تشرح هذه المقالة كيفية استخدام ميزة مراقبة النشاط المشبوه (SAM) مع خدمة حماية النظام لزيادة الوعي بالتهديدات المحتملة على شبكتك.
توسع ميزة SAM من Cato خدمة حماية النظام لتوفير الرؤية للنشاطات المشبوهة على شبكتك التي لا تُراقب بواسطة توقيعات حماية النظام القياسية. يمثل هذا النوع من الحركة الإجراءات التي تُتخذ عبر الشبكة والتي تستحق الاهتمام، ووفقًا للسياق يمكن أن يشير ذلك إلى اختراق أو خرق. ومع ذلك، نظرًا لأن الحركة ليست بالتأكيد ضارة، فإن SAM يقوم فقط بمراقبة الحركة دون حجبها. يمكن أن تساعدك الرؤية الأوسع للتهديدات المحتملة التي يوفرها SAM في التعرف على جميع مراحل الهجوم والاستعداد بشكل أفضل للكشف والدفاع ضد المتجهات الهجمومية المشابهة في المستقبل.
You can view and analyze suspicious activity data in the Threats Dashboard, MITRE ATT&CK® Dashboard, and XDR Stories Dashboard, and review SAM events in the Events page.
ينشئ فريق أبحاث الأمان في Cato توقيعات محددة لأنماط السلوك غير العادية التي تبدو مشبوهة. تكتشف خدمة SAM الحركة التي تتطابق مع هذه التوقيعات، وتولد أحداثًا وبيانات يمكن لفرق SOC تحليلها لتعقب و التحقيق في التهديدات. تُصنف أحداث SAM بتسمية النوع الفرعي نشاط مشبوه، للتمييز بين أحداث حماية النظام الخبيثة والحركة غير العادية التي قد تكون مشروعة.
يراقب SAM جميع حركات الشبكة الواسعة، الواردة والصادرة لحسابك، ولا تؤثر إعدادات نطاق الحماية على SAM.
هذه أمثلة على السيناريوهات التي تولد أحداث SAM:
-
حركة HTTP صادرة تقوم بتفريغ معلومات النظام
-
طلبات HTTP إلى وجهات منخفضة الشعبية باستخدام منافذ HTTP غير قياسية
-
عميل HTTP برمجي يقوم بتنزيل ملف ثنائي أو قابل للتنفيذ
-
نقل ملف قابل للتنفيذ إلى مجلد حساس عبر الشبكة الواسعة
تصنف ميزة SAM الأحداث إلى مستويات مخاطر مختلفة: عالية، متوسطة، ومنخفضة. تحسب Cato مستوى المخاطر بناءً على تحليل لعدد من العوامل، على سبيل المثال:
-
مدى شيوع النشاط في كل الحركة عبر سحابة Cato. كلما انخفضت الشيوع، زادت احتمالية أن يكون النشاط ضارًا
-
التقنيات المرتبطة بالنشاط في إطار إطار عمل MITRE ATT&CK®
يساعدك مستوى المخاطر في تقييم الحركة وتركيز تحليلك على الأحداث الأكثر احتمالًا أن تكون جزءًا من هجوم. إضافة إلى ذلك، تولد أحداث SAM عالية الخطورة تلقائيًا قصة XDR، والتي يمكن التحقيق فيها في منصة القصص.
لاستفادة القصوى من SAM، نوصي بتضمين مراجعة أحداث SAM كجزء من الإجراءات الأمنية الروتينية لشبكتك. على سبيل المثال، يمكنك تنفيذ مراجعة أحداث SAM في حالات الاستخدام التالية:
-
المراجعة الروتينية لأحداث SAM ذات المخاطر العالية للكشف عن الهجمات المحتملة ومنعها
-
تحليل أحداث SAM بعد هجوم مؤكد لتوفير سياق أوسع كجزء من التحقيق الجنائي
توفر Cato عددًا من الطرق لاكتشاف والتحقيق في الأنشطة المشبوهة المكتشفة بواسطة SAM. يمكن استخدام هذه الموارد المختلفة معًا لاكتساب رؤية شاملة وبناء سياق للأنشطة المشبوهة على شبكتك. تشمل هذه الموارد:
-
منصة قصص XDR - تخدم أحداث SAM كأساس لقصص XDR في منصة القصص. مراجعة القصص في المنصة يمكن أن تنبهك إلى الأنشطة المشبوهة التي قد تكون جزءًا من هجوم. For more about using the Stories Workbench, see Reviewing Detection & Response (XDR) Stories in the Stories Workbench.
-
لوحة تحكم التهديدات - يرجى مراجعة بيانات الحدث لـ SAM عبر تصفية اللوحة للتركيز على أحداث SAM. See below Viewing SAM Data in the Threats Dashboard
-
لوحة تحكم MITRE ATT&CK - يمكنك إعداد اللوحة لعرض بيانات لأحداث مراقبة حماية النظام بما في ذلك أحداث SAM. See below Analyzing SAM Data in the MITRE ATT&CK® Dashboard
-
Events page - Filter the page to show SAM events (subtype: Suspicious Activity). عند تحديد الفلتر المعد مسبقًا نشاط مشبوه، تظهر الصفحة افتراضيًا فقط الأحداث عالية المخاطر لـ SAM. يمكنك إضافة عوامل تصفية للتركيز على أحداث SAM محددة مثل الأحداث التي تحتوي على مصدر أو وجهة ذات اهتمام. For more about SAM events, see below Reviewing SAM Events.
تتيح لك لوحة تحكم التهديدات، لوحة تحكم MITRE ATT&CK، ومنصة القصص العمل مع الانخفاض لمراجعة التفاصيل في صفحة الأحداث.
تشرح هذه القسم كيفية إعداد خدمة SAM.
افتراضيًا، SAM مفعل لحسابك. تتيح لك علامة تبويب النشاط المشبوه في صفحة حماية النظام تغيير هذا الإعداد.
تتيح لك صفحة لوحة تحكم التهديدات تحليل الأنشطة المشبوهة في شبكتك. يمكنك إعداد الأدوات في قسم حماية النظام لعرض النشاط المشبوه، ثم تصفية اللوحة لعرض البيانات لأنواع تهديدات SAM المحددة، والمضيفين والمستخدمين المعنيين. يمكنك أيضًا عرض أحداث SAM على صفحة الأحداث، مع تصفية مسبقة لنوع التهديد والمضيف والمستخدم.
For more about how to filter the dashboard and view events from the Threats Dashboard widgets, see Using the Security Threats Dashboard.
تساعدك لوحة تحكم MITRE ATT&CK® في تحليل الأنشطة المشبوهة باستخدام إطار عمل التكتيكات والتقنيات الخاص بـ MITRE ATT&CK®. يمكنك إعداد اللوحة لعرض البيانات لأحداث مراقبة حماية النظام بما في ذلك أحداث SAM. For more about using the MITRE ATT&CK® Dashboard, see Working with the MITRE ATT&CK® Dashboard.
إذا كنت ترغب في إيقاف تسجيل الأحداث لحركة محددة، يمكنك تسجيل تلك الحركة في صفحة قائمة الإجازة لحماية النظام. لتسجيل حركة النشاط المشبوه، قم بإنشاء قاعدة في قائمة الإجازة لحماية النظام باستخدام معرف التوقيع للحركة التي تريد إيقاف مراقبتها. يمكنك أيضًا تسجيل حركة مشبوهة بالنقر فوق معرف التوقيع لحدث ما في صفحة الأحداث. For more information, see Allowlisting IPS Signatures.
يمكنك مراجعة الأحداث الأمنية في الرئيسية > الأحداث واكتشاف السلوكيات غير العادية والتهديدات المحتملة التي تكتشفها SAM. تصنف هذه الأحداث بتسمية النوع الفرعي نشاط مشبوه، مما يتيح لك تمييزها عن الأحداث ذات المخاطر العالية المنتجة بالنوع الفرعي حماية النظام.
يمكنك اختيار الفلتر المعد مسبقًا نشاط مشبوه من قائمة اختيار الفلاتر المنسدلة لعرض الأحداث ذات الصلة. افتراضيًا، عندما تختار هذا الفلتر، يتم تصفية الصفحة لعرض أحداث SAM ذات المخاطر العالية. لعرض جميع أحداث SAM، قم بإزالة فلتر مستوى المخاطر هو عالي.
The Suspicious Activity Sub-Type is limited to 2,500,000 events per hour. See Cato Cloud Thresholds and Limits.
هذا تحليل مثال لحدث SAM عالي المخاطر:
-
يوفر اسم التهديد تفسيرًا أساسيًا لما حدث في هذا الحدث - تم نقل ملف قابل للتنفيذ بشكل جانبي باستخدام PsExec
-
تظهر حقول تكتيكات الهجوم MITRE والتقنيات الفرعية للهجوم MITRE تنفيذًا باستخدام خدمة عن بُعد وحركة جانبية عبر SMB إلى مجلد مشترك ADMIN$
-
تساعدك الحقول التي تفصل المصدر والوجهة في تحديد المضيفين المتعلقين بالشبكة. مع هذه المعلومات يمكنك:
-
تأكد من أن المضيف المصدر للحدث لديه الصلاحيات المطلوبة لاستخدام PsExec
-
تأكد من أن المستخدم المرتبط بالحدث من المحتمل أن ينفذ الإجراءات المكتشفة
-
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.