安全运营平台建设实践.docx-淘文阁

资源描述

《安全运营平台建设实践.docx》由会员分享，可在线阅读，更多相关《安全运营平台建设实践.docx（16页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、安全运营平台建设实践系统面对大量的恶意网络攻击，不同安全设备的告警信息存在出入且信息较为分散，容易误判、漏判而导致应急止损滞后等问题。一、前言安全运营是以资产为核心，以安全事件管理为关键流程，依托于安全运营平台，建立一套实时的资产风险模型，进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理体系，到达保障企业系统、业务安全运行的目的。安全运营工作也是到家安全工作中重要的一局部工作，依据业务、设备日志进行常规网络攻击以及基于业务特征的攻击行为的检测、分析和溯源。系统面对大量的恶意网络攻击，不同安全设备的告警信息存在出入且信息较为分散，容易误判、漏判而导致应急止损滞后等问

2、题。通过建设安全运营平台（SOC）,目标是实现不同业务系统以及安全设备日志数据的收集检测，并进行相互之间的联动分析，从多角度验证攻击告警信息，提高安全攻击事件的发现和应急效率，实现网络安全工作的闭环管理。本篇文章主要介绍安全运营平台（SOC）的建设落地实践。二、面临的挑战安全运营平台的建设，更多是需要结合到家自身的业务方向以及现有资源进行设计，对于可扩展性的要求会更高一些。以日志作为数据源，需要考虑能够获取到的数据有哪些，这些数据是否满足安全运营过程中的需求。同时到家现有设备资源是否满足数据的聚合联动。那日志利用规那么引擎检测分析后进行告警，告警完成对于所有攻击日志数据由分析

3、引擎进行二次打标处理存储。DeicriptionK”TyxnoneAWrt I1 imuxS大性：count(1t4tus.codejOO)l .0norxAltet1 第令揖行:count($tatusAcode_200) 1.0noneAlert1 x$SAONAtarit 令执行:coun” status.code.2001 QnoneAlert1count(sutus_co 1.0noneI Alert ；1 *5aAncntAtort | xssilAnoneAWrt B MHUxSim件：/Alert 令执行:count( status .code.200s i.oCOMAitct

4、；1 UnuxtS艾R： counqsutus.codeOOlX)none| Alert |打标存储后的数据会由告警引擎同步进行告警信息发送，通过企业微信进行及时消息的推送。安全运营人员在收到告警信息后可以第一时间进行分析研判，也是防止了消息触达延时导致的应急响应滞后。标题:SQL 注入:count($tatu$ code 200)=3.0域名：com内宕：-(27/May/2022:08:59:00 40800 eGET /goApp?appCode=Isp store&backUrl= %：n%3Frandom%3D862519%22*%2C*%28SELECT%28CASE*WHE

5、N*%28ROW COUNT%28%2 9-2%3DROW COUNT%28%29-2%29iTHENisleep%285%29*ELSE*%28SELECTUFROM%28select*Uunion4select42%29x%29END%29%29% 29一 /1.T 200 1132 卜= %3A%2F%2 J %28SELECT*%28CASE*WHEN%28ROW COUNT%28%29 2%3DROW COUNT%28%29 2%29THEN sleep%285%29 ELSE%28SELECT 1 FROM+%28select 1 union select+ 2%29x%29 EN

6、 D%29%29+%29 -fd31(8492da22c21dbl 181 -741 、，主业host54.5可视化展示数据处理模块处理后的数据由可视化模块进行统一的展示，包括 WEB日志的告警数据以及安全设备日志的告警数据。这块功能更多是对数据的提取聚合操作，通过可视化使得实时攻击和威胁更直观的展现。小664,911平台可视化界面展示的每一条告警攻击事件，可以依据IP、设备指纹、时间在不同的数据流中检索并进行联动分析，以最短的时间确定出整个攻击事件的攻击链，实现攻击行为的溯源。4. 6平台检测流程到家安全运营平台通过Graylog部署、数据接入、模型检测以及数据处理实现攻击行为

7、的可视化告警管理。整个平台的检测逻辑具体如下图所示。恰湾引擎威胁告警联动分析1单管理可在化展示利用Gray log日志转发Agent将安全设备以及各类业务系统中不同源的日志数据转发至平台侧，并进行格式统一处理后存储于数据库中。平台核心检测引擎对所有数据日志进行不同攻击行为的检测匹配，对于检测到的攻击日志进行打标后再次统一存储于数据库中；分析引擎利用不同的标签对打标后日志进行威胁告警展示管理，同时形成告警工单，利用企业微信进行告警通知；所有处理后的数据支持不同规那么的聚合分析，最终形成可视化视图。五、成果及后期规划1建设成果到家安全运营平台通过对多源数据产生的信息进行收集、过滤、格

8、式统一以及存储等处理，利用检测模型实现网络攻击行为检测、告警，辅助安全运营工程师对安全事件进行应急和溯源分析。基于平台的建设实现了以下安全能力。1）威胁管理能力平台汇聚所有存在告警的威胁信息，支持基于不同信息进行查看、分析验证。2）事件关联分析能力平台收集业务系统和各类安全设备所有告警信息，支持针对某一攻击事件的联动分析，实现攻击行为的溯源。3）工单管理能力平台支持针对所有告警事件以工单形式进行企业微信告警同步，同时支持所有告警工单内容的汇聚查看。5. 2后期规划到家安全运营平台从数据接入、数据处理、分析以及可视化展示等方面来说已经实现了对应的安全需求能力。但从企业安全保障过程中

9、攻防两端的对抗较量来说在之后的工作中还是需要不断的进行迭代优化，针对目前到家的安全运营平台来说，迭代规划分别包括两局部，第一是资产联动自动化识别接入平台；第二是通过平台自动化识别攻击链。1）资产联动自动化识别接入平台安全运营体系所运营的主体其实就是企业的各类网络资产，那么在整个运营过程中一些新的资产都是需要技术人员进行人工接入，因此下一步计划将资产管理平台和运营平台进行联动，一旦发现新增网络资产，安全运营平台通过脚本程序实现自动接入操作，这样可以防止因为运营人员未接入导致的资产遗漏等问题。2）平台自动化识别攻击链在一次成功的攻击过程中，攻击者通过互联网应用程序漏洞进入内网后会实

10、施一系列横向渗透的操作，那么企业安全人员能够第一时间发现整个攻击流程，时刻掌握其攻击动向就可以第一时间阻断本次攻击, 将损失降到最低。目前平台支持攻击链各阶段攻击行为的检测，由安全运营工程师分析形成攻击链。下一步计划平台利用自身产生的告警日志结合主机安全日志，利用时间、IP以及指纹信息自动化实现整个攻击链的检测和告警。六、总结安全运营体系的建设使得企业对自身的安全状况有了更清楚的认识，也是保障企业业务系统稳定运行的重要工作之一。一款高效的安全运营平台能够为安全运营工作提供必要的数据支撑和保障，到家安全运营平台在之后的安全运营工作中也是根据业务需要不断依据自身特点和资源情况进行优

11、化迭代，目标是打造一套成熟的安全运营平台, 支撑到家安全风险的闭环管理。么整体面临的问题挑战可以归类如下：1、如何使数据源内容满足攻击链检测的需求；2、如何让平台的安全检测能力满足业务要求；3、如何使平台具有协同联动分析能力；三、安全运营平台介绍安全运营平台的数据源是业务日志，基于业务日志实现攻击行为的检测告警，平台需要满足千亿量级的数据分析能力。我们选用开源日志分析平台进行二次开发来实现安全运营平台建设。3. 1开源日志分析平台选型开源日志分析平台的选型，主要针对ELK , Loki, Graylog三款比较主流的日志分析平台进行比照分析。平台分析ELKELK是一款开源工具组合，包括E

12、lasticSearch, Logstash和Kibana等。支持采集多种来源的日志数据，分布式搜索实现快速检索，可视化UI界面Loki Loki易于操作，不支持对日志进行全文索引，使用与 Prometheus相同的标签，适合储存Kubernetes Pod日志Graylog一体化部署方案，支持采集多种来源的日志数据，日志字段支持修改，支持TB级别的搜错查询，支持归档功能，相比ELK 拥有更优秀的报警功能，python库支持通过对三款平台的分析和比照，可以看出Loki节省存储空间，更适合于归档存储；ELK是一款成熟的日志分析组合，报警通知这块比拟弱； Graylog支持采集多种来源的日志数

13、据，相比ELK拥有更优秀的报警功能，因此更满足平台建设的需求。3.2 安全运营平台设计通过对开源日志分析平台的比照分析，以Gray log作为安全运营平台的基础进行二次开发实现对应的需求。到家安全运营平台可以分为四个模块，分别为数据来源模块、数据存储模块、检测分析模块以及可视化模块。告警数据流Dashboards威胁行为态势规那么引颦分析引擎告警引擎MongoDBElasticsearch基础设施基础设施安全设备. 1数据来源模块数据来源模块主要用来采集数据，目前安全运营平台数据源主要是日志数据，因此来源包括基础设施以及安全设备的日志。其中基础设施日志包括WEB访问日志、主机日志等

14、；安全设备日志主要包括WAF告警日志、主机安全告警日志、防火墙告警日志等。3. 2. 2数据存储模块数据存储模块主要包括ElasticSearch和MongoDB两块。 ElasticSearch存储数据来源模块提供的日志数据。MongoDB存储 Graylog本身操作的一些行为记录日志。4. 2. 3检测分析模块检测分析模块也是平台的核心模块，负责从数据中获取运营人员需要的关键数据。主要包括规那么引擎、分析引擎以及告警引擎三个模块。规那么引擎：依据设置的一系列安全检测规那么匹配对应的目标数据。分析引擎：负责对规那么引擎识别后的数据做处理，进行二次分析存储等操作。告警引擎：提供平台内异

15、常信息的告警通报能力。5. 2. 4可视化模块可视化模块主要用来对检测分析模块识别到的所有异常场景数据进行展示。包括告警数据流、Dashboard以及威胁行为态势三块。告警数据流支持对所有告警数据以规定格式进行展示，为运营人员分析提供支撑。Dashboard提供各类数据报表，用来对所有告警日志数据进行可视化查看分析。威胁行为态势主要针对不同的日志数据定向的制定可视化数据分析界面。四、安全运营平台建设平台建设过程主要分为Graylog部署、日志数据接入、检测模型生成、告警数据的二次处理以及可视化搭建等操作行为。6. IGraylog 部署Graylog作为整个安全运营平台的基础架构进

16、行部署，部署采用基础部署架构进行部署。主要由Graylog服务、ElasticSearch以及MongoDB 构成。Devices andApplications /Log MessagesBrowser(Client)4.2日志数据接入日志的接入分为两个方面，分别是基础设施的日志以及安全设备的日志。基础设施日志主要为WEB访问日志，利用Gray log的Agent可以实现日志的转发，将需要的日志转发到ElasticSearch进行存储。= Alltrr七Ump 情2022-07 14 10 田08a BwxUf09t /aav.csb nttp，, . Juu .i1IMT 19; W

17、DM*4)ttZ537.M fKMT”. Gcoj Chco64; i64) Ap(le*rtKxtiSU7.36 KMTR. If CccM。6,ow/1.S$.3 X，”&37.A E八也 14 ” 8 98 8jpda foiijls/S.t (Vmdoei MT 6J： BinM iM) AopleWcMit/37.M DefaultStream containing all messagesThe default stream contains all messages.All nginx messages index set Default index set exclude wa

18、f and alert557 messages/second. Must match all of the 1 configured stream rule. Show stream ruleAll system events index set Graylog System EventsStream containing all system events created by Graylog No configured rules.规那么生成过程中需要关注数据源，针对不同数据源之间的检测匹配规那么是需要差异化的，不然会出现二次检测、误报以及漏报等问题。UnuxStlS 文件Sprw*敦0

19、文件WbUSUS文9WindowsSWfX 件WEB日志主要以NGINX访问日志为主，需要从中挖掘的数据类型可以分匿录角K破，一分钟内宣为两类，包括常规网络攻击数据以及恶意业务访问行为（恶意刷单等黑灰产）。同时针对网络攻击数据还需要对登录态和非登录态进行区分。登录态进行的攻击可以使分析人员第一时间确定攻击人员所使用的账号信息，并进行处置，同时，登录后的一些攻击行为对系统的影响也是较为重要的，所以针对登录态的告警必须第一时间进行处置和分析。那么非登录态的一些攻击行为可能更偏向于一些批量扫描行为。录接口请求（针对空码喷洒，代理ip）,且存在respor句tneiact 1 mnute ingjer 1 Noorot)on安全设备日志包括云WAF以及本地安全设备日志。安全设备的检测规那么主要是进行一个聚合联动分析作用。将对应的告警日志进行统一汇总转发至ElasticSearch并进行请求状态的聚合汇总，从中筛选出成功的告警信息进行展示，可以降低安全设备的误报率，排除的扫描行为，同时也可以和WEB日志中的告警进行联动分析。三 2：14:W R 33MS 储留:f BE . 23” U： i g M 8 I14 MM 244 38，y S黑受部“HEi IM OS *5140 384. 4数据处理

展开阅读全文