侵害の指標への対応方法は？

あなたの声明についての質問

「指定されたすべてのIOCをブロックする必要がありますか？その場合、非常に時間がかかり、セキュリティに関しては効果的ではありません。」

与えられたすべてのIOCをブロックするほうが時間の節約にならないでしょうか？次の手順を検討します。

1. すべてのネットワークIOC（URL/IPアドレス）をブロックする
2. ネットワークIOCに送信されるトラフィックのネットワークログをスキャンします
   -ある場合は、IRに進みます
3. 組織に影響があるかどうか、各IOCを評価します（一部の組織はパブリックIPを使用しているため、内部で使用されているIPが既知のIOCである可能性がありますが、これは無視または修正できます）
4. 評価に基づいて、ネットワークIOCのブロックを解除または継続します。

必要な手順を実行する前に、ネットワークIOCを最初にブロックするステップは、潜在的なC2サーバーとネットワークの間のそれ以降の通信を直ちに遮断することがわかります。しかし、私のソリューションはファイルをカバーしておらず、ハッシュです。

このフローについてどう思うか教えてください

1）脅威インテリジェンスが提供するインジケーターは期限切れ/減衰する必要があります。つまり、インジケーターはその期間だけ持続する必要があります https://www.misp-project.org/misp-training/a.5-decaying-indicators。 pdf
2）オープンソースのプラットフォームであるMISPは、指標の目撃情報を処理する最良の方法を提供します- https://www.circl.lu/doc/misp/sightings/
3） Dovehawk - https://github.com/tylabs/dovehawk -MISP Sightingsを内部ネットワークIP、FQDN、ファイルにリンクできますハッシュ、およびクレジットが見られた
4）MISPとZeekの間で追加の統合を実行できます https://wlcg-soc-wg-doc.web.cern.ch/integrations/misp_zeek.html
5）MISPの有無にかかわらず、ZeekはZeek Intelligence Frameworkで目撃情報を追跡できます- https://docs.zeek.org/en/current/frameworks/intel.html - -制限を含む- https://github.com/J-Gras/intel-limiter -および有効期限- https://github.com/J-Gras/intel -expire

何もブロックしないでください。検索、シーク、破壊を行ってください。ブロックしたい場合は、環境内で実行/インストールされた既知のマルウェアの特性を一致させ（これらはあなたに固有であるため）、Suricata IPSまたは同様のものでブロックします。一部のマルウェアC2は既知の正常なメールまたはWebインフラストラクチャ上に存在するため、IPまたはFQDNを無意味にブロックします。さらに、偽のC2があなたまたはあなたの脅威インテリジェンスフィードに嘘をつく可能性があります。

たぶん、ファイルのハッシュをブロックします。 EPP、AWL、EDRソリューションはブロッキングハッシュをサポートします。フリート全体でこれをサポートし、目撃情報を確認したい場合は、チェックアウト- https://zeek.org/2020/03/23/announcing-the-zeek-agent/

フリートに指標を照会する方法が必要な場合は、Velocidexスイート- https://www.velocidex.com -特にVelociraptorをお勧めします