检测并阻止当今的网络攻击需要协调多种不同的安全工具。遗憾的是,团队花费大量时间和资源来统一这些安全日志数据,而这些时间和资源是执行必要分析要成本。开放网络安全架构框架 (oscf)项目旨在改变这一现状。现在,团队可以减少分析时间,将更多时间用于保护环境。让我们来看看是什么让这种新方法如此重要且及时。
为了使安全日志事件数据发挥作用,每个日志都必须有一个模式,该模式定义了可在日志上搜索、聚合或检测的字段。例如,网络连接日志可能包含发起连接的源 ip,以及接收并响应请求的目标 ip——该模式将包含诸如src和dest 之类的字段,以便安全分析人员能够围绕这些字段进行查询。
然而,针对这些模式,不同的日志类型或工具之间几乎没有统一的规范。以同样的例子来说,crowdstrike 将网络日志中的 ip 源提取为ip,将目标提取为remoteaddressip4。pan 防火墙 阿富汗 whatsapp 移动数据库 将源 ip 称为src,将目标ip 称为dst。有些日志完全是非结构化的。只有通过了解日志格式以及 ip 在日志事件中的位置,才能确定源 ip 和目标 ip。
分析师经常需要对大量日志子集进行查询。例如,他们可能想知道某个主机是否连接到了所有网络日志中的某个 ip 地址。为此,我们不仅需要为每种日志类型创建一个模式,还需要这些模式保持一致。如果能有一种更好的方法,以更少的人工投入来提取和分析数据就好了!
网络安全领袖联盟推出开放网络安全架构框架(ocsf)
阅读公告
对数归一化
到目前为止,salesforce 使用一个名为“事件数据字典”(ddi)的复杂内部解决方案来解决这个问题,该解决方案列出了每条日志中的每个字段,并且我们定义了数据字段提取规则(dfe),用于解析日志并将字典强制转换为模式。在检测和响应架构中,此过程发生在一个名为“规范化器”的系统中。