2.2　处理事件

在IR生命周期上下文中，处理事件包括检测和遏制阶段。

为了检测到威胁，检测系统必须了解攻击向量，而且由于威胁环境变化如此之快，检测系统必须能够动态了解更多有关新威胁和新行为的信息，并在遇到可疑活动时触发警报。

虽然检测系统会自动检测到许多攻击，但终端用户在识别和报告问题方面扮演着重要角色，他们可能会发现可疑活动。

为此，终端用户还应该了解不同类型的攻击，并学习如何手动创建事件通知单来处理此类行为，这应该是安全意识培训的一部分。

即使用户通过勤奋工作密切监视可疑活动，并配置传感器在检测到破坏企图时发送警报，IR流程中最具挑战性的部分仍然是准确地检测出真正的安全事件。

通常，你需要手动地收集不同来源的信息，以查看收到的警报是否真的反映了有人试图利用系统中的漏洞进行攻击。请记住，数据收集必须符合公司的政策。在需要将数据带到法庭的情况下，你需要保证数据的完整性。

图2-4显示了一个示例。在该示例中，为了识别攻击者的最终意图，需要组合和关联多种日志。

图2-4　在识别攻击者的最终意图时需要多种日志

本例中有许多IoC，将所有内容放在一起可以有效地验证攻击。请记住，根据在每个阶段收集到的信息等级，以及信息的确凿性，你可能没有证据证明信息被泄露，但是会有攻击的证据，这就是本示例的IoA。

表2-2更详细地解释了该图，假设有足够的证据来确定系统受到了危害。

表2-2　对图2-4中多种日志的说明

如你所见，有很多安全控制措施可以帮助判断危害的迹象。然而，将它们放在一个攻击时间线中并交叉引用数据可能会更加有效。

这又带出了我们在上一章中讨论的一个主题：检测正在成为公司最重要的安全控制之一，位于整个网络（内部和云端）的传感器在识别可疑活动和发出警报方面发挥着重要作用。网络安全的一个日益增长的趋势是利用安全情报和高级分析来更快地检测威胁并减少误报。这样可以节省时间，提高整体精度。

理想情况下，将监控系统与传感器集成，可以在单个仪表盘上可视化显示所有事件。如果你使用的是不允许彼此交互的不同平台，情况可能并非如此。

在与前面类似的场景中，检测和监控系统之间的集成有助于将执行的多个恶意活动点连接起来，以实现最终任务，即数据提取并提交给命令和控制。

一旦检测到事件并确认为真，你需要收集更多数据或分析已有的数据。如果这是一个持续存在的问题，此时攻击正在发生，你需要从攻击中获取实时数据，并迅速提供补救措施来阻止攻击。因此，检测和分析有时几乎是并行进行的，这样可以节省时间，然后利用这段时间快速响应。

当没有足够的证据证明发生了安全事件时，最大的问题就出现了，你需要不断捕获数据以验证其准确性。有时，检测系统无法检测到事件的发生。也许终端用户报告了这个问题，但他们无法在那一刻重现问题。没有可供分析的有形数据，而且问题在你到达时并未发生。在这种情况下，需要设置环境来捕获数据，并告知用户在问题真实发生时联系支持部门。

优化事件处理的最佳实践

如果不知道什么是正常的，你就无法确定什么是不正常的。换句话说，如果用户开启一个新事件，说服务器性能低，你必须知道所有变量，然后才能得出结论。要知道服务器是否很慢，首先必须知道什么是正常速度。这也适用于网络和其他设备。为了建立这种认识，请务必做到以下几点：

·系统配置文件

·网络配置文件/基线

·日志保留策略

·所有系统的时钟同步

在此基础上，才能够确定所有系统和网络的正常情况。当事件发生时，这一点非常有用，即在从安全角度对问题进行故障排除前，你需要确定什么是正常的。