Add to collection(s) Add to saved
  1. No category
Uploaded by Wagner Rodrigo

Gestão de Casos de Uso de Detecção de Ameaças utilizando MISP (1)

advertisement 
BHACK
Threat Detection
Use Case
Manager @ MISP
BRUNO
GUERREIRO
C:\Users\bguerreiro> whoami.exe
 Nômade brasileiro em busca de um lugar ao sol. Atualmente meu próprio
chefe…. Mas respondendo ao conselho (esposa).
 Instrutor e Orientador
 Cyber Community Manager
Bruno Guerreiro Diniz
 bruno.guerreiro@datasec.com.br
 linkedin.com/in/brunogdiniz/
 twitter.com/brunogdiniz
C:\Users\bguerreiro> whoami.exe
MDR
Embasamento NIST CSF
Operations
Engineering
MDR
Embasamento NIST CSF
Resposta
Detecção
Caso de Uso
Um caso de uso é uma metodologia usada na análise de
identificar, esclarecer e organizar
os requisitos do sistema.
sistemas para
Cada caso de uso contém três elementos essenciais:
• O ator => Cenário de Ameaça
• O objetivo => Condição de Sucesso da Ameaça
• O sistema => Comportamento da Ameaça
Fonte: https://www.techtarget.com/searchsoftwarequality/definition/use-case
Caso de Uso em Detecção e
Resposta
“Os casos de uso são o núcleo das atividades de
monitoramento de segurança. Um processo estruturado
para identificar, priorizar, implementar e manter casos
de uso permite que as organizações alinhem os esforços
de monitoramento para estratégia de segurança,
escolha as melhores soluções e maximize o valor obtido
de ferramentas de monitoramento de segurança.”
- Dr. Anton Chuvakin
Fonte: https://blogs.gartner.com/anton-chuvakin/2016/02/17/our-new-paper-on-securitymonitoring-use-cases-publishes/
Definições Importantes
Definições Importantes
Cenário de Ameaça
Caso de Uso
Regra de Detecção
Por que é importante?
(Adaptação)
Fonte:
Cardinal Ops - 2022 REPORT THE STATE OF SIEM DETECTION RISK Report
Por que é importante?
(Adaptação)
Fonte:
Cardinal Ops - 2022 REPORT THE STATE OF SIEM DETECTION RISK Report
CTI Mapping Capabilities
Complexity
Domain/Hostname
IPs
Hashes
IoAs & TTPs
• Annoying
Pescaria de Anzol
- Avalio Primeiro
- Detecto Depois
• Simple
• Easy
IOCs
Network and
Host Artifacts
• Challenging
R&D
Tools
• Complex
Operations
TTPs
Pescaria de Arrasto
- Detecto Primeiro
- Avalio Depois
• Trivial
12
Por que é importante?
(Volume)
Fonte: Red Canary 2022Threat Detection Report
Por que é importante?
(Volume)
Por que é importante?
(Amplitude)
Domínio: TI / SecTI
Domínio: SOC
Prevenção
Log Sources
Sensores
Deception
Scan de
Vulnerabilidades
Enriquecimento
Reputação de Ameaças
IOCs / IOAs
Early Detection
TIP
Security Analytics
(Online)
Firewall
Domínio: Governança de Risco
SIEM
(Online)
LOG Correlacionável
Network IPS
Enriquecimento
Cloud
Risk Management
Antivírus
Switches
xDR (EDR / NDR)
LOG Archive
(Offline)
ITSM
Servidor
Tratamento
Live
Forensics
Contenção
SOAR
SOC
Retro Hunt & Auto Hunt
Detection Knowledge Base
Novos IOCs/IOAs
+
Logs Antigos
Dia 1
Logs
Dia 2
Threat
Novos IOCs/IOAs
+
Novos Logs
Novos IOCs/IOAs
Logs
Dia 3
Logs
Dia 4
Logs
Dia 5
Logs
Threat
16
SIGMA
17
SIGMA
18
SIGMA
SIGMA
MISPANDO: Preparando o terreno
CONTEXTO
REQUISITOS
CODE
MISPANDO: Caso de Uso
MISPANDO: Regras de Detecção
MISPANDO: Biblioteca
Automatizando os Indicadores
Automatizando Indicadores de
Falso Positivo
Extraindo Métricas
Automatizando o Retro-Hunting
Related documents
BALDAT
BALDAT
Tanium RiscoCibernetico (1)
Tanium RiscoCibernetico (1)
a deteccao
a deteccao
Capacidade do processo
Capacidade do processo
Pentest-Web-DECSTORE
Pentest-Web-DECSTORE
Apresentação Estágio
Apresentação Estágio
Comptia-601-CAP 14 PT
Comptia-601-CAP 14 PT
Criando a Cultura Lean Seis Sigma LIVRO
Criando a Cultura Lean Seis Sigma LIVRO
Download
advertisement