邢骁
华泰证券 信息安全架构师
华泰证券安全架构师,主要研究方向包括安全平台建设、安全攻防、容器安全等
演讲:基于Elastic Stack和ATT&CK实现威胁检测与狩猎
MITRE ATT&CK矩阵将所有已知的战术用一种易于理解的格式进行排列,极大的帮助安全人员快速覆盖攻击者的入侵边界和技术手段。本议题介绍使用Elastic技术栈构建基于ATT&CK框架的安全检测平台,我们盘点ATT&CK中攻击者常用的攻击手段,从数据收集、清洗、存储入手,实现基于Elasticsearch的规则场景、多源关联分析,以及基线和异常行为检测。同时,本次议题还会介绍利用Elasticsearch进行威胁的分析狩猎的实践经验,帮助安全分析人员实现威胁的可发现、可展示和可回溯。