SIEM 영향, 고통, 실행 가능성 및 심각도
목차:
목적
이 블로그 게시물의 목적은 SOC Prime의 위협 탐지 마켓플레이스에 도입된 메트릭(고통, 실행 가능성, SIEM 영향, 심각도)을 소개하는 것입니다.
소개
SOC Prime의 위협 탐지 마켓플레이스 는 품질 있는 탐지 콘텐츠로 보안 운영을 강화합니다.모든 방어 기술과 마찬가지로, 가능한 모든 콘텐츠를 “바로 사용 가능하게” 배포하는 것은 권장되지 않으며, 어떤 콘텐츠가 가장 가치 있는지를 선택하는 것이 때로는 어려울 수 있습니다. 새로운 메트릭인 SIEM 영향, 고통, 실행 가능성, 심각도를 통해 SOC Prime은 어떤 규칙이 적합한지 결정하는 것이 더욱 명확해지기를 바랍니다.
그러나 이러한 메트릭은 콘텐츠 항목의 품질을 직접 반영하지 않습니다. 규칙은 대부분의 메트릭에서 낮은 점수를 받을 수 있지만 여전히 품질 있는 탐지가 될 수 있습니다.
- SIEM 영향: SIEM에 대한 예상 성능 영향
- 고통: 점수는 고통의 피라미드에서 규칙이 어디에 위치하는지를 반영합니다. 높은 고통의 규칙은 위협 사냥꾼과 L3 운영자에게 이상적입니다.
- 실행 가능성: 삼선 분석가가 다음 단계를 빠르게 이해할 수 있음을 반영하는 높은 실행 가능성 점수. 낮은 실행 가능성 규칙은 메모리 포렌식과 같은 고급 단계를 수행하거나 계정 소유자에게 문의하거나 추가 검색을 수행해야 할 수도 있습니다.
- 심각도: 이 로직에 의해 생성된 경고를 검토하는 것이 얼마나 중요한지. 이는 SIGMA 레벨 필드에서 유도됩니다.
고통, 실행 가능성, 심각도는 규칙을 만든 분석가가 규칙의 특성을 반영하기 위해 성실하게 제공한 것입니다. SOC Prime은 모든 콘텐츠를 검토하고 전문가 경험 및 고객 피드백에 따라 값을 조정할 수 있습니다. SIEM 영향은 현재 반자동으로 할당되며, 이는 앞으로 완전히 구현될 예정입니다.
다음 섹션에서는 이러한 항목이 어떻게 점수가 매겨지고 위협 탐지 마켓플레이스 내에서 처리되는지를 설명하겠습니다.
메트릭 얻기
검색 패널에서 규칙을 선택하면 규칙에 대한 메트릭이 화면 오른쪽에 표시됩니다. 이러한 메트릭은 커뮤니티 및 독점 콘텐츠에서 사용할 수 있습니다.
SIEM 영향 (1 – 3, 높을수록 영향이 적음)
SIEM 영향은 규칙을 실행할 시스템에 대한 예상 영향을 나타냅니다.
SIEM은 긍정적인 결과를 달성하기 위해 막대한 계산 능력을 요구하는 분석 시스템입니다. 따라서 SIEM 구성의 모든 비트와 바이트를 조정하는 것이 일상적인 일이 됩니다. SIEM 및 탐지 엔지니어링에 수년을 보낸 사람들 또는 정규 표현식 모범사례를 알고 있는 사람들은 event=/.*threat.*/ 문이 ‘자원 공급을 요하는’ 규칙이라는 것을 알게 됩니다. 이를 대형 프로덕션 설치에 하나 추가하면 검색 속도가 느려질 수 있습니다. 백 개를 추가하면 분산 시스템조차 성능이 저하되기 시작합니다. 다양한 SIEM 공급업체가 훈련 중에 ‘자원 공급을 요하는’ 문을 제공하는 것을 목격했습니다. 이는 위협을 쉽게 찾을 수 있다는 점을 강조하기 위한 것입니다. 그러나 프로덕션에서는 비용 효율적인 규칙을 만드는 것이 중요하며, 이것이 이 메트릭을 도입한 이유입니다.
규칙의 복잡성과 데이터 소스의 노이즈 량이 증가할수록 SIEM 영향 점수는 낮아집니다.
| 점수 | 로직 | 추론 |
| – | 메시지에는 “a” OR “b” OR “c” OR “d” OR “e” OR “f” OR “g” OR “h” OR “i” OR “j” OR “k” OR “l” OR “m” OR “n” OR “o” OR “p” OR “q” OR “r” OR “s” OR “t” OR “u” OR “v” OR “w” OR “x” OR “y” OR “z” OR “1” OR “2” OR “3”가 포함됩니다. | 이 규칙은 너무 영향을 많이 주기 때문에 받아들여지지 않습니다. |
| 1 | user = “*$” AND (commandline contains “TVqAA”) (commandline contains “http://” OR commandline contains “https://” OR commandline contains “ftp” OR commandline contains “file:\\”) | 많은 와일드카드/포함 사용 |
| 2 | eventid=4688 AND commandline contains “scrobj.dl” | contains 사용은 SIEM에 부하를 증가시킵니다. |
| 3 | eventid:5140 AND sharename:Admin$ | 필드에 대한 정확한 일치가 성능 측면에서 최적입니다. |
_
고통 (1 – 3, 높을수록 행동 기반/우회가 어려움)
고통 점수는 David Bianco의 고통의 피라미드 에서 규칙이 위치하는 곳과 어떻게 우회되는지를 추상적으로 나타냅니다. 행동 기반이고 우회되기 어려울수록 고통 점수가 높아집니다. 행동 기반 규칙은 일반적으로 위협 사냥에 적합하며 종종 소음이 많거나 효과를 위해 스택 카운팅과 같은 것이 필요할 수 있습니다. IOC 기반 규칙은 소음을 덜 발생시키지만 트리거가 매우 드물거나 과거 분석에만 유용할 수 있습니다. 이 점수는 로그 생성 메커니즘이 비활성화되거나 완전히 회피되는 것은 고려하지 않습니다 (즉, 로그에 있는 유령)
| 점수 | 로직 | 추론 |
| 1 | destination.ip=”1.1.1.1″ AND destination.port=53 | 이것은 IP 기반 탐지로, IP는 쉽게 변경할 수 있습니다. |
| 2 | eventid=4688 AND commandline contains “scrobj.dl” | 행동 탐지이지만 scrobj.dll은 이 탐지를 피하기 위해 이름을 변경할 수 있습니다. |
| 3 | eventid:5140 AND sharename:Admin$ | 누군가가 Microsoft에서 관리자 공유로 연결할 경우 이 로그는 쉽게 우회되지 않습니다. |
_
실행 가능성 (1 – 3, 높을수록 분명함)
실행 가능성 점수는 규칙의 ‘소화 가능성’을 반영합니다. 종종 이것은 원래 로그 소스 자체의 직접적인 반영입니다. 원래 로그 소스에서 이용할 수 있는 컨텍스트가 많을수록 실행 가능성 점수는 높을 가능성이 있습니다. 다시 말해, 이는 알림 데이터 자체에 기반한 것입니다. 환경 내 모든 규칙의 실행 가능성은 자동화 및 오케스트레이션을 통해 크게 증가할 수 있습니다. 이는 고려되지 않습니다.
| 점수 | 로직 | 추론 |
| 1 | destination.ip=”1.1.1.1” AND destination.port=53 | 데이터 소스에 따라 이 경고는 매우 판별하기 어려울 수 있습니다. 종종 이러한 규칙은 관리되지 않은 호스트(게스트 네트워크 등)에서 트리거됩니다. 게다가 DHCP는 공격 호스트를 식별하는데 복잡성을 추가할 수 있습니다. |
| 2 | eventid:5140 AND sharename:Admin$ | 윈도우 이벤트 id 5140은 공유에 접근한 사용자 이름과 호스트명/IP를 제공합니다. 그러나 이것이 타협의 결과인지를 확인하기 위해 추가 검색이 필요할 가능성이 높습니다. |
| 3 | eventid=4688 AND commandline contains ”scrobj.dl” | 윈도우 이벤트 id 4688은 분석가에게 즉시 유용한 많은 컨텍스트를 제공합니다. 이 경고만을 보고 잠재적 공격을 식별하는 것이 가능할 것으로 보입니다. |
심각도 (1 – 3, 높을수록 더 중요한 경고)
심각도는 SIGMA 레벨(낮음, 중간, 높음, 중요)의 추상화입니다.
| 점수 | SIGMA 레벨 | 추론 |
| 1 | Low | 참고: https://github.com/Neo23x0/sigma/wiki/Rule-Creation-Guide |
| 2 | 중간 | |
| 3 | 높음 & 중요 |
결론
귀하의 요구에 적합한 콘텐츠를 찾는 것은 가능한 한 간단해야 합니다. SIEM 영향, 고통, 실행 가능성, 심각도 메트릭을 도입함으로써 SOC Prime은 위협 바운티 프로그램 개발자와 방어적 운영의 요구를 일치시키고자 합니다.
내부 탐지 엔지니어링 팀이 있는 경우 방어적 콘텐츠 작성 중에 이러한 개념을 구현하고 이를 메트릭으로 캡처하는 것을 권장합니다.
메타
발행일 – 2020년 4월
최종 업데이트 – 2020년 4월 15일
