【文件属性】:
文件名称:SIEM:SIEM的策略,技巧和程序
文件大小:122KB
文件格式:ZIP
更新时间:2021-04-29 10:09:47
security monitor log analysis red
这些资源旨在指导SIEM团队...
...在SIEM和其他安全工具中开发用于内容创建(和淘汰)的工作流。
...说明提供的检测覆盖率,并突出显示覆盖率差距作为要填补的目标。
...根据组织需求消除或增加其他覆盖范围。
确保生成并记录正确的日志,以进行充分的检测,调查和合规性。
检测先决条件
如果不介绍基础知识,那么拥有SIEM并没有多大意义。 强化环境并在所有端点上配置适当的审核。
硬化
要检测攻击者,必须配备必要的日志以揭示其活动。 在这里,我们使用矩阵将检测策略映射到攻击者策略( )。
一旦收集了必要的日志(检测策略),就可以使用各种方法来揭示异常,可疑和恶意的活动。
检测用例
用例提供了一种记录解决方案的方法,其原因有很多,包括跟踪工作,统一响应,内容重新创建,指标和报告,做出明智的决策,避免工作重复等等。
资料充实
这些工作可以为某些摄取的日志提供显着的好处。 通常,充实
【文件预览】:
SIEM-master
----hardening()
--------network.md(1KB)
--------microsoft-windows-dns.md(435B)
--------microsoft-365-exchange.md(2KB)
--------microsoft-365-teams.md(1KB)
--------microsoft-365-sharepoint-and-onedrive.md(694B)
--------microsoft-365-auditing-and-reporting.md(1KB)
--------microsoft-windows.md(2KB)
--------microsoft-active-directory.md(6KB)
--------microsoft-365-azure-ad.md(5KB)
----Artifacts()
--------log-files.md(0B)
--------registry.md(75B)
--------other-files.md(115B)
----isolation()
--------microsoft-windows.md(0B)
--------microsoft-active-directory.md(0B)
----incident-tracking.md(3KB)
----Detection-Tactics.md(32KB)
----UseCases()
--------Layer7-Firewall.md(2KB)
--------Layer3-Firewall.md(2KB)
--------Detect-Password-Spraying-via-Windows-Events.md(2KB)
----Tactics()
--------Process-Access.md(717B)
--------Cloud-Amazon.md(455B)
--------Registry-Creation.md(2KB)
--------File-Modification.md(789B)
--------Module-Load.md(498B)
--------File-Creation.md(2KB)
--------Application-Log.md(923B)
--------File-Access.md(549B)
--------DNS-Requests.md(3KB)
--------Commandline-Activity.md(4KB)
--------Process-Execution.md(10KB)
--------Resource-Consumption.md(353B)
--------Network-Full-Packet-Capture.md(620B)
--------Account-Modification.md(2KB)
--------Network-Activity-by-Process.md(1KB)
--------Registry-Modification.md(2KB)
--------Service-Modification.md(520B)
--------Cloud-Microsoft.md(1KB)
--------Email-Traffic.md(1KB)
--------API-Usage.md(414B)
--------Account-Creation.md(874B)
--------Network-Activity-by-Flow.md(1KB)
--------Scheduled-Task-Creation.md(613B)
--------Log-Clearing.md(973B)
--------Web-Request.md(2KB)
--------Account-Logon.md(2KB)
--------Cloud-Google.md(454B)
--------Network-Activity-by-IP.md(812B)
--------Service-Creation.md(649B)
----Lookups()
--------o365-principalappid.csv(20KB)
--------windows-status-code.csv(795B)
--------windows-logon-type.csv(191B)
----Preparation.md(4KB)
----response-tools-resources.md(1KB)
----Lab()
--------WindowsVictim.md(5KB)
--------helk.md(355B)
--------pfSense.md(2KB)
--------sysmonlabconfig.xml(21KB)
----attack-tools-resources.md(4KB)
----Detect.ods(9KB)
----Metrics.md(863B)
----LICENSE(34KB)
----Detection-Methods.md(4KB)
----README.md(3KB)
----Afer-Action-Review.md(4KB)
----Use-Case-Review.md(1KB)
----Incident-Response-Policy.md(60KB)
----Use-Case-Structure.md(4KB)
----mitigation-categories.md(814B)
----.gitignore(67B)
----Logging.md(4KB)
----Notable-Event-IDs.md(44KB)