كتاب XOps للأمان - الوقاية المتكيفة من التهديدات

يصف هذا الكتاب كيفية استخدام منصة القصص للتحقيق في القصص المستندة إلى السلوك الخبيث للوقاية المتكيفة من التهديدات.

نظرة عامة

يحدد هذا الكتاب منهجًا منهجيًا لمهندسي مركز العمليات الأمنية للتحقيق في الحوادث الأمنية المحتملة المتعلقة بالسلوك الخبيث للوقاية المتكيفة من التهديدات. هذه المؤشرات تحظر السلوك الخبيث المرتبط بالمراحل المبكرة من الحركة الجانبية المشبوهة أو محاولات تسريب البيانات. تتركز على اكتشاف وحظر استخدام الأدوات أو التقنيات الحرجة التي يستخدمها المهاجمون عادة خلال المرحلة الثانية من الاختراق، مثل:

  • تشغيل الأدوات عن بُعد (مثل PsExec)

  • أدوات التحميل غير المصرح بها (مثل Rclone)

image-20250727-102958.png

جمع المعلومات عن التهديد

استخدم أدوات التفاصيل في القصة لجمع المعلومات الأساسية عن التهديد المحتمل وإجراء تقييم أولي لما إذا كانت هناك ضرورة لتحقيق إضافي. تقود هذه المرحلة من التحقيق إلى فهم الشروط المسبقة للنشاط الذي أدى إلى إنشاء القصة. راجع هذه الحقول الرئيسية:

  • علامة المصدر: بيانات الجهاز مثل IP، نظام التشغيل، اسم المضيف، وعنوان MAC.

  • إدخال الكاتالوج IOA: استخدم عنوان ووصف IOA لتوجيه تحقيقك.

تحليل حدث IPS المُفعل

تركز هذه المرحلة على فهم النشاط الذي أدى إلى إنشاء القصة، ما الذي تم حظره، وما الشروط المسبقة التي يتطلبها هذا النشاط IPS لحظر الحركة الخبيثة.

  • جدول الإجراءات المستهدفة: راجع الأحداث المرتبطة بالنقر على الأحداث ذات الصلة. توفر هذه الإدخالات رؤية أعمق لطبيعة الحركة المحظورة، بما في ذلك التفاصيل السياقية والمراجع التهديدية التي يمكن أن تساعد في تحديد نوع وهدف التهديد.

    image-20250701-124511.png

  • الرسم البياني لتوزيع الهجمات: يساعد هذا الرسم في تقييم طبيعة الحركة المكتشفة، سواء كانت تتبع نمطًا متكررًا (مثل السلوك الدوري أو الشبيه بالروبوت) أو حدثًا يحدث مرة واحدة. في سياق هذه الأنواع من القصص، تكون الحركة المتكررة أقل شيوعًا. قد تشير حدوثات متعددة إلى أن النشاط جزء من اختبار أو تدريبات وليس محاولة هجوم فعلية. ومع ذلك، يجب التحقيق في كل حالة بشكل دقيق لاستبعاد أي نية خبيثة.

    image-20250703-132703.png

  • الجدول الزمني للأحداث ذات الصلة: نظرًا لأن قصص UEBA المستندة إلى IPS يتم تفعيلها فقط بعد استيفاء شروط مسبقة معينة، فإن فهم تسلسل الأحداث الذي يؤدي إلى الحظر ضروري.

    • ابدأ بتصفية الأحداث بناءً على الإطار الزمني للقصة وعنوان IP المستخدم/العميل المعني. ثم أضف معرف التوقيع كعمود مرئي وطبق الفلاتر لأنواع الأحداث IPS والنشاط المشبوه. هذا يجعل من السهل تحديد الأحداث بالضبط التي ساهمت في تفعيل حظر UEBA IPS.

    • المؤشرات الرئيسية الموضحة في وصف IOA تساعد في تركيز التحقيق على أنماط النشاط ذات الصلة. بمجرد تحديد أحداث الشروط المسبقة، استند إلى كتالوج التهديدات لجمع المزيد من السياق حول التقنيات المعنية وفهم طبيعة التهديد المكتشف بشكل أفضل.

    image-20250703-125705.png

تحليل القصص ذات الصلة

توفر هذه الخطوة سياقًا قيمًا من خلال كشف عمليات الكشف الإضافية المرتبطة بنفس الجهاز أو المستخدم، مما قد يكشف عن نمط أوسع للسلوك المشبوه. تأكد من المراجع المتقاطعة للخطوط الزمنية وعناوين IP المعنية وهويات المستخدمين لاكتشاف المؤشرات المتداخلة ومحاولات الاختراق المحتملة المرتبطة. يمكن أن يساعدك مراجعة القصص ذات الصلة في:

  • تحديد الأنشطة الأخرى التي حدثت في نفس الوقت تقريبًا على الجهاز المتأثر، مما قد يكون قد أدى إلى إنشاء قصص منفصلة

  • اكتشاف قصص مشابهة عبر المؤسسة، مما يساعد على تقييم ما إذا كان هذا حدثًا معزولًا أو جزءًا من محاولة هجوم منسقة أكبر

  • تقييم نطاق ودوام التهديد من خلال تحديد التقنيات أو استخدام الأدوات المكررة عبر كيانات متعددة

خاتمة

هذه بعض الأمثلة على الاستنتاجات ذات الصلة:

  • برمجيات خبيثة

  • محاولة استغلال

  • الحركة الجانبية

إجراءات موصى بها

  1. قم بتشغيل فحوصات كاملة لمكافحة البرمجيات الخبيثة/EPP/EDR على الجهاز المتأثر

  2. قم بإعادة تعيين بيانات اعتماد لحسابات المستخدمين المعنيين، خاصة إذا كان الاستطلاع واسع النطاق

  3. إذا كان ذلك ممكنًا، حظر بشكل استباقي الأدوات أو الخدمات التي تم الإبلاغ عنها في الكشف للجهاز المتأثر ضمن جدران النار كاتو (LAN، WAN، الصادرة، وRPF) حتى يتم العلاج الكامل

  4. في حالة كون القصة إيجابية كاذبة، يمكنك تصنيفها كحميدة/إعلامية وأيضًا إضافتها إلى قاعدة إخفاء القصص. إذا كانت القصة ناتجة عن فحص أو اختبار اختراق شرعي، يوصى بإضافتها إلى قاعدة إخفاء القصص لفترة زمنية محددة.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات