当安全自动化，可节约你80%的时间

事件响应的自动化到底能带来什么好处？

近年来，大的安全厂商都加大了基于智能体系的自动化检测和响应方面的投入，利用自动化、流程编排、人工智能和机器学习的组合，来改进他们的集中化安全管理和运营平台，达到威胁发现和响应更加的自动化、智能化。Nick 表示，利用安全自动化的技术可以极大的简化和加速安全事件的响应流程。

威胁响应的自动化能做什么呢？

1.通过多源数据的采集、关联和理解来标识高级威胁；

2.能够持续性的学习威胁行为，利用安全工具进行自动化的工作，以便涵盖更多的威胁；

3.提高检测的精度，能为安全专家研判提供更优质的数据，以便他们作出最优的决策。

-?典型的威胁响应流程??-

在流程中，面对不断产生的新告警，需要不断的做威胁运营研判，判断是否为真正的威胁以及是否需要深入的关注分析，如果是需要关注的威胁，则需要采取缓解或修复措施，否则要加入白名单列表或者做假阳性误报处理。

?

为更好的排定威胁处置的优先级，需要有一套威胁关注度评价机制，来回答什么样的威胁应该被关注，Nick给出了自己的看法，认为以下两点因素需要被更优先的考虑：1）?事件的攻击目标和重要资产的关系；2）?考虑威胁的影响范围以及攻击目标是否快要达成。

威胁响应关注要素的优先级

1.攻击基本属性（攻击源、攻击目标、攻击载荷等）；

2.入侵途径（通过什么途径发起攻击的，是web、mail、document还是横向扩散）；

3.恶意的行为（木马、扫描、CnC、外泄等）；

4.为响应团队同步威胁概况；

5.提取威胁中的终端用户活动范围；

6.允许威胁利用用户名来做标识，而不仅仅是IP地址和DNS。

对于攻击证据，需要采集诸如恶意文件、pcap包、网络探测等数据，用来对攻击做验证，也能用来确定有效和适当的缓解措施。攻击的影响范围，需要评估哪个设备/用户受到了影响；攻击的进度，要确认攻击活动了多久，这需要根据攻击的属性做时间序列的分析。

- 事件覆盖的攻击链阶段 -

安全事件响应要完成的Task

1.从web，mail中收集数据；

2.分析和检测高级威胁；

3.标识受影响的主机和用户；

4.尽可能从所有的数据来源中收集数据的mate信息；

5.关联所有相关联的主机事件；

6.按照时间线合并事件；

7.将所有信息汇集成一个Security Incident。

以此来达成四个目的：减少来自SIEM告警的干扰，避免人工关联，提供对威胁的洞察力，简化事件响应流程。

- 事件响应基础架构图?-

绿盟MDR服务

面对攻防演进速度惊人的形势，为更好的为企业客户以解燃眉之急，绿盟科技在2018年推出了可管理的威胁检测与响应服务（NSfocus Managed Detection and Response Service，以下简称绿盟 MDR 服务）。

绿盟 MDR 服务是一种集安全威胁检测设备、安全威胁分析平台、安全专家服务于一体的一站式安全运营支撑服务，通过入侵检测防御系统、全流量分析系统、态势感知系统等安全设备与平台及云端远程安全分析专家共同为企业客户提供各类安全的威胁检测与响应服务。

	请点击屏幕右上方“…” 关注绿盟科技公众号NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP