Stacking Your Defenses: Integrating Advanced Threat Prevention and SIEM
在当今快速演变的威胁环境中,有效的安全运营依赖于两个关键支柱:自动化和上下文聚合。随着组织应对日益复杂的攻击,无缝集成多样化安全解决方案的能力变得至关重要。通过成功集成VMware vDefend高级威胁预防(ATP)与安全信息和事件管理(SIEM)系统,可以轻松解决这一挑战。
ATP 与 SIEM – 强强联合
ATP原生支持通过SIEM的REST API导出安全相关事件日志。虽然syslog因其近乎普遍的支持而常被选作传输事件的协议,但REST API日志记录支持更全面的数据格式,例如JSON,使ATP能够发送带有完整上下文的复杂、结构化安全事件。这使得ATP能够发送包括检测(IDS事件、网络异常、文件和进程分析)以及由vDefend网络检测与响应关联的更高级检测对象——活动在内的整个安全事件谱系。
由于每个导出的检测事件都配有一个指向ATP的链接,以下展示了如何利用VMware vDefend的智能辅助(一个深度集成到vDefend用户界面中、由大型语言模型驱动的交互式聊天机器人)来有效响应和修复。这个协作副驾驶用通俗英语解释检测事件,帮助安全团队理解威胁的全部影响,同时加速修复过程。
因此,这种集成使ATP数据能够无缝融入当前安全运营中心(SOC)的操作中,为客户提供对东西向网络流量的增强可视性。
接下来,让我们探讨配置步骤、ATP导出的安全事件类型,以及最终这种组合方法如何为安全专家、CISO和CTO提供统一的、全面的视图以增强威胁检测和响应能力。
配置
如此处提供的技术文档所述,配置SIEM集成是一个简单的过程,涉及添加一个新的“SIEM配置”(位于“服务器配置”管理部分),需要指定端点URL和类型(见图1)。在某些情况下,例如与Splunk HTTP事件收集器集成时,可能还需要指定授权令牌,这可以通过在相关字段中添加Authorization头来实现。
请注意,该集成原生支持将ARIA Operations for Log作为SIEM服务器;在这种情况下,端点类型应保留为“Default”,端点URL设置为vRLI IP地址并加上路径名“/api/v2/event”。此时不需要额外的头部。然而,需要注意的是,代理配置(在同一“服务器配置”部分可用)不适用于SIEM配置,这意味着任何使用基于云的连接器(如Exabeam)都需要互联网连接。
通常,ATP支持自定义端点配置,可以轻松连接其他主流的SIEM解决方案,如Microsoft SIEM、ELK堆栈、SIEMplicity、Splunk和Google Chronicle。通过利用自定义端点和可配置的头部,组织可以定制集成以适应其特定的SIEM环境,确保兼容性和高效的数据流。这种灵活性使安全专家、CISO和CTO能够将安全数据整合到一个统一的视图中,简化操作并提高整体威胁检测和响应能力。
下一节将展示导出了哪些安全事件,以及SOC分析师如何最好地利用所提供的价值。
安全事件
ATP导出两种主要类型的安全事件,以提供对威胁环境的全面可视性:检测事件和活动事件。
检测事件
检测事件包括由多个vDefend组件生成的警报:用于网络异常的“安全情报”、用于文件和进程检测的“恶意软件预防系统”,以及用于IDS签名命中的“IDS/IPS”。当由vDefend网络检测与响应聚合时,所有这些检测事件共享相同的基础警报模式,因此,一些属性可以轻松地用于进一步筛选日志、在数据中导航,或者构建仪表板以及自定义警报逻辑。
表1详细列出了每次ATP生成检测事件时通过REST API导出的JSON文档中包含的所有字段。
| 字段 | 示例 | 描述 |
|---|---|---|
| notification_type | DETECTION | 安全事件的类型 |
| url | – | 指向vDefend ATP中详情的链接 |
| uuid | – | 检测事件的唯一标识符 |
| start_time | 2017-07-21T17:32:28Z | 事件的开始时间 |
| end_time | 2017-07-21T17:32:28Z | 事件的结束时间 |
| impact | 80 | 检测的严重程度(0-100) |
| mitre_tactic_name | Command and Control | MITRE战术名称(如果有) |
| mitre_tactic_id | TA0011 | MITRE战术标识符(如果有) |
| mitre_technique_name | Remote Access Software | MITRE技术名称(如果有) |
| mitre_technique_id | T1219 | MITRE技术标识符(如果有) |
| threat_name | Winlocker | 检测到的威胁名称 |
| threat_uuid | – | 威胁的唯一标识符 |
| detection_type | IDS, NETWORK_ANOMALY, FILE, FILE_TRANSFER, PROCESS | 检测事件的类型 |
| detector_name | http_bots:828 | 检测器名称(如果有) |
| detector_uuid | – | 检测器的标识符(如果有) |
| action | BLOCK, LOG | 采取的操作 |
| notification_format | 1.0 | – |
| campaign_uuid | – | 活动的标识符(如果有) |
| cve | CVE-2022-25237 | 检测到的CVE(如果有) |
| ids_signature_id | 2036817 | IDS签名ID(如果有) |
| ids_signature_rev | 1 | IDS签名修订版(如果有) |
| description | IDS Signature Match | 人类可读的描述 |
| src_ip | 192.168.1.10 | 源IP地址(如果有) |
| src_vm_uuid | – | 网络检测中源(客户端)的VM或裸机uuid;端点检测中端点的VM或裸机uuid |
| src_vm_name | My VM 2 | 源工作负载的名称(如果有) |
| dst_ip | 192.168.1.10 | 目标IP地址(如果有) |
| dst_vm_uuid | – | 目标的VM或裸机uuid(如果有) |
| dst_vm_name | My VM 3 | 目标工作负载的名称(VM的vm名称或vm uuid) |
| transport_protocol | TCP, UDP, SCTP, GRE, ESP | 传输协议 |
| src_port | 12345 | TCP/UDP源端口号 |
| dst_port | 80 | TCP/UDP目标端口号 |
| is_src_target | TRUE | 源是否是目标 |
| application_protocol | http | 应用层网络协议(如果有) |
| http_host | www.example.com | HTTP Host头中的主机名(如果有) |
| file_detection_context | FILE_CREATED | 文件在何种上下文中被检测到 |
| file_action | DELETED, DETECTED | 在工作负载上对文件采取的操作 |
| file_name | malware.exe | 检测到的文件名 |
| file_sha256_hash | – | 检测到的文件的SHA256哈希值 |
| file_sha1_hash | – | 检测到的文件的SHA1哈希值 |
| file_category | EXECUTABLE, DOCUMENT, SCRIPT, ARCHIVE, DATA, MEDIA, OTHER | 检测到的文件的类别 |
| file_magic | PDF document | 检测到的文件的“magic”文件类型 |
| file_mime_type | application/pdf | 检测到的文件的mime类型 |
| src_ip_is_private | TRUE | 源IP是否为私有IP |
| dst_ip_is_private | TRUE | 目标IP是否为私有IP |
| original_signature_id | 12345 | 自定义IDS签名的原始ID |
| signature_name | (Initial Access) Detect CVE-2014-6332 | IDS签名的名称 |
| process_name | wscript.exe | 检测到的进程名 |
| process_command_line | PowerShell.exe -NonInteractive -EncodedCommand aGVsbG8gd29ybGQhCg== | 检测到的进程的命令行 |
| process_executable_path | C:\Windows\System32\powershell.exe | 可执行文件的路径 |
| process_executable_sha256_hash | – | 可执行文件的哈希值 |
| buffer_application_names | [“vbscript”] | 在此进程中执行缓冲区的应用程序序列 |
除了通常的时间属性(“start_time”和“end_time”)外,还可以通过“impact”过滤检测事件,例如,只考虑那些具有高或关键影响(即影响值大于70)的检测事件。如果集成旨在填充自定义仪表板,SOC分析师可以设计按MITRE战术和技术对事件进行分组。字段“mitre_tactic_id”和“mitre_technique_id”可用于快速突出显示与ATT&CK框架特定攻击阶段相关的检测事件。
字段“is_src_target”是vDefend网络检测与响应特有的,它突出了受特定检测影响的工作负载。例如,考虑一个CVE漏洞利用尝试:感兴趣的工作负载是网络连接的目标,这意味着在此实例中,字段“is_src_target”将被设置为false。
报告描述了以下场景:攻击者利用了Windows服务器上安装的Confluence中的一个关键远程代码执行漏洞。在这种情况下,感兴趣的工作负载是Windows服务器,字段“is_src_target”将被设置为false。另一种情况是检测到被恶意软件感染的工作负载,它试图与外部恶意服务器建立C2通道;在这种情况下,字段“is_src_target”被设置为true,以反映“被关注”的工作负载是网络连接的源。这个场景可以在报告(其中Cobalt Strike信标在被入侵的工作站上执行)中看到。信标随后连接到由CloudFlare管理的IP地址,这些地址充当受害者网络和C2服务器之间的代理服务器。在这种情况下,字段“is_src_target”将被设置为true。字段“threat_name”和“url”则提供了提取有关实际威胁细节的快速有效方法;前者不言自明,后者允许SOC分析师直接打开加载了检测事件详情的ATP用户界面。
字段“detection_type”用于区分所有类型的检测事件。可能的值有:
- IDS:用于由IDS/IPS检测到的IDS签名命中。
- NETWORK_ANOMALY:用于由安全情报识别的NTA异常。
- FILE 和 FILE_TRANSFER:用于由恶意软件预防系统在工作负载上或在网络上检测到的已分析文件。
- PROCESS:用于由恶意软件预防系统在工作负载上检测到的(可能是无文件的)进程执行。
类型为“IDS”的检测事件将在“ids_signature_id”中存储触发警报的签名标识符。如果签名旨在检测特定的CVE漏洞利用,CVE ID也将存储在“cve”字段中。字段“signature_name”将详细说明IDS签名的名称,在自定义IDS签名的情况下,字段“original_signature_id”提供自定义IDS签名所源自的原始IDS签名的标识符。
网络异常可以通过查找类型为“NETWORK_ANOMALY”的检测事件来发现。在此上下文中,字段“threat_name”代表触发警报的NTA检测器的名称。考虑到检测的行为特征,关注特定的MITRE战术和技术是快速识别相关警报的有效方法;例如,要识别尝试的数据渗出,可以过滤“mitre_tactic_name”为“Exfiltration”的网络异常。例如,报告中描述的攻击者使用Restic从文件服务器渗出数据。对于这个活动步骤,“mitre_tactic_name”将被设置为“Exfiltration”。
文件检测(检测事件类型“FILE”和“FILE_TRANSFER”)可以源自某个工作负载(由于创建了新文件,见“file_action”)或源自由网关防火墙拦截的某个文件传输。无论哪种情况,“file_sha1_hash”和“file_sha256_hash”都可以快速用于在其他外部服务(如VirusTotal)上搜索文件工件,而“file_magic”和“file_mime_type”允许按文件类型进行过滤(“file_mime_type”比“file_magic”粒度更细)。这份报告描述了借助RDP进行横向移动的技术,威胁参与者在磁盘上放置并执行了恶意软件样本、可执行网络工具和脚本来窃取凭据。在所有情况下,被放置文件的哈希值将存储在“file_sha1_hash”和“file_sha256_hash”中。
最后一种检测事件是“PROCESS”类型。在此上下文中,聚合的信息包括进程的执行路径(“process_executable_path”)和命令行(“process_command_line”);这对于仅关注用于非标准用途的特定可执行文件至关重要;例如,分析师可能希望过滤那些进程是PowerShell(即可执行文件路径是“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe”)但仅当它用于执行混淆命令(字符串‘-EncodedCommand’是“process_command_line”字段的一部分)的事件。在这里描述的攻击中,威胁参与者使用Brute Ratel进行远程访问,他使用Brute Ratel通过PowerShell命令“powershell -nop -exec bypass -EncodedCommand
总之,无论手头的任务是什么,SOC分析师都可以通过利用正确的属性来有效地呈现所需的安全事件。
活动事件
活动是更高级别的检测对象,它将不同的检测事件关联起来,以表示潜在攻击者采取的不同步骤。每次创建新活动(通过关联现有检测事件)或更新现有活动(通过向现有活动添加新检测事件)时,ATP都会发出一个类型为“CAMPAIGN”的新安全事件。表2列出了构成该安全事件的所有字段。
由于随着新的检测事件被关联,活动可能会随时间演变,因此每个安全事件都有一个“detections_added”字段,其中包含新关联到由“uuid”字段标识的活动的检测事件的UUID。也有可能属于两个不同活动的两组检测事件最终被合并。例如,考虑一组详细描述工作负载连接到外部C2服务器的检测事件,以及另一组引用表面上不相关的工作负载的数据渗出异常事件:在安全情报识别出两个工作负载之间的中间横向传播事件后,这两项不同的活动可能会被vDefend网络检测与响应组件合并;字段“campaigns_merged”将包含被合并的活动的UUID。
表2包含了“CAMPAIGN”安全事件使用的所有字段。
| 字段 | 示例 | 描述 |
|---|---|---|
| notification_type | CAMPAIGN | 安全事件的类型 |
| url | – | 指向vDefend ATP中详情的链接 |
| uuid | – | 活动的唯一标识符 |
| name | Foobot C&C Wave-0efb99a1 | 活动名称 |
| start_time | 2017-07-21T17:32:28Z | 活动的开始时间 |
| end_time | 2017-07-21T17:32:28Z | 活动的结束时间 |
| impact | 80 | 活动的严重程度(0-100) |
| notification_format | 1.0 | – |
| num_affected_workloads | 18 | 受影响的工作负载总数 |
| num_threats | 3 | 检测到的威胁总数 |
| num_detection_events | 123 | 检测事件总数 |
| campaign_notification_type | CAMPAIGN_CREATED, CAMPAIGN_UPDATED | 这是否是一个新活动 |
| mitre_tactic_ids | [“TA0008″,”TA0011”] | 检测到的MITRE攻击战术标识符序列 |
| mitre_tactic_names | [“Lateral Movement”,”Command and Control”] | 检测到的MITRE攻击战术名称序列 |
| detections_added | – | 添加到此活动中的检测事件序列 |
| campaigns_merged | – | 合并到此活动中的其他活动序列 |
| correlation_rule_uuid | – | 关联此活动的规则的唯一标识符 |
| correlation_rule_name | IDS Command&Control Wave Rule | 活动关联规则的人类可读名称 |
响应与修复
无论是活动事件还是检测事件,都使SOC分析师能够通过打开“url”字段中包含的、指回ATP用户界面的链接来收集更多上下文细节。这允许利用ATP提供的全部功能,特别是使用定制的网络策略来修复安全事件。具体来说,VMware vDefend的智能辅助是一个由大型语言模型驱动的交互式聊天机器人,能够自动生成安全策略。
图2显示了SOC分析师与智能辅助之间可能的对话。基于安全事件的详细信息(威胁类型、受影响的工作负载等),智能辅助首先解释安全事件,然后制定一个潜在的修复计划。由于任何修复都可能影响合法的流量,智能辅助会进一步询问对响应的风险承受能力,并提供针对性的或更全面的响应之间的选择。一旦做出选择,根据检测事件的类型,智能辅助将提出一系列入侵检测和预防系统(IDS)或分布式防火墙(DFW)策略;受影响的工作负载将仅包括安全事件中详述的那些;最后一次点击将创建(处于禁用状态)所提议的策略。
结论
ATP与SIEM解决方案的集成提供了对威胁环境的统一和全面视图,显著增强了组织检测和响应复杂攻击的能力。通过利用ATP丰富的、上下文化的安全事件,包括IDS、网络异常、文件和进程分析以及关联的活动,安全专家、CISO和CTO获得了对南北向和东西向网络流量的无与伦比的可视性。
这得益于ATP提供的独特流量拦截能力,它可以通过NDR传感器从边缘、虚拟化工作负载和裸机端点收集流量。这种详细的洞察力,结合SIEM的集中日志记录和分析能力,简化了安全操作并支持主动威胁狩猎。
最终,ATP与现有SIEM平台的无缝集成不仅仅是一个技术优势,更是一个战略必然。它满足了现代安全运营中对自动化和上下文聚合的关键需求,使组织能够超越被动的事件响应,转向更具弹性和预见性的安全态势。这种组合方法确保安全团队拥有必要的工具和信息来有效应对不断演变的威胁环境,从而保护关键资产并维持运营连续性。
有关ATP和SIEM集成的更多信息,请访问此处。