Post by Roozbeh Noroozi, CISSP, PMP
Founder of ROOZBEH | Cybersecurity Services - Leading Cyber Security Initiatives with CISSP and PMP Expertise
هیچ Rule هوشمندی در اسپلانک نمیتواند نبود داده را جبران کند؛ درس مهمی از تنظیم Zeek برای معماران SOC #تجربه یکی از بزرگترین اشتباهات در طراحی SOC این است که هر ضعف در تشخیص را به کیفیت Ruleها نسبت میدهیم، در حالی که گاهی مشکل از دادهای است که هرگز جمعآوری نشده است. این موضوع در استفاده از Zeek و فایل Conn.log بهخوبی دیده میشود. فایل Conn.log پایه بسیاری از Use Caseهای Threat Hunting، تحلیل Beaconing، شناسایی Lateral Movement و کشف ارتباط با سرورهای C2 است. اما در شبکههای پرترافیک، اگر Zeek بهدرستی Tune نشده باشد یا به دلیل محدودیت پردازشی دچار Packet Loss شود، بخشی از ارتباطات هرگز در Conn.log ثبت نخواهند شد. نتیجه آن است که تحلیلگر تصور میکند همه چیز را میبیند، در حالی که بخشی از رفتار مهاجم از همان ابتدا از دید او پنهان مانده است. در چنین شرایطی، حتی پیشرفتهترین Ruleهای SIEM، الگوریتمهای هوش مصنوعی یا Detection Engineering نیز نمیتوانند تهدیدی را که دادهای از آن وجود ندارد کشف کنند. بنابراین، پیش از بازنویسی Ruleها، باید سلامت سنسورهای جمعآوری داده، نرخ Packet Drop و کیفیت Telemetry بررسی شود. امنیت مؤثر از Ruleهای بهتر آغاز نمیشود؛ از دادههای کاملتر آغاز میشود. تجربه دوم : لازم است مهندسان سنسور های SOC از تحلیلگران مجزا باشند تا تنظیم سنسور ها بخوبی انجام شوند کلاس CISSP از هفته دوم تیرماه شروع میشه. ثبت نام از طریق بله 09902857290