检测响应的保真度漏斗模型精解

_笔者曾经学习过SpecterOps公司很多大牛的理念，感觉到_国内关于检测响应的认知有些落后，因此摘选了SpecterOps公司的首席策略师Jared Atkinson创作的保真度漏斗模型理论，推荐给各位安全从业者学习。

本文根据原文翻译精简，方便读者理解，先附上一些安全检测工程的科普概念：

Telemetry（遥测）- 收集和观测安全数据 Detection（检测）- 过滤和标记安全数据 Hunting (威胁狩猎) - 关联和挖掘安全数据 Signal to Noise Ratio（信噪比）- 检测过程出现大量的FP、FN情况 True Positive - 判白正确 True Negatives - 判黑正确 False Positive-  判白错误 False Negatives -  判黑错误

---

保真度漏斗模型是为了描述在不同的安全分析过程中，如何使用有限的调查资源管理数百万个嘈杂安全事件的方法。

保真度漏斗模型的每个阶段都接受前一阶段生成的输入，执行某种过滤或降噪，并为下一阶段产生输出。在理想情况下，每个阶段都允许对相关的安全事件进行更深入或更多的人工分析，以过滤掉不相关的事件。

保真度漏斗模型由 5 个阶段组成：

1. Collection（收集）

2. Detection（检测）

3. Triage（分类）

4. Investigation（调查）

5. Remediation（补救）

每个阶段的输入和输出都被具体命名：

• Event（日志）

• Alert（告警）

• Leads（线索）

• Incidents（事件）

Collection（收集）阶段

• 输入：遥测

• 输出：

  日志

遥测是安全监控的基石，因为它提供了整个企业环境中出现恶意活动的上下文信号。如果没有遥测技术，几乎不可能检测到完整的恶意活动。成熟的组织机构应努力集中收集尽可能多的遥测数据，以支持企业的安全检测，例如集中收集Windows 事件日志、商业 EDR 解决方案日志、网关代理日志、Netflow 等，并使它们可用于检测阶段。

Detection（检测）阶段

• 输入：日志

• 输出：告警

---

通过集中收集日志，检测工程师可以定义检测逻辑识别与安全相关的事件。检测阶段的目标是将收集阶段的数百万或数十亿事件减少到数百甚至数千个告警，这些告警将在下一个分类阶段进行分析，这些检测通常称为威胁狩猎。

检测工程通常是在交互式的过程中创建的，通过自动化的过程在生产环境中实施，检测逻辑应用于大量日志数据管道中以生成告警。通常我们看到检测阶段将通过收集阶段生成的数百万个事件转换为数百个告警，然后传递到下一个分类阶段。

Triage（分类）阶段

• 输入：告警

• 输出：线索

告警是检测逻辑的结果，但要预期有一定数量的误报，这是合理的。分类阶段是安全分析师将告警分类为已知的恶意活动、已知的正常情况和未知活动的阶段，已知的恶意活动会立即被识别为事件并进入补救阶段，而未知活动会被识别为线索并发送到调查阶段，因为它需要额外的调查确认。

分类阶段是我们看到许多组织机构挣扎的地方，这通常表现为恶意活动因为告警疲劳被标记为误报，导致告警疲劳的一个重要因素是告警的性质通常不明确。SOC分析师很难理解产生告警的检测逻辑、正在检测的上下文，以及他们应该采取正确分类告警的步骤，这些问题可以通过使用Palantir 的告警检测策略框架（https://blog.palantir.com/alerting-and-detection-strategy-framework-52dc33722df2）来缓解。

Investigation（调查）阶段

• 输入：线索

• 输出：事件

调查阶段用于收集在检测或分类阶段无法确定的其他上下文，这可能涉及更多人工分析和需要扩展信息的分析，这包括文件系统分析、内存取证、二进制分析等，以帮助识别攻击活动的真正来源，这种额外的调查是必须的，因为在前几个阶段发生的噪音已经被过滤了。

Remediation（补救）阶段

输入：事件

输出：经验

一旦确认了事件，就必须进行补救活动。这是事件响应人员确定事件影响范围，并从网络中消除危险失陷情况的阶段。许多组织机构与第三方合作完成补救活动，并确保要及时进行止损。重要的是一些早期威胁、危害性较低事件的补救，可以确保有空间进行补救计划，充分解决所有问题。

如何使用漏斗模型理论？

案例 1

红队评估通常包括对防御者进行攻击路径汇报。在汇报期间，检测响应团队中的某个人将了解红队如何实施的攻击，并将开始审查其SIEM 中的事件，这个过程经常以防守者说出：“是的，我们看到了……这里有告警”，这样类似的话结束。但防御者实际上说的是：“是的，我们收集了与该攻击相关的日志，但我们尚未创建检测逻辑能检测到攻击活动”。

案例 2

我们已经看到许多组织机构在红队演习中为特定的技战术构建了检测逻辑，例如Kerberoasting，但出于某种原因，SOC从未检测到该活动。我们最终发现检测确实触发了告警，但它被标记为误报。不幸的是，负责此告警的分析师对 Kerberoasting了解不够，无法区分正常和恶意服务票证请求。该恶意活动可能已经发出警报，但实际上并没有发生宏观意义上的检测。

保真度漏斗概念的一个巨大好处是我们可以诊断问题发生在哪个阶段：

案例1的组织机构似乎进行了足够的遥测，但缺少可靠的检测，我们可以与客户合作，确定使用他们当前环境中收集的数据，可以设计出可靠的检测策略。

案例2我们看到组织机构已经成功生成了告警，但在分类过程失败了。为了解决这个问题，我们可以专注于构建告警文档，以增加组织机构的威胁检测知识，并从告警分类过程中剔除掉不可靠的猜测工作。

这两个例子都不应被视为检测响应的失败。相反，它们应该被视为流程改进的机会。