发现和响应

来源：http://veriscommunity.net/discovery.html

本节重点介绍事件的时间轴、事件是如何被发现的，以及在响应和补救过程中获得的教训。它为组织的检测和防御能力提供了有用的见解，并帮助识别所需的纠正措施，以检测和/或防止今后发生类似事件。

VERIS分类注:如果行为者在违反行为中的作用仅限于一个共同的错误，则此处不包括行为者。例如，如果内部人员对应用程序的非故意错误配置使其容易受到攻击，那么如果应用程序被另一个参与者成功入侵，内部人员将不会被视为威胁参与者。蓄意窃取数据的内部人员或其不适当的行为(如违反政策)促成了泄露，将被认为是泄露中的威胁行为人。

一、事件时间表

事件发生前后的时间轴因多种因素而变化很大。VERIS跟踪以下事件里程碑，不是所有的都适用于每个事件:

（1）第一次恶意行为:威胁行动者开始对受害者进行恶意行为。端口扫描，发起蛮力攻击，甚至物理侦察，都是一些例子。这只与故意和恶意的行为有关。

（2）初始破坏:信息资产的安全属性 (C/P, I/A, A/U) 被破坏的第一个点。

（3）数据泄露:从受害者环境中获取非公开数据的第一点。仅适用于数据泄露事件。

（4）事件发现:当组织第一次得知事件已经发生。

（5）控制/恢复:事件被控制(如“止血”)或恢复(如功能齐全)的点。

时间框架的事件产生了非常有用的指标，关于威胁行为者和他们的行动，安全准备，弹性，受害者的响应，以及许多其他因素。注意，自从我们发布VERIS框架以来，跟踪时间轴信息的方法已经改变了几次。最近，我们将收集每个阶段的时间戳改为收集阶段之间的时间戳(这是最初的方式)。

二、事件日期

事件是什么时候发生的?

用户说明:信息资产的安全属性 (C/P, I/A, A/U)被破坏的第一个点。以hh:mm:ss UTC偏移格式记录时间(例如15:18:27 -0500)。

问题类型:日期和时间字段

变量名:: timeline.incident(由年(整数)、月(整数)、日(整数)、时间(字符串)变量组成)

目的:有助于构建事件的时间线，这对报告、趋势和分析是有用的。

开发人员注意:我们将日、月和年分开，而不是使用单个日期字段。我们这样做是因为在某些匿名与其他组织共享信息的情况下，使用事件的确切日期可能不可取。因此，只需要一年;日期、月份和时间是可选的。我们建议组织在使用VERIS进行内部事件跟踪时记录准确的日期和时间。当与他人共享时，这样的组织可以根据需要省略时间/日/月。您可能希望将其显示在应用程序的“事件跟踪”部分，因为从用户的角度来看，它非常适合这里。

杂项:组织间约会有很多不同的方式。我们建议将最合适的选项作为基于时间的事件分析和趋势的主要日期(例如，创建2012年所有事件的统计数据)。它通常不是事件的高潮。，它可能是在DDoS攻击期间或在任何后续行动之前首次入侵网络的可用性丢失的第一个证据)。

三、破坏时间

问题文本:

用户指出:N / A

问题类型:枚举列表(多选)

变量名:timeline.compromise (single-select)表示单位，text field表示值(number)

目的:有助于构建事件的时间线，这对报告、趋势和分析是有用的。

开发人员指出:N / A

杂项:N / A

四、泄露时间

问题文本:对数据泄露的初步破坏:

用户注释:选择一个合适的时间单位(例如分钟或天)，然后指定一个值(例如，分钟或天数的确切数字)。当我们提供周、月和年的选项时，可以考虑指定天数来提高精确度(例如，可以指定天数)。79天比2或3个月更精确)。

问题类型:单元的枚举列表(single-select)和值的文本字段

变量名:imeline.exfiltration(由单元组成的)和vvalue(数字变量)

目的:有助于构建事件的时间线，这对报告、趋势和分析是有用的。

开发人员指出:N / A

杂项:N / A

五、发现的时间

问题文本:对发现事件的初步破坏:

用户注释:选择一个合适的时间单位(例如分钟或天)，然后指定一个值(例如，分钟或天数的确切数字)。当我们提供周、月和年的选项时，可以考虑指定天数来提高精确度(例如，可以指定天数)。79天比2或3个月更精确)。

问题类型:单元的枚举列表(single-select)和值的文本字段

变量名:timeline.discovery(组成单位)(串;枚举)和值(数字)变量)

目的:有助于构建事件的时间线，这对报告、趋势和分析是有用的。

开发人员指出:N / A

杂项:N / A

六、控制时间

问题文本:对遏制/恢复的初步破坏:

用户注释:选择一个合适的时间单位(例如分钟或天)，然后指定一个值(例如，分钟或天数的确切数字)。当我们提供周、月和年的选项时，可以考虑指定天数来提高精确度(例如，可以指定天数)。79天比2或3个月更精确)。

问题类型:单元的枚举列表(single-select)和值的文本字段

变量名:timeline.containment(由机组组成(串;枚举)和值(数字)变量)

目的:

开发人员指出:N / A

杂项:N / A

七、发现方法

问题文本:该事件是如何被发现的?

用户说明:如果涉及到多个发现方法，请选择主要的(或第一个)发现方法(是什么引起的?)

问题类型:枚举列表(单次选择)

变量名:discovery_method(字符串)

Ext - actor disclosure: disclosed by threat agent (e.g., public brag, private blackmail)

Ext - fraud detection: External - fraud detection (e.g., CPP)

Ext - monitoring service: External - managed security event monitoring service

Ext - customer: External - reported by customer or partner affected by the incident

Ext - unrelated party: External - reported by unrelated external party (not customer, partner, law enforcement)

Ext - audit: External - security audit or scan

Ext - unknown: External - unknown

Int - antivirus: Internal - antivirus alert

Int - incident response: Internal - discovered while responding to another (separate) incident

Int - financial audit: Internal - financial audit and reconciliation process

Int - fraud detection: Internal - fraud detection mechanism

Int - HIDS: Internal - host IDS or file integrity monitoring

Int - IT audit: Internal - IT audit or scan

Int - log review: Internal - log review process or SIEM

Int - NIDS: Internal - network IDS or IPS alert

Ext - law enforcement: Internal - notified by law enforcement or government agency

Int - security alarm: Internal - physical security system alarm

Int - reported by user: Internal - witnessed suspicious actions by threat agent

Int - unknown: Internal - unknown

Unknown: Unknown

Other: Other

目的:确定事件是如何被发现的，这在很大程度上说明了本组织的侦查能力和准备情况。

开发人员指出:N / A

杂项:N / A

八、根本原因

问题文本:导致这一事件发生的根源控制失败或弱点是什么?

用户说明:显然，这里可以列出许多因素。你想写多少就写多少，但我们建议关注与当前事件最相关的问题。

问题类型:文本字段

变量名:control_failure(字符串)

目的:了解哪里出了问题是改正错误的必要的第一步。

开发人员指出:N / A

杂项:N / A

九、纠正措施

计划(或建议)哪些纠正措施来防止和/或在将来发现类似事件?

用户说明:这可以包括一般建议、政策、程序、人员和技术的具体变化、短期和长期战略等。我们建议你不要采取“除了厨房水槽什么都做”的方法;关注那些在你的环境下实际可行的事情。

问题类型:文本字段

变量名:corrective_action(字符串)

目的:确定要做什么(或应该做什么)来防止此类事件在未来再次发生。这对于解决导致事件的根本问题显然很重要，但对于分析纠正行动本身的性质和程度(简单/便宜vs困难/昂贵，或者过程修复vs技术修复)也很有用。

开发人员指出:N / A

杂项:N / A

十、定向vs机会主义

问题:这是定向或机会主义攻击吗?

用户指出:N / A

问题类型:枚举列表(单次选择)

变量名:targeted(字符串)

Opportunistic: Victim attacked because they exhibited a weakness the actor knew how to exploit

Targeted: Victim chosen as target then actor determined what weaknesses could be

Unknown: Unknown

NA: Not applicable

目的:能够根据这一区别对事件进行比较分析。

开发人员指出:N / A

杂项:仅与蓄意的、恶意的行为有关。回答这个问题有一定程度的主观性，但它仍然是一个有用的特征，可以与事件联系起来。