diciembre 14, 2024

Documentación y estandarización de registros de eventos de seguridad de diversas fuentes de datos y sistemas operativos

0
Voiced by Amazon Polly
Comparte en redes sociales

Los metadatos de eventos de seguridad de código abierto (OSSEM) son un proyecto dirigido por la comunidad que se enfoca principalmente en la documentación y estandarización de registros de eventos de seguridad de diversas fuentes de datos y sistemas operativos. Los eventos de seguridad se documentan en un formato de diccionario y se pueden usar como referencia para proyectos como ThreatHunter-Playbook, mientras se asignan fuentes de datos a análisis de datos, utilizados para validar la detección de técnicas adversas. Además, el proyecto proporciona un modelo de información común (CIM), que se puede usar para ingenieros de datos durante los procedimientos de normalización de datos. Para permitir a los analistas de seguridad consultar y analizar datos en diversas fuentes de datos. Finalmente, el proyecto también proporciona documentación sobre la estructura y las relaciones identificadas en fuentes de datos específicas para facilitar el desarrollo de análisis de datos.

Objetivos del proyecto:

  • Definir y compartir un modelo de información común para mejorar la estandarización de datos y la transformación de los registros de eventos de seguridad.
  • Definir y compartir estructuras de datos y relaciones identificadas en los registros de eventos de seguridad.
  • Proporcionar información detallada en un formato de diccionario sobre varios registros de eventos de seguridad a la comunidad.
  • Obtener más información sobre los registros de eventos de seguridad (Windows, Linux y MacOS).
  • Aprender más sobre la estructura de datos en los SIEM cuando se trata de detección.

La estructura del proyecto esta formada por cuatro partes principales:

  • Modelo de información común (CIM) :
    • Facilita la normalización de los conjuntos de datos al proporcionar una forma estándar de analizar los registros de eventos de seguridad
    • Está organizado por entidades específicas asociadas con registros de eventos y definido en más detalles por Diccionarios de datos.
    • Las definiciones de cada entidad y sus respectivos nombres de campo son en su mayoría descripciones generales que podrían ayudar y acelerar los procedimientos de análisis de registros de eventos.
  • Diccionarios de datos :
    • Contiene información específica sobre varios registros de eventos de seguridad organizados por sistema operativo y sus respectivos conjuntos de datos.
    • Cada diccionario describe un único registro de eventos y sus correspondientes nombres de campo de eventos.
    • La diferencia entre la carpeta Modelo de información común y los diccionarios de datos es que en el CIM las definiciones de campo son más generales, mientras que en un diccionario de datos, cada definición de nombre de campo es única para el registro de eventos específico.
  • Modelo de datos de detección :
    • Se enfoca en definir los datos requeridos en forma de objetos de datos y las relaciones entre ellos necesarios para facilitar la creación de análisis de datos y validar la detección de técnicas adversas
    • Esto está inspirado en el increíble trabajo de MITRE con su proyecto CAR Analytics.
    • La información necesaria para cada objeto de datos se extrae de las entidades definidas en el Modelo de información común
  • Fuentes de datos de ATAQUE :
    • Se enfoca en la documentación de las fuentes de datos sugeridas o asociadas con las técnicas definidas en Enterprise Matrix.
    • Además, aquí es donde se asignarán las fuentes de datos con objetos de datos específicos definidos en la parte del modelo de datos de detección del proyecto, con el objetivo principal de crear un enlace entre técnicas, fuentes de datos y análisis de datos

Más información y descarga de OSSEM:

https://github.com/hunters-forge/OSSEM

Deja un comentario