正在加载

入侵指标

Elastic Stack 无服务器安全

“指标”页面收集来自已启用的威胁情报源的数据,并提供指标的集中视图,也称为入侵指标 (IoC)。本主题帮助您设置“指标”页面,并解释如何使用 IoC。

要求

  • 在 Elastic Stack 中,“指标”页面是一项 Enterprise 订阅功能。

  • 在无服务器中,“指标”页面需要 Security Analytics Complete 项目功能

  • 您必须在要监控的主机上安装以下其中之一

    • Elastic Agent - 安装 Fleet 管理的 Elastic Agent,并确保代理的状态为 Healthy。如果不是,请参阅 Fleet 问题排查
    • Filebeat - 安装 Filebeat 8.x 或更高版本。早期 Filebeat 版本与 ECS 不兼容,并且会阻止指标数据在指标表中显示。
Shows the Indicators page

威胁情报是一种研究职能,用于分析当前和新兴的威胁,并推荐适当的措施来加强公司的安全态势。威胁情报需要主动性才能发挥作用,例如收集、分析和调查各种威胁和漏洞数据源。

指标,也称为 IoC,是与已知威胁或报告的漏洞相关的信息片段。指标有很多类型,包括 URL、文件、域、电子邮件地址等。在 SOC 团队中,威胁情报分析师使用指标来检测、评估和响应威胁。

设置“指标”页面

安装威胁情报集成以将指标添加到“指标”页面。

  1. 从 Elastic Security 应用程序中,单击添加集成

  2. 在搜索栏中,搜索 Threat Intelligence 以获取威胁情报集成的列表。

  3. 选择一个威胁情报集成,然后完成该集成的引导式安装。

    注意

    有关可用字段的更多信息,请转到 Elastic 集成文档,并搜索特定的威胁情报集成。

  4. 返回到 Elastic Security 中的“指标”页面。如果指标数据未显示,请刷新页面。

“指标”页面 UI

将指标添加到“指标”页面后,您可以检查、搜索、过滤指标数据并对其采取措施。指标也会显示在“趋势”视图中,该视图显示图例中的总值。

interact with indicators table

单击查看详细信息,然后打开“指标详细信息”弹出窗口,以了解有关指标的更多信息。弹出窗口包含以下信息选项卡

  • 概述:指标的摘要,包括指标的名称、来源的威胁情报源、指标类型以及其他相关数据。

    注意

    某些威胁情报源提供 流量信号灯协议 (TLP) 标记。如果源未提供该数据,则 TLP MarkingConfidence 字段将为空。

  • :表格式的指标数据。

  • JSON:JSON 格式的指标数据。

    Shows the Indicator details flyout

时间线中调查指标,以识别和预测环境中相关的事件。您可以从“指标”表或“指标详细信息”弹出窗口中将指标添加到时间线。

Shows the results of an indicator being investigated in Timeline

将指标添加到时间线时,会打开一个新的时间线,其中包含自动生成的 KQL 查询。该查询包含您选择的指标字段值对,以及自动映射的源事件的字段值对。默认情况下,查询的时间范围设置为指标的 timestamp 之前和之后的七天。

下图显示了在时间线中调查的文件哈希指标。指标字段值对为

threat.indicator.file.hash.sha256 : 116dd9071887611c19c24aedde270285a4cf97157b846e6343407cf3bcec115a

Shows the results of an indicator being investigated in Timeline

自动生成的查询包含指标字段值对(如前所述)和自动映射的源事件字段值对,即

file.hash.sha256 : 116dd9071887611c19c24aedde270285a4cf97157b846e6343407cf3bcec115a

查询结果显示一个警报,其中包含匹配的 file.hash.sha256 字段值,这可能表示环境中存在可疑或恶意活动。

将指标附加到案例可以为您的调查提供更多上下文和可用操作。此功能使您可以轻松地与其他团队共享或升级威胁情报。

要将指标添加到案例,请执行以下操作

  1. 从“指标”表中,单击更多操作 (…​​) 菜单。或者,打开指标的详细信息,然后选择采取措施

  2. 选择以下选项之一

    • 添加到现有案例:从选择案例对话框中,选择要将指标附加到的案例。
    • 添加到新案例:配置案例详细信息。请参阅 打开新案例,以了解有关打开新案例的更多信息。

    该指标将作为新评论添加到案例中。

An indicator attached to a case

将指标附加到案例时,该指标将作为一条新评论添加,其中包含以下详细信息

  • 指标名称:单击链接的名称以打开“指标详细信息”弹出窗口,其中包含以下选项卡

    • 概述:威胁指标的摘要,包括其名称和类型、来源的威胁情报源以及其他相关数据。

      注意

      某些威胁情报源提供 流量信号灯协议 (TLP) 标记。如果源未提供该数据,则 TLP MarkingConfidence 字段将为空。

    • :表格式的指标数据。

    • JSON:JSON 格式的指标数据。

  • 源名称:从中提取指标的威胁源。

  • 指标类型:指标类型,例如 file.exe

要删除附加到案例的指标,请单击更多操作 (…​​) 菜单 → 案例评论中的删除附件

Removing an indicator from a case

将指标值添加到阻止列表,以防止所选应用程序在您的主机上运行。您可以使用 file 类型指标中的 MD5、SHA-1 或 SHA-256 哈希值。

您可以从“指标”表或“指标详细信息”弹出窗口中将指标值添加到阻止列表。从“指标”表中,选择更多操作 (…​​) 菜单 → 添加阻止列表条目。或者,打开指标的详细信息,然后选择采取措施菜单 → 添加阻止列表条目

注意

有关阻止列表条目的更多信息,请参阅 阻止列表

© . All rights reserved.