钟馗捉鬼 | 长亭万象(COSMOS)安全运营操作实录

阅读量387245

发布时间 : 2023-03-06 14:34:57

 

白盒化的关联分析能力让分析全过程清晰可见,让分析结果不再是开盲盒。安全运营人员可以根据需求灵活调整规则配置,实现告警的聚合降噪,应对各种风险场景。

白盒化关联分析能力相当于一个拥有很多食材的厨师,客人可根据想吃的菜随意搭配食材,也可以观看这道菜的制作图谱。

下面我们从以下几个典型场景深入了解万象(COSMOS)白盒化关联分析的强大能力

 

暴力破解攻击

暴力破解是一种常见的针对Web或系统服务的攻击手段,黑客使用大量的认证信息在认证接口尝试登录,直到得到正确的结果。目的账号被暴力破解成功后,如果安全人员没有及时发现,攻击者很快会利用被爆破的账号盗取用户数据、注入病毒程序或作为跳板攻击其他主机,对企业安全造成更大的威胁。

场景还原

8:00am 万象(COSMOS)监测堡垒机日志,发现特权账号登录失败n次,输出告警(告警阈值:n>=5)

8:01am 万象(COSMOS)监测堡垒机日志,发现特权账号登录成功,输出告警(告警阈值:成功次数>=1)

8:05am 万象(COSMOS)监测多台主机日志,发现堡垒机特权账号登录多台主机失败n次,输出告警(告警阈值:n>=5)

万象(COSMOS)平台能够将暴力破解的日志监控起来,在第一时间知道安全设备是否被暴力破解登录,及时告警安全运营人员处置风险。

 

勒索病毒文件攻击

勒索病毒能够利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。这类病毒危害极大,而且具有繁殖速度快、隐蔽性强等特点,它们能够快速蔓延,难以发现,又常常难以根除,杀毒软件可能也无法做到完全查杀。

场景还原

9:00am 万象(COSMOS)监测内网安全域防火墙日志,发现存在扫描高危端口行为

9:01am 万象(COSMOS)监测边界防火墙日志,发现存在大量外发行为被拦截,提取外部IP地址

9:02am 万象(COSMOS)关联威胁情报库判断外部IP地址为恶意IP,输出告警(告警信息1:检测到疑似勒索病毒攻击)

9:04am 万象(COSMOS)监测上网行为管理和主机安全等产品日志,发现该勒索病毒来源为网络下载(告警信息2:病毒来源为网络下载)

万象(COSMOS)通过监测内网安全域防火墙日志、边界防火墙日志,同时关联威胁情报库,检测到疑似勒索病毒攻击行为并发起告警,同时监测上网行为管理和主机安全等产品日志,判断病毒来源为网络下载,输出告警信息。

 

用户异常行为导致账号安全风险和数据泄漏

账号安全管理

企业面临着账号数量庞大且难以区分滥用和合法使用的问题,而内部员工特别是高权限用户又经常是内部和外部攻击的主要目标,攻击者通过高权限账户能够访问最敏感的交易、数据,甚至可以创建新的特权账户,因此企业需要有效监控特权账户。

场景还原

10:00am 万象(COSMOS)监测VPN日志

10:01am 万象(COSMOS)输出告警:有新的VPN管理员账号被创建,请您及时关注

万象(COSMOS)通过监测VPN日志,发现有新账号创建后短时间内加入管理员组并输出告警。

数据泄漏管理

很多攻击主要意图是窃取组织中最重要的数据资产,尤其是机密/绝密文件外泄将会给企业带来严重的经济损失。即使企业部署了数据防泄漏产品也可能无法完全监控到异常外发行为,万象(COSMOS)能够关联分析数据防泄漏和上网行为管理等安全设备,及时发现数据泄漏风险,保护用户数据资产。

场景还原

1:00pm 万象(COSMOS)监测数据防泄漏设备日志,发现存在外发被拦截现象

1:02pm 万象(COSMOS)监测上网行为管理的日志,发现存在通过聊天工具外发成功的现象

1:03pm 万象(COSMOS)输出告警:检测到xx机密/绝密文件被数据防泄漏设备拦截后通过聊天工具外发成功

万象(COSMOS)通过监测数据防泄漏设备日志以及上网行为管理设备日志,检测到xx机密/绝密文件被数据防泄漏设备拦截后通过聊天工具外发成功,输出告警。

万象(COSMOS)基于真实需求和个性化场景构建用户的关联分析规则,通过白盒化语句交互,过滤筛选出攻防实战需要关注的关键信息,提高告警质量、提升研判分析效率。除此之外,万象(COSMOS)依托长亭多年攻防经验,为用户提供场景化、语句式交互分析体验,沉淀提升关联分析引擎与SOAR(安全编排自动化与响应)能力,帮助用户提升安全分析和处置效率,为用户构建实战有效的安全运营体系。

万象(COSMOS)核心能力:

1、多源异构数据融合,建立企业级数据标准
针对不同设备、风险场景需求,可灵活定义数据&模型,建立企业级数据标准
接入安全日志、资产、漏洞、情报等数据,建立统一安全数据中心

2、白盒化分析交互,高价值分析能力/规则积累
基于长亭多年领先攻防经验、丰富安全产品经验积累,赋能内置分析场景&规则
实时/离线高级交互分析引擎,灵活白盒化分析

3、SIEM+SOAR一体化,内置自动化场景
处置联动场景(边界拦截、会话阻断、主机隔离等)
工单(流程可定义)、报告(模板可定义)、自定义拓扑大屏等

4、攻防/运营技术,开放性架构&模式
依托长亭攻防优势经验,帮助企业快速落地战时/日常场景,构建企业安全运营体系
升级架构&模式,多种部署模式支持,微服务、低代码、更开放

本文由长亭科技原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/287068

安全客 - 有思想的安全新媒体

分享到:微信
+18赞
收藏
长亭科技
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66