« 配置外部连接 Osquery »
Elastic 文档 Elastic 安全解决方案 [8.14] 调查

攻击指标

编辑

攻击指标编辑

指标页面收集来自已启用威胁情报源的数据,并提供指标(也称为攻击指标 (IoC))的集中视图。本主题将帮助您设置指标页面并解释如何使用 IoC。

需求

  • 指标页面是 企业订阅 功能。

  • 您必须在要监控的主机上安装以下其中一项

    • Elastic Agent - 安装 Fleet 托管的 Elastic Agent 并确保代理的状态为 Healthy。如果状态不是 Healthy,请参考 Fleet 故障排除
    • Filebeat - 安装 Filebeat 8.x 或更高版本。早期版本的 Filebeat 与 ECS 不兼容,将阻止指标数据在指标表中显示。
Shows the Indicators page

威胁情报和指标编辑

威胁情报是一种研究功能,它分析当前和新兴的威胁,并推荐适当的措施来加强公司的安全态势。威胁情报需要积极主动才能发挥作用,例如收集、分析和调查各种威胁和漏洞数据源。

指标(也称为 IoC)是与已知威胁或已报告漏洞相关的信息。指标类型很多,包括 URL、文件、域名、电子邮件地址等等。在安全运营中心 (SOC) 团队中,威胁情报分析师使用指标来检测、评估和应对威胁。

设置指标页面编辑

安装威胁情报集成以将指标添加到指标页面。

  1. 选择以下选项之一

    • 从 Elastic 安全应用程序主菜单中,转到 情报指标添加集成
    • 从 Kibana 主菜单中,单击 添加集成
  2. 在搜索栏中,搜索 威胁情报 以获取威胁情报集成的列表。

  3. 选择威胁情报集成,然后完成集成的引导安装。

    有关可用字段的更多信息,请转到 Elastic 集成文档 并搜索特定威胁情报集成。

  4. 返回 Elastic Security 中的指标页面。如果指标数据未显示,请刷新页面。

故障排除编辑

如果您在安装威胁情报集成后指标数据未出现在指标表中,请执行以下操作

  • 验证存储指标文档的索引是否包含在 默认 Elastic 安全索引 (securitySolution:defaultIndex) 中。存储指标文档的索引将根据您收集指标数据的方式而有所不同

    • Elastic Agent 集成 - logs_ti*
    • Filebeat 集成 - filebeat-*
  • 确保您正在摄取的指标数据已映射到 Elastic 通用模式 (ECS)

这些故障排除步骤也适用于 威胁情报视图

指标页面 UI编辑

将指标添加到指标页面后,您可以 检查、搜索、过滤和对指标数据采取行动。指标也会出现在趋势视图中,该视图在图例中显示总值。

interact with indicators table

检查指标详细信息编辑

通过单击 查看详细信息,然后打开指标详细信息弹出窗口来详细了解指标。弹出窗口包含以下信息选项卡

  • 概述:指标的摘要,包括指标的名称、它来自的威胁情报源、指标类型以及其他相关数据。

    某些威胁情报源提供 交通灯协议 (TLP) 标记。如果源未提供这些数据,则 TLP 标记置信度 字段将为空。

  • 表格:指标数据以表格形式显示。

  • JSON:指标数据以 JSON 格式显示。

    Shows the Indicator details flyout

查找相关的安全事件编辑

时间线 中调查指标以识别和预测环境中的相关事件。您可以从指标表或指标详细信息弹出窗口将指标添加到时间线。

Shows the results of an indicator being investigated in Timeline

将指标添加到时间线时,将打开一个新的时间线,其中包含一个自动生成的 KQL 查询。查询包含您选择的指标字段值对,以及自动映射的源事件的字段值对。默认情况下,查询的时间范围设置为指标的 timestamp 之前和之后七天。

指标时间线调查示例编辑

下图显示了在时间线中调查的文件哈希指标。指标字段值对为

threat.indicator.file.hash.sha256 : 116dd9071887611c19c24aedde270285a4cf97157b846e6343407cf3bcec115a

Shows the results of an indicator being investigated in Timeline

自动生成的查询包含指标字段值对(如前所述)以及自动映射的源事件字段值对,即

file.hash.sha256 : 116dd9071887611c19c24aedde270285a4cf97157b846e6343407cf3bcec115a

查询结果显示了一个具有匹配的 file.hash.sha256 字段值的警报,这可能表明环境中存在可疑或恶意活动。

将指标附加到案例编辑

将指标附加到案例可以为您的调查提供更多上下文和可用操作。此功能使您能够轻松地与其他团队共享或升级威胁情报。

要将指标添加到案例,请执行以下操作

  1. 从指标表中,单击 更多操作 (…​​) 菜单。或者,打开指标的详细信息,然后选择 采取行动

  2. 选择以下选项之一

    • 添加到现有案例:从 选择案例 对话框中,选择要将指标附加到的案例。
    • 添加到新案例:配置案例详细信息。参考 打开一个新案例 以了解有关打开新案例的更多信息。

    指标将作为新评论添加到案例中。

An indicator attached to a case

在案例中查看指标详细信息编辑

将指标附加到案例时,指标将作为新评论添加,其中包含以下详细信息

  • 指标名称:单击链接名称以打开指标详细信息弹出窗口,该弹出窗口包含以下选项卡

    • 概述:威胁指标的摘要,包括其名称和类型、它来自的威胁情报源以及其他相关数据。

      某些威胁情报源提供 交通灯协议 (TLP) 标记。如果源未提供这些数据,则 TLP 标记置信度 字段将为空。

    • 表格:指标数据以表格形式显示。
    • JSON:指标数据以 JSON 格式显示。
  • 源名称:摄取指标的威胁情报源。
  • 指标类型:指标类型,例如 file.exe

从案例中删除指标编辑

要删除附加到案例的指标,请单击案例评论中的 更多操作 (…​​) 菜单 → 删除附件

Removing an indicator from a case

使用指标中的数据扩展阻止列表编辑

将指标值添加到 阻止列表 以防止所选应用程序在您的主机上运行。您可以使用来自 file 类型指标的 MD5、SHA-1 或 SHA-256 哈希值。

您可以从指标表或指标详细信息弹出窗口将指标值添加到阻止列表。从指标表中,选择 更多操作 (…​​) 菜单 → 添加阻止列表条目。或者,打开指标的详细信息,然后选择 采取行动 菜单 → 添加阻止列表条目

有关阻止列表条目的更多信息,请参考 阻止列表

« 配置外部连接 Osquery »