關於安全分析服務-知識庫平臺的初始設想
阿新 • • 發佈:2018-03-28
安服(一)背景
乙方安全團隊在為企業做安全服務的時候,通常會依賴於乙方自己的安全產品做服務。而一般來說,對於產品檢出的威脅,我們是需要分析人員去核查是否真的存在此類威脅,其中不免有些誤報。另一方面,威脅的泛濫在各企業大同小異,在這出現的威脅,在另一個企業可能也有,那麽分析人員在一個企業分析完威脅後,另一個分析人員在另外的企業也會分析同樣的,造成資源的浪費。
基於此我們提出希望搭建分析服務知識平臺,整合威脅信息,減少分析負擔。
總結的幾點:
(1)減少誤報的重復研判。
(2)減少威脅的重復分析。
(3)常見威脅的報告提取
(4)新出現的威脅查詢
知識庫平臺的搭建很大程度上是為了報告的輸出,大家都明白,企業匯報是需要報告的,而寫報告有時候是很耗人力的。
乙方安全團隊在為企業做安全服務的時候,通常會依賴於乙方自己的安全產品做服務。而一般來說,對於產品檢出的威脅,我們是需要分析人員去核查是否真的存在此類威脅,其中不免有些誤報。另一方面,威脅的泛濫在各企業大同小異,在這出現的威脅,在另一個企業可能也有,那麽分析人員在一個企業分析完威脅後,另一個分析人員在另外的企業也會分析同樣的,造成資源的浪費。
基於此我們提出希望搭建分析服務知識平臺,整合威脅信息,減少分析負擔。
總結的幾點:
(1)減少誤報的重復研判。
(2)減少威脅的重復分析。
(3)常見威脅的報告提取
(4)新出現的威脅查詢
知識庫平臺的搭建很大程度上是為了報告的輸出,大家都明白,企業匯報是需要報告的,而寫報告有時候是很耗人力的。
(二)知識庫主體設計
-
需要錄入的事件有:
(1)誤報的錄入
(2)安全事件的錄入
(3)常見安全事件的錄入
(4)最新安全事件的錄入 -
支持的關鍵字檢索字段有:
病毒類型:(可以加上其他主流廠商的病毒名)
樣本及衍生文件MD5值:(多個)
網絡連接域名:(多個)
網絡請求IP:(多個)
病毒主體及衍生文件名:(多個)
服務名:
註冊表鍵值對:
文件路徑:
互斥量名:
腳本:
其他字符串: -
威脅事件主體構成:
事件基本信息,威脅日誌截圖,發生時間
事件分析,樣本分析,傳播分析,溯源分析
事件處置,處置威脅,加固方案 -
附件:
提交給用戶的報告
本次事件涉及的樣本HASH列表樣本單獨以HASH命令存放
註意:威脅事件錄入後支持後續任意成員參與修改。
關於安全分析服務-知識庫平臺的初始設想