كتاب لعب أمني لـ XOps - شذوذ الأحداث

يوضح هذا الكتاب كيفية استخدام ورشة عمل القصص للتحقيق في القصص المتعلقة بالسلوك الشاذ الذي يكشف عنه منتج شذوذ الأحداث.

لمزيد من المعلومات حول استخدام ورشة عمل القصص لتحليل شذوذ الأحداث، راجع تحليل قصص XOps UEBA لاستخدام وشذوذ الأحداث.

نظرة عامة

يوضح هذا الكتاب مقاربة منهجية لمهندسي SOC للتحقيق في الحوادث الأمنية المحتملة المرتبطة بالسلوكيات الشاذة التي تؤدي إلى أعداد غير معتادة من الأحداث. يوفر إطار عمل لجمع المعلومات الأولية وتحليل حركة المرور على الشبكة واستخلاص استنتاجات حول طبيعة التهديد.

ينطبق ذلك على الحالات التي يقوم فيها المحرك بالكشف عن زيادة في الحجم (الكثير من الأحداث في فترة زمنية قصيرة) أو سلوك يُرى لأول مرة (حدث أو تطبيق لم يُلاحظ من قبل). تنشأ كلتا الدلالتين من نفس نموذج التحليل السلوكي الأساسي؛ يغطي سير العمل أدناه كلاهما ويشير إلى الأماكن التي قد تكون هناك حاجة لجمع سياق إضافي.

ما الذي يجب البحث عنه

يمكن أن تساعد قصص شذوذ الأحداث في تحديد التهديدات التي تنتج أنماط حركة مرور غير عادية، وكذلك أخطاء تكوين الشبكة التي قد تشكل تهديدات أمنية. فيما يلي أمثلة على هذه الأنواع من التهديدات المحتملة:

نشاط التهديد المرتبط بأنماط حركة المرور الشاذة:

  • محاولات سحب البيانات

  • التحرك الجانبي داخل الشبكة

  • محاولات الإصابة الضارة

أخطاء تكوين الشبكة التي قد تشكل مخاطر أمنية

  • انتهاكات السياسة - على سبيل المثال: محاولات الوصول غير المصرح بها، نقل البيانات غير المتوقع، أو الاتصالات التي تتجاوز الضوابط الأمنية المعمول بها

  • المنافذ المفتوحة وسوء استخدام البروتوكول - غالبًا ما تشير زيادة حركة المرور الشاذة المتعلقة بمنافذ أو بروتوكولات معينة إلى أن هذه الإعدادات ليست متوافقة مع الممارسات الفضلى وقد تشير إلى سوء التكوين

  • الفشل في تقسيم الشبكة - قد يسمح سوء تكوين تقسيم الشبكة بالوصول غير المصرح به أو التحرك بين الأقسام، والذي يمكن اكتشافه كشذوذ

الخطوة 1 - جمع المعلومات الأولية حول التهديد

استخدم الودجات التفاصيل في القصة لجمع معلومات أساسية حول التهديد المحتمل وإجراء تقييم أولي لتحديد ما إذا كان يتطلب مزيدًا من التحقيق. راجع هذه الحقول الرئيسية:

  • الوصف - فهم نوع الشذوذ (بما في ذلك التطبيق المحدد أو المحرك أو السلوك) وما إذا كان التركيز على موقع أو مستخدم محدد

  • فترة التدريب - يوضح المدة التي أمضى المحرك فيها في جمع بيانات الأساس للشذوذ. قد تشير فترة تدريب أطول إلى وجود أساس راسخ، بينما قد تشير فترة أقصر إلى أن البيانات محدودة

  • علامة المصدر - يسرد الموقع أو المستخدم الذي أنشأ حركة المرور. عندما يكون النطاق موقعًا بأكمله، توقع أن تكون العديد من الأجهزة المشاركة.

ملاحظة

نصيحة: إذا كان الشذوذ يؤثر على موقع، فقد يكون من الصعب تحديد مصدر مضيف واحد، وقد يمتد الشذوذ عبر مضيفين متعددين.

source.png

الخطوة 2 - تحليل أصل الأحداث الشاذة

توزيع الشذوذ

يمكن للرسم البياني لتوزيع الشذوذ أن يساعد في تحديد أي قاعدة في جدار الحماية أو توقيع IPS أو قاعدة مكافحة البرمجيات الضارة التي أنشأت الأحداث التي أدت إلى قصة الشذوذ. إذا كانت هناك عدة قواعد متورطة، أولوية للقواعد التي تسببت في أكبر زيادة في الأحداث.

يمكن أن تنشأ قصص الشذوذ المستندة إلى الأحداث من أي مصدر سجل Cato، جدار الحماية، IPS، حماية DNS، CASB، DLP، أمان التطبيقات، NGAM، وغيرها، لذلك يجب ضبط وسائل التحقيق لمواءمة مع نوع الحدث المحدد.

لاحظ الطابع الزمني الدقيق للشذوذ. هذا أمر حاسم لتحليل الأحداث ذات الصلة في خطوات التحقيق اللاحقة.

Scanner_Playbook_-_Anomaly_Distribution.png

الخطوة 3 - مراجعة الودجات الإضافية

راجع هذه الودجات للسياق الإضافي. تظهر الودجات التطبيقات الرئيسية والخوادم والمضيفين والوجهات المشاركة في الشذوذ. يتم تجميع البيانات على مدى 14 يومًا قبل قصة الشذوذ.

  • التطبيقات الرئيسية - يعرض التطبيقات التي بها أعلى عدد من الأحداث.

    Events_Anomaly_Playbook_-_Top_Apps.png

  • الخوادم/الوجهات الرئيسية - يعرض أكثر الخوادم أو الشبكات زيارةً.

    Events_Anomaly_Playbook_-_Top_Servers.png

  • المضيفين الرئيسيين - يعرض عناوين IP المصدر الأبرز التي تولد حركة المرور.

  • الأهداف - يعرض الوجهات المستهدفة لحركة المرور الشاذة.

ملاحظة

ملاحظة: توفر هذه الودجات نظرة عامة عالية المستوى وليست دائمًا مؤشراً على السبب الدقيق للشذوذ. على سبيل المثال، تشير الودجات إلى أن الشذوذ يتضمن حركة مرور TOR، ولكن بدون عنوان IP مخصص. قد يشير ذلك إلى نشاط TOR أوسع بدلاً من هدف ضار واحد.

الخطوة 4 - تحليل القصص ذات الصلة

هذه الخطوة تقدم السياق القيم من خلال تحديد كشفات إضافية مرتبطة بنفس السلوك أو المضيف/الموقع حيث تم ملاحظته. يمكن أن يساعد مراجعة القصص المماثلة في تحديد ما إذا كانت مضيفات أخرى في الشبكة تسببت في نفس الكشف، مما قد يكشف عن ظاهرة أوسع تؤثر على البيئة.

image-20250710-122158.png

الخطوة 5 - التحقيق في تحليل التطبيقات والأحداث

يُعد تحليل الأحداث الفردية الخطوة الأكثر أهمية في التحقيق. يتيح لك التعمق أكثر في الشذوذ لفهم السبب الجذري.

راجع الأحداث ذات الصلة لترتيب البيانات المرتبطة بالقصة. ابحث عن العناصر المتكررة مثل عناوين IP المصدر المحددة، النطاقات، والتطبيقات لتركيز تحقيقك. على سبيل المثال، إذا كان الشذوذ ناتجاً عن حركة مرور TOR، وتم إظهار نشاط متكرر من عنوان IP أو نطاق معين، فتحقق من ذلك العنصر باستخدام مزيد من البيانات.

فيما يلي خطوات نموذجية لتحليل الأحداث المتعلقة بقصة شذوذ الأحداث. لمزيد من المعلومات حول التصفية والعمل مع صفحة الأحداث، راجع تحليل الأحداث في شبكتك.

  1. اعرض صفحة الأحداث مثبّتة على الأحداث المرتبطة بالقصة بالنقر على عرض الكل في صفحة القصة.

    Events_Anomaly_Playbook_-_View_All.png

  2. في صفحة الأحداث، قم بتكوين مرشح النطاق الزمني أو استخدم الماوس لتحديد النطاق الزمني الذي يعرض بوضوح عدد الأحداث الشاذ.

    Events_Anomaly_Playbook_-_time_range.png

  3. أضف الحقول ذات الصلة إلى صفحة الأحداث. يوفر هذا وجهة نظر أفضل للأحداث المشاركة في الشذوذ. في المثال أدناه، تمت إضافة حقول الأحداث التالية إلى الصفحة: رقم التوقيع، التطبيق، اسم النطاق، عنوان IP المصدر.

    تحقق من الحقول المضافة وحاول تحديد سبب الشذوذ. في هذا المثال، تُظهر الحقول المضافة بوضوح أن سبب الشذوذ هو نطاق محدد.

    Events_Anomaly_Playbook_-_Add_Fields.png

  4. تحقق من الحقول المضافة وحاول تحديد سبب الشذوذ. ابحث عن العناصر المتكررة:

    • تكرار عناوين IP المصدرين / المستخدمين

    • نفس النطاق أو الوجهة عبر أحداث متعددة

    • ظهور مفاجئ لتطبيق أو دولة غير معروفة.

    قارن حركة المرور بحركة المرور التنظيمية:

    • هل لدى المستخدمين الآخرين أنماط حركة مرور مماثلة؟

    • في حال كانت هذه هي الظهور الأول لسلوك مريب، هل هو شيء شائع داخل المؤسسة؟ هل تم تفعيل هذا السلوك لمضيفين آخرين داخل المؤسسة؟

  5. في الخطوة التالية في هذا المثال، بعد تحديد استنادًا إلى الودجات والأحداث أن Tor Networks هو التطبيق الأكثر استخدامًا، وأن هناك تهديدين رئيسيين لـ IPS قد شهدت قفزة في الأحداث، يتم إضافة مرشحات لأسماء التطبيقات والتهديدات المحددة.

    Events_Anomaly_Playbook_-_More_filters.png

    تكشف المرشحات المضافة أن هذه الحركة الشاذة تتعلق بعنوان IP مصدر واحد محدد.

  6. الآن يمكن اتخاذ خطوات تحقيق إضافية:

    1. تحقق من اسم الجهاز أو اسم المستخدم المرتبط بهذا النشاط.

    2. تحقق من الهدف لترى ما إذا كان متعلقًا بالنشاط الضار.

    3. افحص حركة المرور بخصائص مماثلة للمستخدمين الآخرين في نفس الموقع أو الشبكة للحصول على سياق أوسع.

مشاركة الملفات مقابل شذوذ SMB

يجمع محرك XOps الأحداث النقلية للملفات تحت مظلة واحدة، ولكن تطبيقات مشاركة الملفات السحابية (مثل Dropbox، SharePoint، S3) والوصول إلى الملفات المستندة إلى SMB تكشف عن بيانات تحقيق مختلفة:

  • تطبيقات السحابة - تعرض الأحداث التطبيق والحجم فقط؛ تفاصيل الكائنات الدقيقة توجد على المنصة السحابية نفسها

  • حركة مرور SMB - تشمل الأحداث البيانات الفوقية المفصلة، مثل اسم الملف والمسار، مما يمكن من مراجعة جنائية أعمق.

نصائح التحقيق وحالات الاستخدام

  • في الشذوذات المستندة إلى الموقع قد تكون هناك حالات لا يوجد فيها مضيف أو وجهة محددة، ويكون الشذوذ ظاهرة واسعة في الموقع.

  • قد تكون هناك حالات حيث يكون التطبيق الذي تسبب في الشذوذ ليس من بين الخمسة تطبيقات الرئيسية التي تنتج أحداث شاذة.

  • هناك حالات عندما يكون الشذوذ قائمًا على أحداث IPS (سمعة). في حالة كهذه، يجب أن يكون التحقيق أكثر استهدافًا، لذا يجب استخدام الكتاب التالي: XOps Security Playbook - Suspicious Target Communication.

  • في حال لم تكن متأكدًا مما إذا كان شذوذ معين يشكل تهديدًا أمنيًا، حاول ملاحظة إذا كانت تلك الحركة حدثت في نفس الموقع أو مواقع مختلفة في الماضي. يمكن أن يساعد هذا في تحديد ما إذا كان الشذوذ ناتجًا عن جهاز جديد.

استنتاجات من التحقيق

هذه بعض الأمثلة على الاستنتاجات ذات الصلة لقصص الشذوذ الأحداث:

  • حركة مرور شاذة

  • شذوذ الملفات المحظورة

  • شذوذ مرور IPS المحظور

  • محاولة سحب باستخدام تطبيق {app name}

  • شذوذ حركة مرور استهداف ضار

الإجراءات الموصى بها

  1. قم بإجراء فحص حماية كامل للنقاط النهائية (بما في ذلك مكافحة الفيروسات، EPP، EDR، إلخ) وإزالة أي برامج غير معروفة وملحقات متصفح من الجهاز المصاب.

    • تأكد من أن عملية الإزالة شاملة وتم التعرف على وحذف جميع المكونات ذات الصلة.

  2. إذا كنت تعرف مضيفًا أو مستخدمًا محددًا كمصدر للشذوذ، فقم بعزله عن الشبكة على الفور لمنع المزيد من الأضرار المحتملة أو سحب البيانات.

  3. إذا لزم الأمر، قم بتحديث أو إنشاء قواعد لسياسة أمان أكثر تقييدًا، خاصة إذا كان الشذوذ ناتجًا عن تطبيق أو حركة مرور لا ينبغي السماح بها.

  4. في حالة أن القصة هي إنذار زائف، يمكنك تصنيفها كمعلوماتية/بنّاءة وأيضًا إضافتها إلى قاعدة كتم القصص. إذا كانت القصة نتيجة لعملية مسح شرعية أو اختبار اختراق، يُوصى بإضافتها إلى قاعدة كتم القصص لفترة زمنية محددة.

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات