Post by Roozbeh Noroozi, CISSP, PMP

Founder of ROOZBEH | Cybersecurity Services - Leading Cyber Security Initiatives with CISSP and PMP Expertise

هیچ Rule هوشمندی در اسپلانک نمی‌تواند نبود داده را جبران کند؛ درس مهمی از تنظیم Zeek برای معماران SOC #تجربه یکی از بزرگ‌ترین اشتباهات در طراحی SOC این است که هر ضعف در تشخیص را به کیفیت Ruleها نسبت می‌دهیم، در حالی که گاهی مشکل از داده‌ای است که هرگز جمع‌آوری نشده است. این موضوع در استفاده از Zeek و فایل Conn.log به‌خوبی دیده می‌شود. فایل Conn.log پایه بسیاری از Use Caseهای Threat Hunting، تحلیل Beaconing، شناسایی Lateral Movement و کشف ارتباط با سرورهای C2 است. اما در شبکه‌های پرترافیک، اگر Zeek به‌درستی Tune نشده باشد یا به دلیل محدودیت پردازشی دچار Packet Loss شود، بخشی از ارتباطات هرگز در Conn.log ثبت نخواهند شد. نتیجه آن است که تحلیلگر تصور می‌کند همه چیز را می‌بیند، در حالی که بخشی از رفتار مهاجم از همان ابتدا از دید او پنهان مانده است. در چنین شرایطی، حتی پیشرفته‌ترین Ruleهای SIEM، الگوریتم‌های هوش مصنوعی یا Detection Engineering نیز نمی‌توانند تهدیدی را که داده‌ای از آن وجود ندارد کشف کنند. بنابراین، پیش از بازنویسی Ruleها، باید سلامت سنسورهای جمع‌آوری داده، نرخ Packet Drop و کیفیت Telemetry بررسی شود. امنیت مؤثر از Ruleهای بهتر آغاز نمی‌شود؛ از داده‌های کامل‌تر آغاز می‌شود. تجربه دوم : لازم است مهندسان سنسور های SOC از تحلیلگران مجزا باشند تا تنظیم سنسور ها بخوبی انجام شوند کلاس CISSP از هفته دوم تیرماه شروع میشه. ثبت نام از طریق بله 09902857290