我们讨论了汽车 API 如何成为智能移动生态系统的主要攻击媒介之一。与此相关的风险是显而易见的。如果威胁行为者能够大规模远程利用 API,他们将有能力损害品牌或提出赎金请求。当然,Splunk 平台的强大之处在于能够从任何数据大规模创建任何用例。在本博客中,我们将深入研究 API 安全用例,使用机器学习检测 API 异常,并将这些检测与Splunk Enterprise Security关联起来,以检测正在行动的威胁行为者。
开发基础搜索
第一步是开发用于训练 ML 模型的基础搜索。您可以在此处看到一个示例事件,其中显示了远程解锁车辆的 API 请求。
img
正常情况下,车主每天会使用智能手机应用程序多次发送此类请求。考虑到这一点,我们的目标是训练我们的 ML 模型了解正常行为。为此,我们必须考虑以下几个因素:
-
我们测量行为的时间跨度是多少?
-
我们应该针对多少历史进行训练?
-
我们应该根据什么实体(用户、车辆、 IP 地址)来衡量?
-
我们应该考虑基于实体的分析还是同群分析?
在以下示例中,我们测量每天的用户
