順利完成。此外，請加入我們的 RBA 社區。