دليل XOps للأمن - اتصال هدف مريب

يشرح هذا الدليل كيفية استخدام منصة القصص للتحقيق في القصص المتعلقة بالاتصال المريب للهدف.

نظرة عامة

يحدد هذا الدليل نهجًا منهجيًا لمهندسي مركز عمليات الأمان (SOC) للتحقيق في الحوادث الأمنية المحتملة المتعلقة بالاتصال الهدف المريب. يوفر إطارًا لجمع المعلومات الأولية، وتحليل حركة المرور الشبكية، واستخلاص الاستنتاجات حول طبيعة التهديد.

جمع المعلومات الأولية حول التهديد

استخدم عنصر واجهة المستخدم التفاصيل في القصة لجمع المعلومات الأساسية حول التهديد المحتمل. راجع الوصف للقصة والبيانات الأخرى لتقرير ما إذا كان اللازم إجراء تحقيق إضافي. بالإضافة إلى ذلك، تُظهر قسم قصص مشابهة قصص أخرى تشترك في مؤشرات ومعطيات مشابهة.

gathering-info.png

استخدم عنصر واجهة المستخدم المصدر لمراجعة البيانات حول الجهاز المتأثر بهذه الحركة المريبة.

source.png

يمكنك استخدام دليل المؤشرات للحصول على معلومات إضافية (مثل معرف المؤشر)، وتركيز التحقيق بناءً على استفساراتك.

تحليل حركة المرور الشبكية

توزيع الهجوم

يمكن أن تساعدك الرسم البياني لتوزيع الهجمات في فهم طبيعة المرور، هجمات دورية التي تشبه سلوك الروبوت، حادثة لمرة واحدة، أو خصائص أخرى.

attack_distribution.png

الأهداف

يتيح لك قسم الأهداف فحص الأهداف المحددة لمعرفة المزيد عن نواياها المحتملة واحتمال أن يكون الهدف ضارًا:

  • تقييم درجة الضرر لـCato

  • فحص شعبية Cato

  • النظر في الفئات المرتبطة بـCato

  • راجع عدد خلاصات استخبارات التهديد المرتبطة بالهدف

استخدام روابط الهدف للبحث في المصادر الخارجية

بحلول الآن، يجب أن يكون لديك فهم واضح للنشاط الملتقط في هذه القصة، تساعدك روابط الهدف في إجراء بحث خارجي على مصادر موثوقة للسياق التاريخي وعلامات السلوك الضار. التوافق بين هذه البيانات لتحديد العلاقات مع كيانات أخرى والصلات المحتملة بممثلين تهديد معروفين، حملات، أو تقنيات.

إجراءات الهدف

يمكن استخدام قسم إجراءات الهدف للتحقق مما إذا كانت محركات الأمان قد اتخذت إجراءات استجابة تجاه المرور المحدد.

target_actions.png

  1. استخدم الأحداث المتعلقة لفتح صفحة الأحداث ومراجعة الأحداث المقابلة لكل هدف.

  2. في بيانات الأحداث، قم بالبحث عن تفاصيل إضافية حول الحدث IPS المحدد وجمع المعلومات حول طبيعة توقيع IPS، تصنيف العميل، نوع التهديد، والمزيد.

تدفقات مرتبطة بالهجوم

استخدم قسم تدفقات مرتبطة بالهجوم لفحص التدفقات البيانات غير المعالجة المتعلقة بالقصة.

  1. تقييم توزيع المرور لتحديد الأنماط وتقلبات الحجم.

  2. تحليل نقاط البيانات الإضافية من هذه التدفقات، بما في ذلك عناوين المواقع، وكلاء المستخدمين، أسماء الملفات، والسمات الأخرى ذات الصلة، ومقارنتها بنتائج الخطوة السابقة للتحقيق للكشف عن العلاقات المحتملة.

الاستنتاجات من التحقيق

بالنسبة للتحقيقات التي تركز على الهدف، هذه بعض الأمثلة على أنواع التهديدات التي تمثل الاتصالات المشبوهة في القصة:

  • برامج إعلانية

  • برامج ضارة

  • امتداد المستعرض

  • برنامج محتمل غير مرغوب فيه (PuP)

  • نشاط شبكة غير آمن (مشبوه)

  • انتهاك السياسات (مشبوه)

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات