用于SIEM规则分类和条件执行的系统和方法技术方案

可以提供一种通过应用基于规则的警报方案来处理安全事件的方法。该方法包括生成规则的规则索引和每个规则的妥协指示符索引。该方法还包括通过应用规则、增加与触发规则有关的当前规则计数器、以及增加与触发规则有关的当前妥协指示符计数器来处理传入安全事件。此外，该方法包括：从接收的关于已知攻击的数据和相关的妥协指示符生成伪安全事件；通过顺序地应用规则来处理伪安全事件；增加伪安全事件的当前规则计数器；以及增加伪安全事件的当前妥协指示符计数器；以及对规则进行排序，并且在每个规则内对妥协指示符索引中的妥协指示符值进行排序。符值进行排序。符值进行排序。

【技术实现步骤摘要】
【国外来华专利技术】用于SIEM规则分类和条件执行的系统和方法

技术介绍

[0001]本专利技术总体上涉及安全信息和事件管理(Secure Information and Event Management，下文称为“SIEM”)，并且具体地涉及一种用于通过应用基于规则的警报方案来处理安全事件的方法、一种用于通过应用基于规则的警报方案来处理安全事件的相关SIEM系统、以及一种计算机程序产品。
[0002]信息技术(下文称为“IT”)安全性是IT管理人员的最高优先级列表。可用的大多数当前安全信息和事件监控(Secure Information and Event Monitoring，下文称为“SIEM”)解决方案需要手动部署、监控和调谐一组复杂相关规则，以便有效地识别和检测可能导致影响组织的安全事件的潜在安全威胁。
[0003]SIEM相关规则引擎通常要求高系统资源消耗(CPU和内存)，因为相关规则使用比较操作、过滤器和阈值来匹配一组条件并且鉴于大量摄取的安全事件而被实时评估。
[0004]平均而言，在典型的企业IT环境中以及由安全解决方案和设备产生的安全事件和日志可本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种通过应用基于规则的警报方案来处理安全事件的方法，所述基于规则的警报方案用于确定所接收的安全事件是否被认为是违规的，所述方法包括：生成规则的规则索引，所述规则将在接收到传入安全事件时被应用；为每个所述规则生成妥协指示符索引，所述妥协指示符索引的每个条目包括将用于与安全事件的属性进行比较的指示符值；通过顺序地应用所述规则来处理所述传入安全事件，其中，通过顺序地应用所述规则来处理所述进入安全事件包括：在规则递增步骤中增加与处理已触发违规的触发规则相关的当前规则计数器，以及增加与所述触发规则有关的当前妥协指示符计数器；从接收到的关于已知攻击的数据和相关的妥协指示符生成伪安全事件；以及通过顺序地应用所述规则来处理所述伪安全事件，其中，处理所述伪安全事件包括：增加与处理已触发所述违规的所述触发规则相关的伪安全事件的当前规则计数器，以及增加与所述触发规则有关的伪安全事件的当前妥协指示符计数器，根据相应的加权的规则计数器值对所述规则索引中的规则进行排序，在每个规则内，根据加权的当前妥协指示符计数器值，对所述妥协指示符索引中的妥协指示符进行排序。2.根据权利要求1所述的方法，其中，对所述规则进行排序还包括：通过组合所述规则的加权的过往规则计数器值和加权的当前规则计数器值来确定所述加权的规则计数器值。3.根据权利要求1或2所述的方法，其中，在每个规则内对所述妥协指示符进行排序还包括：通过组合相应的妥协指示符的加权的过往妥协指示符计数器值和加权的当前妥协指示符计数器值来确定加权的妥协指示符计数器值。4.根据权利要求1至3中任一项所述的方法，其中，所述规则递增步骤还包括：将所述当前规则计数器增加固定数量或增加指示所述违规的严重性的数量。5.根据权利要求1至4中任一项所述的方法，其中，增加所述当前妥协指示符计数器还包括：将所述折当前妥协指示符计数器增加固定数量。6.根据权利要求1至5中任一项所述的方法，其中，生成所述伪安全事件包括：应用从所述接收到的关于已知攻击的数据识别数据的策略技术规程(TTP)，其中所述接收到的关于已知攻击的数据是经由结构化威胁信息表达(STIX)协议接收的。7.根据权利要求1至6中任一项所述的方法，其中，生成所述伪安全事件包括：针对由攻击模式表示的部分网络攻击序列的每个阶段生成伪安全事件。8.根据权利要求1至7中任一项所述的方法，其中，生成所述伪安全事件包括：为与相应规则相关的每个妥协指示符生成伪安全事件。9.根据权利要求1至8中任一项所述的方法，其中，所述生成伪安全事件还包括：将伪安全事件的当前规则计数器重置为零；以及将用于伪安全事件的当前妥协指示符计数器重置为零。
10.根据权利要求1至9中任一项所述的方法，其中，对所述规则索引中的规则进行排序包括：通过以下步骤确定所述加权的规则计数器RCw：RC
w
＝P*过往规则计数器+(w1*观察事件)+(w2*伪安全事件),其中，P＝预定义百分比值，并且w1、w2＝预定义加权因子值。11.根据权利要求1至10中任一项所述的方法，还包括：在已经处理预定的第一数量的规则并且在每个被处理的规则内已处理预定的第二数量的妥协指示符计数器组之后，缓冲传入安全事件；以及如果传入安全事件的处理负载减小到低于预定的负载阈值，则继续对所缓冲的安全事件的处理。12.一种通过应用基于规则的警报方案来处理安全事件的SIEM系统，所述基于规则的警报方案用于确定所接收的安全事件是否被认为是违规的，所述系统包括：第一生成单元，适于生成规则的规则索引，所述规则在接收到传入安全事件时应用，其中，所述生成单元还适于为每个所述规则生成妥协指示符索引，所述妥协指示符索引的每个条目包括用于与安全事件的属性进行比较的指示符值；关联引擎，适于通过顺序地应用所述规则来处理所述传入安全事件；递增模块，适于增加与处理已触发违规的触发规则相关的当前规则计数器，其中所述递增模块还适于增加与所述触发规则相关的当前妥协指示符计数器；以及第二生成器单元，适于从接收到的关于已知攻击的数据和相关的妥协指示符生成伪安全事件，其中，所述关联引擎还适于通过顺序地...

【专利技术属性】
技术研发人员：T谢德勒，A乌杜皮拉加文德拉，I里德曼，M索伊尔，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：