当前络安全分析的主要挑战之一,是没有共同商定的日志和警报的格式和数据模型,因此,几乎每个人在这个领域都创建和使用自己的格式和数据模型,如STIX、OSSEM 和 Sigma 分类法。但迄今为止,这些都没有被产品广泛采用。网络安全专家们仍需要进行大量的手工操作来获得有价值的信息。但当涉及到检测工程、威胁猎取和分析开发时,它会导致许多问题,更不用说人工智能了——正如罗伯-托马斯所说,”没有IA就没有AI”。尽管这一问题已经困扰这个行业许久,但一直都没有得到很好的解决。
在过去的几个月里,IBM Security一直在与18家供应商合作,包括AWS、Splunk、Crowdstrike、SumoLogic等,致力于OCSF的社区发布。OCSF是一项开源的,旨在为整个网络安全生态系统的安全事件创建一个通用模式框架。
本文主要介绍开放式网络安全模式框架(Open Cybersecurity Schema Framework, OCSF )及其分类。
该框架由数据类型、属性字典和分类组成。其并不局限于网络安全领域,也不局限于事件(虽然该框架最初的重点式网络安全事件的模式)。感兴趣的读者可参阅[OSCF浏览页面](sechema.ocsf.io)进行查看。OCSF与存储格式、数据收集和 ETL过程无关,其定义文件和规范性模式是JSON格式。
角色
• 创作者(author):架构的创建者或者扩展者。
• 生产者(producer):给架构生成原生事件的人。
• 映射者(mapper):将其他来源的事件创建或者转换到架构中的人。
• 分析者(analyst):搜索数据、根据框架构建规则或者分析、或者基于框架生成报告的终端用户。
例如,供应商同时作为映射者和创作者角色进行操作。供应商可以将本地数据格式转化成该模式,如果想要适应自己的特性属性和操作也可以对该模式继续拓展。随后SOC分析师会根据SIEM系统中收集的数据对事件编写规则。此时SOC分析师的角色是分析者。最后,供应商作为生产者,以 OCSF 形式发布事件。
分类
• 数据类型、属性和数组(data types、attributes and arrays)
• 属性字典(attribute dictionary)
• 事件类(event classes)
• 类别(categories)
• 配置文件(profiles)
• 扩展( extensions)
标量数据类型(scalar data types,具有可预测和可枚举值序列的数据类型)是在原始数据类型的基础上定义的,如字符串、整数、浮点数和布尔值。标量数据类型的例子有:时间戳、IP地址、MAC地址、路径名和用户名。
大多数标量数据类型都有范围限制,例如Enum整数类型就被限制在一个特定的整数值集合。Enum整数类型的属性是框架结构的重要组成部分,在有些情况下可能用来代替字符串以确保一致性。
复杂数据类型也被称作为对象,对象是一个上下文相关属性的集合,通常代表一个实体,也可能包含其他对象。每个对象在OCSF中也是一种数据类型。对象数据类型的例子有:进程、设备、用户、恶意软件和文件。复杂数据类型也可以根据其特定的结构和属性要求进行验证。
属性是一个特定字段的唯一标识,以及相应的可验证标量或复杂数据类型(Complex data types)。
属性字典包括所有可用属性,事件类是字典中的特定属性集。
OCSF中的事件是由事件类来表示的,事件类构成了一个属性。一个单独的事件是一个事件类的示例,其有全局唯一的ID。
每个事件类都按类别分组,且有一个唯一的 `category_uid` 属性值,即类别标识。也有我们熟悉的别称,如系统活动、网络活动、安全发现等。事件类按类别分组主要是为了特定事件域的容器,文件的便利性包括搜索、报告、存储分区和访问控制,
配置文件可以将其他相关属性覆盖到事件类和对象中,从而允许跨类别事件类的扩展和过滤。事件类注册配置文件可以由生产者或映射者选择性地应用或混合到事件类和对象中。例如,当终端安全产品是数据源时,系统活动事件类还可能包括恶意软件检测或漏洞信息的属性。来自主机的网络活动事件类可以携带与活动相关联的设备、进程和用户。在这些情况下,可以应用恶意软件配置文件或主机和用户配置文件。
最后,拓展允许在不修改核心模式的情况下使用该框架来拓展模式。新的属性、对象、事件类、类别和模板都可以用于拓展。现有的模板可以应用于拓展,而新的模板可以应用于核心事件类别和对象以及其他拓展。
[OSCF浏览页面](sechema.ocsf.io) 直观的表示了类别、事件类、字典、数据类型、模板和拓展。
与 MITRE ATT&CK 框架比较
MITRE ATT&CK框架在网络安全领域被广发使用。虽然这两个框架的目的和内容类型不同,但相互补充。ATT&CK 与 OCSF 分类法有一些相似之处,这对熟悉 ATT&CK 的人可能有启发。
类别类似于战术,有唯一的ID。事件类类似于技术,有唯一的ID。Profiles类似于Matrices,有唯一的名称;Profiles可以对事件类和类别进行过滤,类似于 Matrices 对技术和战术进行筛选。
与MITRE ATT&CK 的不同之处在于,在OCSF中,事件类别只属于一个类别,而MITRE ATT&CK技术可以是多个战术的一部分。同样,MITRE ATT&CK 程序也可以在多个技术中使用。MITRE ATT&CK 有子技术,而OCSF没有子事件类别。
OCSF是开源的,可有供应商和终端客户拓展。而 MITRE ATT&CK 则是由 MITRE 发布。
原文始发于微信公众号(山石网科安全技术研究院):了解开放式网络安全模式框架OCSF
