络攻击需要协调多种不同的安全工具。遗憾的是,团队花费大量时间和资源来统一这些安全日志数据,而这些时间和资源是执行必要分析以根除潜在攻击的必要成本。开放网络安全架构框架 (OSCF)项目旨在改变这一现状。现在,团队可以减少分析时间,将更多时间用于保护环境。让我们来看看是什么让这种新方法如此重要且及时。
为了使安全日志事件数据发
挥作用,每个日志都必须有一个模式,该模式定义了可在日志上搜索、聚合或检测的字段。例如,网络连接日志可能包含发起连接的源 IP,以及接收并响应请求的目标 IP——该模式将包含诸如src和dest 之类的字段,以便安全分析人员能够围绕这些字段进行查询。
然而,针对这些模式,不同的日志类型或工具之间几乎没有统一的规范。以同样的 手机号数据库列表 例子来说,CrowdStrike 将网络日志中的 IP 源提取为ip,将目标提取为RemoteAddressIP4。PAN 防火墙将源 IP 称为src,将目标IP 称为dst。有些日志完全是非结构化的。只有通过了解日志格式以及 IP 在日志事件中的位置,才能确定源 IP 和目标 IP。
分析师经常需要对大量日志子
集进行查询。例如,他们可能想知道某个主机是否连接到了所有网络日志中的 检测并阻止当今的网 某个 IP 地址。为此,我们不仅需要为每种日志类型创建一个模式,还需要这些模式保持一致。如果能有一种更好的方法,以更少的人工投入来提取和分析数据就好了!
网络安全领袖联盟推出开放网络安全架构框架(OCSF)
阅读公告
对数归一化
到目前为止,Salesforce 使用一个名为“事件数据字典”(DDI)的复杂内部解 萨玛旅游 决方案来解决这个问题,该解决方案列出了每条日志中的每个字段,并且我们定义了数据字段提取规则(DFE),用于解析日志并将字典强制转换为模式。在检测和响应架构中,此过程发生在一个名为“规范化器”的系统中。