这篇文章由DaveWilson(Anitian安全运营工程师)撰写,JoshuaBarott(Anitian安全运营经理)和RyanFarris(Anitian产品与工程副总裁)共同撰写。
安全工程师的角色永远不会停止,永远不会变得更容易,任何增加体力劳动的事情都是行不通的。不良行为者不断寻找暴露漏洞的新方法,推动SecOps团队通过更高和更深层次的可观察性来提高安全态势。新的和不断发展的漏洞和威胁的不断变化、动态的格局给建立防御态势以抵御网络攻击带来了持续的挑战。考虑到DevSecOps的多维职责,他们必须勤奋地投入时间,并且必须在预算范围内选择最好的技术和工具,以便在他们负责的表面范围内撒下足够广泛的网络。
为了增强我们的威胁追踪能力,AnitianSecOps团队已投资于异常检测,作为在海量数据信号中发现微妙安全风险和/或明显异常值的能力。我们的SecOps团队使用Elastic的X-Pack技术构建无监督机器学习(ML)模型。我们正在利用ML的应用来包含其他分类检测,这些检测对分析师手动解析具有挑战性。这使我们的安全分析师能够花更多时间进行有意义的安全分析并将这些信号发送给我们的客户。
Anitian使用机器学习跨多个时间序列数据源执行持续的异常检测。这使我们能够通过将非结构化日志消息分类为可理解的字符串来关联数据,然后可以将其作为组件进行分析。我们按主机类型对这些相关性进行分类,以确保我们可以区分域控制器(DC)和负载均衡器等基础设施元素,因为对这些主机类型的检测将检测到不同类型的异常行为。
Anitian从每个客户端的基础架构中摄取和聚合许多不同的日志类型,例如操作系统级别的日志记录、VPC流日志、端点检测和修复(EDR)事件以及控制台API调用。随着每个安全组件将事件数据发送到Anitian托管的SIEM,一个新的时间序列索引被添加到机器学习异常检测算法中使用的索引集中。在N上执行异常检测指数覆盖了更多的表面积,并提供了将异常从一个指数关联到另一个指数的机会,随着时间的推移,这会增加ML工作结果的置信度得分。当一个新的、独特的环境进入AnitianSecOps时,我们通过使用跨环境和日志类型的一致程序来标准化模型训练。我们将继续开发标准化检测的方法并将其传播给相关客户。