安全运营中心之自动化攻击溯源

0x00、业务需求早期的安全运营中心，主要的功能就是SIEM把能收集的基础日志、安全日志收集存储到一起，然后把这些简单的做一些规则性的关联分析就叫SOC。伴随着科技的发展，安全产品可以有效的收集更精准的基础数据，例如EDR产品中的，基础进程数据、网络访问数据。NTA产品中的全流量数据。安全日志也不简单的IDS规则产生的告警日志，而是通过机器学习发现的异常网络访问日志，DGA域名访问等高级入侵事件。那么怎样把这些日志有效的关联在一起，形成用户想要的定向攻击事件日志？个人认为云安全产品首先可以在这个方面得到收益，因为日志可以高度集中，和归一化。 0x01、图分析应用威胁狩猎成熟模型：level 0：主要依靠自动警报，很少或没有常规数据收 ………………………………