第一部分:概述
关于本文
在SOC团队中,我们大量时间花费在事件分类分析和文档记录上。但更关键的是开发新检测内容以应对不断演变的威胁。本文探索了一种结构化流程,旨在消除重复工作、实现能力共享、识别防御缺口,并建立可扩展的检测体系。
技术框架
- 威胁分类模型:采用"已知已知/已知未知/未知未知"三维分类法,对应不同检测策略
- ATT&CK集成:将攻击技术映射到MITRE ATT&CK框架,近期其数据源关系已升级为STIX机器可读格式
- Sigma规则层:通过标准化抽象规则(如Splunk CIM)衔接原始日志与高层数据源
- 检测工程闭环:包含威胁档案建立->用例开发->规则抽象->平台实现->验证测试全流程
关键组件
-
威胁建模
采用钻石模型分析不同资产面临的差异化威胁,例如PII数据与知识产权的防御重点差异 -
检测规则架构
- 抽象层:Sigma规则描述检测逻辑和上下文关系
- 实现层:适配SIEM/EDR等具体平台的检测规则
- 数据需求:明确所需日志字段和采集方式
-
验证体系
- 使用Atomic Red Team等工具进行规则有效性测试
- 结合Mordor数据集进行检测覆盖评估
-
响应联动
模块化剧本设计,将"防火墙封禁IP"等动作抽象为可复用组件
技术演进
- MITRE D3fend矩阵新增防御技术映射
- OSCD社区推动开源协作(参考Atomic Threat Coverage项目)
- 行业向STIX结构化数据共享转型
防御者正从基础IOC检测转向TTP抽象检测,通过ATT&CK框架实现威胁情报的机器可读化共享,大幅提升未知威胁发现效率。