Elastic 信息安全团队使用 Tines 提升威胁检测与响应能力

Elastic 的信息安全团队最近详细介绍了他们如何利用 Tines 实现工作流自动化，旨在提高识别和应对网络安全威胁的能力。该系统能够自动分类来自安全信息与事件管理（SIEM）系统的警报，从而增强识别和优先处理真实威胁的能力。

自动化工作流的实施与成效

Elastic 的首席信息安全分析师 Aaron Jewitt 在一篇博客文章中详细阐述了这一自动化工作流的实施。通过这一流程，团队每月能够调查并解决超过 50,000 条警报，每条警报在触发后几秒钟内即可被处理。这种自动化方式使团队能够专注于调查复杂的威胁，从而提升整体安全态势。

背景与挑战

此前，Elastic 的信息安全团队创建了用于检测用户和实体行为分析（UEBA）的规则包。UEBA 通过分析用户和设备的活动数据来建立正常行为标准。然而，团队发现许多 UEBA 警报如果来自受信任的设备，可以被忽略。他们的调查通常涉及将警报的详细信息与 Elasticsearch 数据库进行比对，如果找到匹配的活动，警报很可能是误报。处理大量误报可能导致分析师疲劳并遗漏真正的威胁。

自动化解决方案

Elastic 的系统目前将安全警报传输到安全编排、自动化和响应（SOAR）系统。SOAR 系统通过查询自动调查每条警报，并根据结果解决警报或将其升级给安全分析师进行进一步审查。Jewitt 进一步解释了如何使用 Tines 构建自动化分类工作流。Elastic 的安全团队利用 Elastic Security 中的警报操作，通过内置的 Tines 连接器或 webhook 将警报数据以 ndjson 格式发送到 SOAR 解决方案。

自动化分类与通知

自动化分类标签（如 Triage:All、Triage:Asset、Triage: Workstation）用于将规则路由到适当的分类路径。利用 Tines 中的不同操作，警报可以进一步发送到 Slack 或 PagerDuty。例如，未解决的警报可以升级到 Slack 进行通知。

SIEM 的重要性

在 Reddit 上，关于 SIEM 的重要性也有有趣的讨论。用户 Threezeley 询问如何评估 SIEM 的有效性，而用户 skylinesora 强调 SIEM 作为安全运营基础的重要性，指出 SIEM 提供的数据和警报是 SOAR 系统进行有效威胁检测和响应的关键。

自动化面临的挑战

Jewitt 还提到自动化面临的挑战，特别是其对内部威胁的有限有效性。攻击者使用受感染的设备或授权连接可能被视为可信来源，从而绕过自动分类。此外，第三方服务使用的授权 API 令牌可能触发误报。解决这些问题需要时间和精力来跟踪和建立例外规则，但这有助于提高威胁检测的准确性。

试用与探索

感兴趣的读者可以通过 14 天的 Elastic Cloud 试用版和 Tines 的免费社区版来探索这一自动化方法。