(一)背景
乙方安全团队在为企业做安全服务的时候,通常会依赖于乙方自己的安全产品做服务。而一般来说,对于产品检出的威胁,我们是需要分析人员去核查是否真的存在此类威胁,其中不免有些误报。另一方面,威胁的泛滥在各企业大同小异,在这出现的威胁,在另一个企业可能也有,那么分析人员在一个企业分析完威胁后,另一个分析人员在另外的企业也会分析同样的,造成资源的浪费。
基于此我们提出希望搭建分析服务知识平台,整合威胁信息,减少分析负担。
总结的几点:
(1)减少误报的重复研判。
(2)减少威胁的重复分析。
(3)常见威胁的报告提取
(4)新出现的威胁查询
知识库平台的搭建很大程度上是为了报告的输出,大家都明白,企业汇报是需要报告的,而写报告有时候是很耗人力的。
(二)知识库主体设计
需要录入的事件有:
(1)误报的录入
(2)安全事件的录入
(3)常见安全事件的录入
(4)最新安全事件的录入
支持的关键字检索字段有:
病毒类型:(可以加上其他主流厂商的病毒名)
样本及衍生文件MD5值:(多个)
网络连接域名:(多个)
网络请求IP:(多个)
病毒主体及衍生文件名:(多个)
服务名:
注册表键值对:
文件路径:
互斥量名:
脚本:
其他字符串:
威胁事件主体构成:
事件基本信息,威胁日志截图,发生时间
事件分析,样本分析,传播分析,溯源分析
事件处置,处置威胁,加固方案
附件:
提交给用户的报告
本次事件涉及的样本HASH列表
样本单独以HASH命令存放
注意:威胁事件录入后支持后续任意成员参与修改。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
