T-Sec 安全运营中心(专有云)(以下简称腾讯SOC)核心是想提供给企业安全人员一个统一的安全运营和管理平台,让安全人员无论在面对外部攻击者攻击、或者内部账号/设备失陷时,都能高效、及时、精准的感知到,从而能够及时响应安全事件。
这意味着SOC上首先且基础要做的是接入 企业安全相关的数据。国内企业在“纵深防御”的思路指导下,大都配有防火墙,waf,抗D,终端,NTA,DLP等多种安全设备。腾讯SOC内置400+个解析模版,覆盖多个知名厂家,多种类型的安全设备,这使得他能够以最快的速度、最低的成本,几乎无修改的帮客户完成大部分的数据接入和解析工作。
在数据接入工作完成以后,SOC相当于多了许多“眼睛”,这些“眼睛”在各自的“岗位”上去记录数据,提供给SOC让它进行深度加工。相比其他品类的安全产品,SOC的独特优势在于它有一个最强大脑,它利用多只眼睛汇聚过来的信息,借助自己的平台能力来进行更高级的威胁分析,从而使得它信息更全面、更准确、更能全链路追随威胁及风险
在腾讯SOC中,UE风险分析引擎,从用户和设备两个维度去做深度的威胁分析。
它首先将“眼睛”看到的数据进行信息上的完善,将某些缺失的信息通过上下文和其他的平台数据智能化的补充上,重点是用户和设备相关的信息。例如某些设备上出现“访问恶意域名”的告警,最初并不知道是哪个用户操作的,在腾讯SOC的最强大脑中,它可以通过更丰富的数据“联想”到具体某个用户在哪个设备进行了风险操作。
之后,它将每个用户和每个设备的风险时间线梳理出来,时间线上包括敏感的告警事件、风险事件、和网络活动。例如“张三在上午9点从邮件下载了一份文件”,“上午9:05,他被告警:pc上存在恶意的通信活动”。分析引擎基于UE风险时间线进行最深层次的威胁分析。它从算法和专家经验两方面进行分析:(1)行为模式有没有改变,例如登录模式的改变、资源访问范围的扩大、内网渗透行为的出现;(2)有没有安全专家关注的行为序列,例如[“设备被漏洞利用”、“主机上出现后门”、“出现异常的的外连”、“权限的提升行为”]等。
相比其他的安全告警,腾讯SOC想通过“UE行为分析引擎”输出的是更有安全意义的case。这里区别在于“是否有安全意义”。例如主机上可以报“异常时间登录”,但却无法确认是否是恶意的,是否是需要有后续步骤去跟进的。在UE行为分析引擎中,它通过上下文分析的能力,可以确认行为是否是恶意的。例如“异常时间登录”,它历史以来都一直在这个异常的时间点登录,那就忽略风险。如果不是,那就会增加设备的风险度。并且,如果登录行为有其他维度的异常点,或者它上下文存在一些敏感的异常行为,例如异常登录之后,连接内网中陌生的服务器等,那它的风险值会急速攀升,从而能将风险及时告知到客户。
通过UE风险引擎,将风险定位到之后,为了提升客户的安全运营及响应效率,腾讯SOC将用户和设备的风险时间线绘到产品中,它希望客户从腾讯SOC推送的告警中,回到产品中时,仅需要几分钟时间去确认风险,就能完成安全运营,而不是数个小时,多个页面,多个维度的搜集信息。我们想,这是比较理想的安全运营流程。
ps. 如有疑问,欢迎发送消息到【腾讯安全智能】
智能化 自动化 一站式
(长按二维码快速扫描关注)
该账号主要围绕智能化技术如何帮助企业提升网络安全水平展开,内容涉及机器学习、大数据处理等智能化技术在安全领域的实践经验分享,业界领先的产品和前沿趋势的解读分析等。通过分享、交流,推动安全智能的落地、应用。欢迎关注~
