攻擊狙殺鏈告警事件關聯技術v2.0

主動式資安情資與智能偵防技術計畫

(1)網路資安告警事件關聯技術v2.0 (2)基於攻擊狙殺鏈之網路行為關聯規則集v2.0 (3)網路攻擊偵防聚合規則集v2.0 (4)主機攻擊偵防聚合規則集v2.0

雛型

針對APT攻擊特性，駭客於網路與主機層級發動組合式攻擊狙殺鏈，以往對特定攻擊制訂的偵測規則，已不足以獵捕攻擊鏈行為，亟需研發攻擊狙殺鏈告警事件關聯技術，以利獵捕攻擊狙殺鏈過程相關行為，協助企業及時掌握資安攻擊與評估資安事件影響範圍等，完善資安事前防禦、事中偵測及事後應變。

資安維運業者、資安設備廠商、資訊服務業者、領域業者。

可支援容器化管理系統之實體主機或雲端平台，硬體規格如下：建議8核以上CPU、16GB以上記憶體、512GB以上硬碟。

資安維運、資安防護、網路管理

目前國內資安維運(SOC)廠商多以安全資訊事件管理系統(SIEM)彙整異質資安防護設備或主機機核日誌等之告警事件，仍需投入相當人力分析告警事件，缺乏可自動化或半自動化資安告警事件關聯之輔助技術或系統。

At present, domestic SOC service providers mostly use "Security Information and Event Management (SIEM)" to aggregate alert events from various security appliance or host audit logs, but still require a significant amount of manpower to analyze those events, and lack assistance technologies or systems for automating or semi-automating the correlation of security events.