在安全领域,我们每天都要评估许多警报:我们必须决定哪些警报需要响应,然后收集其他数据并过滤掉误报,而这些通常都缺乏预先了解的上下文信息。我们希望通过构建一个专门的工具来解决这个问题:一个名为 Hobi 的内部 Zapier 专用上下文引擎。经过一年半的设计和工程工作,我们的新上下文引擎终于完成了。我很乐意分享它的内容。
安全警报的问题在于:它们通常缺乏背景信息。
安全检测和响应的作用是了解并跟进偏离预期业务运营的情况。这有助于确保 单位电话号码完整列表 我们的业务平稳运行并保护客户的数据安全。我们有许多特定的警报,旨在警惕任何看似异常的活动。
有时,根据我们的 SIEM(安全信息和事件管理)能够从日志源收集 多少信息,很容易确定事件是否值得关注。但通常,我们需要手动查看其他数据源,以收集有关警报的其他背景信息。
当警报触发时,我们通常需要补充背景数据才能全面了解情况。这包括位置、IP、来自其他平台的活动和事件信息,以及警报中参与者或服务所做的常见活动。调查人员从许多不同的工具收集这些信息,并占用大量警报分类时间。
Hobi 自动收集数据以创建上下文
我们的上下文引擎 Hobi 旨在执行有效警报分类所需的大部分数据收集工作。它是一种模块化工具,具有用于从日志聚合器、身份提供商、云环境等收集数据的库。它可以检查 IP WHOIS信息、进行地理位置查找、提取历史用户 IP 地址等等。说得更形象一点,我们现在会自动从公司周围的各种日志源收集信息,以便在任何人看到相关活动之前,更好地了解相关活动的实际含义。Hobi 在生成警报时实时收集这些信息,如果需要更多信息,也可以在调查过程中调用它。
- Board index
- All times are UTC
- Delete cookies
- Contact us