XOps নিরাপত্তা প্লেবুক - ইভেন্ট অস্বাভাবিকতা

এই প্লেবুকটি স্পষ্ট করে যে স্টোরিজ ওয়ার্কবেঞ্চ ব্যবহার করে কীভাবে ইভেন্ট অস্বাভাবিকতা উৎপাদক দ্বারা সনাক্ত অস্বাভাবিক আচরণের সাথে সম্পর্কিত বিষয়গুলি তদন্ত করতে হয়।

ইভেন্ট অস্বাভাবিকতার বিশ্লেষণের জন্য স্টোরিজ ওয়ার্কবেঞ্চ ব্যবহার করার বিষয়ে আরও জানতে, দেখুন ব্যবহার এবং ইভেন্ট অস্বাভাবিকতার জন্য XOps UEBA স্টোরি বিশ্লেষণ।

সারসংক্ষেপ

এই প্লেবুকটি সম্ভাব্য টেবুকের সাথে সম্পর্কিত নিরাপত্তা ঘটনা তদন্তের জন্য SOC ইঞ্জিনিয়ারদের একটি পদ্ধতিগত পদ্ধতির সংক্ষিপ্ত বিবরণ প্রদান করে যা অস্বাভাবিক আচরণের ফলে অসাধারণ সংখ্যক ইভেন্ট সৃষ্টি হয়। এটি প্রাথমিক তথ্য সংগ্রহ, নেটওয়ার্ক ট্র্যাফিক বিশ্লেষণ এবং হুমকির প্রকৃতি সম্পর্কে উপসংহার গঠনের জন্য একটি কাঠামো প্রদান করে।

এটি সেই পরিস্থিতিতে প্রয়োগযোগ্য যেখানে ইঞ্জিন একটি ভলিউম স্পাইক (সংক্ষিপ্ত সময়ে অনেকগুলি ইভেন্ট) বা একটি প্রথম দেখা আচরণ (একটি ইভেন্ট বা অ্যাপ্লিকেশন যা আগে কখনও দেখা যায়নি) প্রদর্শন করে। উভয় সূচক একই অন্তর্নিহিত আচরণগত বিশ্লেষণ মডেল থেকে উদ্ভূত হয়; নীচের কর্মপ্রবাহ এগুলিকে যৌথভাবে কভার করে এবং উল্লেখ করে যেখানে অতিরিক্ত প্রসঙ্গ সংগ্রহ প্রয়োজন হতে পারে।

কী দেখবেন

ইভেন্ট অস্বাভাবিকতা গল্পগুলি এমন হুমকিগুলি সনাক্ত করতে সহায়তা করতে পারে যা অস্বাভাবিক ট্রাফিক প্যাটার্ন তৈরি করে পাশাপাশি নেটওয়ার্ক মিসকনফিগারেশনগুলি যা নিরাপত্তা হুমকি সৃষ্টি করতে পারে। এই ধরনের সম্ভাব্য হুমকির উদাহরণগুলি নিম্নরূপ:

অস্বাভাবিক ট্রাফিক প্যাটার্নের সাথে সম্পর্কিত হুমকি কার্যকলাপ:

ডেটা পুনরুদ্ধার প্রচেষ্টা
নেটওয়ার্কের মধ্যে পার্শ্ববর্তী আন্দোলন
দুষ্ট উদ্দেশ্যে সংক্রমণ প্রচেষ্টা

নেটওয়ার্ক মিসকনফিগারেশনগুলি যা নিরাপত্তা ঝুঁকি সৃষ্টি করতে পারে

নীতির লঙ্ঘন - উদাহরণ: অননুমোদিত অ্যাক্সেস প্রচেষ্টা, অননুমোদিত ডেটা স্থানান্তর, বা প্রতিষ্ঠিত নিরাপত্তা নিয়ন্ত্রণগুলি বাইপাস করে সংযোগ
ওপেন পোর্ট এবং প্রোটোকল অপব্যবহার - স্পেসিফিক পোর্ট বা প্রোটোকলের সাথে সম্পর্কিত অস্বাভাবিক ট্রাফিক স্পাইগুলি প্রায়ই নির্দিষ্ট করে যে এই সেটিংগুলি শ্রেষ্ঠ পদ্ধতির সাথে সামঞ্জস্যপূর্ণ নয় এবং মিসকনফিগারেশন নির্দেশ করতে পারে
নেটওয়ার্ক বিভাজন ব্যর্থতা - মিসকনফিগারড নেটওয়ার্ক বিভাজন সম্ভব করা অনুমোদিত নয় এমন অ্যাক্সেস বা সেগমেন্টদের মধ্যে আন্দোলন, যা অস্বাভাবিকতা হিসাবে সনাক্ত করা যেতে পারে

ধাপ ১ - হুমকি সম্পর্কে প্রাথমিক তথ্য সংগ্রহ

বিপদ সম্পর্কিত মৌলিক তথ্য সংগ্রহ করতে এবং যদি প্রয়োজন হয় ত তদন্তের প্রয়োজনীয়তার প্রাথমিক মূল্যায়ন করতে স্টোরি ডিটেলজ উইজেট সমুহ ব্যবহার করুন। এই কী ক্ষেত্রগুলি পুনরায় দেখুন:

ডিস্ক্রিপশন - অস্বাভাবিকতার ধরনের (নির্দিষ্ট অ্যাপ্লিকেশন, ইঞ্জিন, বা আচরণ সহ) বুঝুন, এবং ফোকাস একটি নির্দিষ্ট সাইট বা ব্যবহারকারী উপর কিনা
ট্রেন পিরিয়ড - এটি কতক্ষণ ধরে ইঞ্জিন অস্বাভাবিকতার জন্য বেসলাইন তথ্য সংগ্রহ করছে তা প্রদর্শন করে। দীর্ঘ ট্রেন পিরিয়ড একটি সুস্থাগত বেসলাইন নির্দেশ করতে পারে, যখন সংক্ষিপ্ত একটি সীমিত তথ্য নির্দেশ করতে পারে
সোর্স ট্যাব - ট্র্যাফিক জেনারেট করা সাইট বা ব্যবহারকারীর তালিকা। যখন স্কোপ একটি সম্পূর্ণ সাইট, তখন বেশ কয়েকটি হোস্ট জড়িত থাকে বলে আশা করুন।

নোট

টিপ: যদি অস্বাভাবিকতা একটি সাইটকে প্রভাবিত করে, একটি একক সোর্স হোস্ট চিহ্নিত করা চ্যালেঞ্জিং হতে পারে, এবং অস্বাভাবিকতা একাধিক হোস্টে বিস্তৃত হতে পারে।

ধাপ ২ - অস্বাভাবিক ইভেন্টগুলির উৎস বিশ্লেষণ

অস্বাভাবিকতা বিতরণ

অস্বাভাবিকতা বিতরণ গ্রাফটি চিনতে সাহায্য করতে পারে কোন ফায়ারওয়াল নিয়ম, আইপিএস স্বাক্ষর, বা অ্যান্টি-ম্যালওয়্যার নিয়ম ইভেন্টগুলি তৈরি করেছে যা অস্বাভাবিকতা গল্প তৈরি করেছে। যদি একাধিক নিয়ম জড়িত থাকে, তাহলে ইভেন্টগুলিতে সবচেয়ে বড় স্পাইক সৃষ্টি করেছে এমনগুলিকে অগ্রাধিকার দিন।

ইভেন্ট-ভিত্তিক অস্বাভাবিকতা গল্প যেকোন ক্যাটো লগ সোর্স, ফায়ারওয়াল, আইপিএস, DNS প্রোটেকশন, CASB, DLP, অ্যাপ্লিকেশন সিকিউরিটি, NGAM এবং অন্যান্য থেকে উদ্ভূত হতে পারে, поэтому আক্রমণের সম্ভবনা এবং আপনার তদন্তের পদ্ধতি নির্দিষ্ট ইভেন্টে ফিট করার জন্য সমন্বয় করা উচিত।

অস্বাভাবিকতার সঠিক টাইমস্ট্যাম্প লক্ষ করুন। এটি তদন্তের পরবর্তী ধাপগুলিতে সম্পর্কিত ঘটনা বিশ্লেষণ করার জন্য গুরুত্বপূর্ণ।

ধাপ ৩ - অতিরিক্ত উইজেট পুনরায় দেখুন

অতিরিক্ত প্রসঙ্গের জন্য এই উইজেটগুলিকে পুনরায় দেখুন। উইজেটগুলি অস্বাভাবিকতার সাথে জড়িত শীর্ষ অ্যাপ্লিকেশন, সার্ভার, হোস্ট এবং লক্ষ্যগুলি দেখায়। অস্বাভাবিকতা গল্পের পূর্ববর্তী ১৪ দিন সময়কালের জন্য তথ্য একত্রিত করা হয়।

টপ অ্যাপ্লিকেশন - সর্বোচ্চ ইভেন্ট গণনা সহ অ্যাপ্লিকেশনগুলি প্রদর্শন করে।
টপ সার্ভার/গন্তব্যস্থল - সর্বাধিক অভিগমন হওয়া সার্ভার বা নেটওয়ার্কগুলি দেখায়।
টপ হোস্ট - ট্র্যাফিক জেনারেট করা শীর্ষ সোর্স IP ঠিকানাগুলি দেখায়।
লক্ষ্যগুলি - অস্বাভাবিক ট্র্যাফিকের লক্ষ্য গন্তব্যস্থলগুলি দেখায়।

নোট

নোট: এই উইজেটগুলি উচ্চ-স্তরের ওভারভিউ প্রদান করে এবং সর্বদা অস্বাভাবিকতার সঠিক কারণ নির্দেশ করে না। উদাহরণস্বরূপ, উইজেটগুলি ইঙ্গিত দেয় যে অস্বাভাবিকতাটি TOR ট্র্যাফিকের অন্তর্ভুক্ত, কিন্তু কোনও নির্দিষ্ট গন্তব্য IP নিয়ে নয়। এটি একটি একক কঠোর লক্ষ্য পরিবর্তে একটি সম্প্রসারীত TOR কার্যকলাপ নির্দেশ করতে পারে।

ধাপ 4 - সম্পর্কিত গল্পগুলির বিশ্লেষণ

এই ধাপটি মূল্যবান প্রসঙ্গ প্রদান করে একই আচরণ বা হোস্ট/সাইট যেখানে এটি পর্যবেক্ষণ করা হয়েছে সেই সাথে সম্পর্কিত অতিরিক্ত সনাক্তকরণগুলি চিহ্নিত করে। সাদৃশ্যপূর্ণ গল্পগুলি পর্যালোচনা করা সাহায্য করতে পারে বোঝার জন্য অন্যান্য হোস্টগুলি নেটওয়ার্কে একই সনাক্তকরণ ট্রিগার করেছে কিনা, সম্ভবত একটি সম্প্রসারীত ঘটনা পরিবেশকে প্রভাবিত করছে।

ধাপ 5 - অ্যাপ্লিকেশন বিশ্লেষণ এবং ইভেন্টগুলি প্রতিতদন্ত

বিরতিভিত্তিক ইভেন্ট বিশ্লেষণই তদন্তের সবচেয়ে গুরুত্বপূর্ণ ধাপ। এটি আপনাকে অস্বাভাবিকতার মূল কারণ বোঝার জন্য আরও গভীরভাবে বিশ্লেষণ করতে দেয়।

গল্পের সাথে সম্পর্কিত ডেটা সংযুক্ত করতে প্রাসঙ্গিক ইভেন্টগুলি পর্যালোচনা করুন। নিঃশর্ত উপাদানগুলি চিহ্নিত করুন যেমন নির্দিষ্ট সোর্স IP, ডোমেইন এবং অ্যাপ্লিকেশনগুলি; আপনার তদন্তের জন্য দৃষ্টি নিবদ্ধ করুন। উদাহরণস্বরূপ, যদি অস্বাভাবিকতা TOR ট্র্যাফিক দ্বারা হতে থাকে, এবং একটি নির্দিষ্ট সোর্স IP বা ডোমেইন সক্রিয়ভাবে চলতে থাকে, সেই সত্ত্বাকে আরও বিশ্লেষণ করুন।

ইভেন্ট অস্বাভাবিকতা গল্পের সাথে সম্পর্কিত ইভেন্টগুলি বিশ্লেষণের জন্য উদাহরণ ধাপগুলি নিম্নরূপ। ইভেন্ট পৃষ্ঠা ফিল্টার এবং ইভেন্টস পৃষ্ঠা সঙ্গে কাজ সম্পর্কে আরও জানতে, দেখুন আপনার নেটওয়ার্কের ঘটনা বিশ্লেষণ।

গল্প পৃষ্ঠায় সব দেখুন বোতামে ক্লিক করে ইভেন্টগুলির জন্য পূর্ব-ফিল্টার ইভেন্ট পৃষ্ঠা দেখান।
ইভেন্ট পৃষ্ঠায়, সময় পরিসীমা ফিল্টার কনফিগার করুন বা মাউস ব্যবহার করে সময় পরিসীমা নির্বাচন করুন যা পরিষ্কারভাবে অসাধারণ সংখ্যক ইভেন্টগুলি প্রদর্শন করে।
ইভেন্ট পৃষ্ঠায় সম্পর্কিত ক্ষেত্রগুলি যোগ করুন। এটি অস্বাভাবিকতার সাথে জড়িত ইভেন্টগুলির একটি ভাল দৃষ্টিকোণ প্রদান করে। নীচের উদাহরণে, এই ইভেন্ট ক্ষেত্রগুলি পৃষ্ঠায় যোগ করা হয়েছে: সোর্স IP, অ্যাপ্লিকেশন, ডোমেন নাম, স্বাক্ষর ID।

যোগ করা ক্ষেত্রগুলি পরীক্ষা করুন এবং অস্বাভাবিকতার কারণ চিহ্নিত করার চেষ্টা করুন। এই উদাহরণে, যোগ করা ইভেন্ট ক্ষেত্রগুলি স্পষ্টভাবে দেখায় যে অস্বাভাবিকতার কারণ একটি নির্দিষ্ট ডোমেইন।
যোগ করা ক্ষেত্রগুলি পরীক্ষা করুন এবং অস্বাভাবিকতার কারণ চিহ্নিত করার চেষ্টা করুন। নিয়মিত উপাদানগুলি চিহ্নিত করুন:
- পুনরাবৃত্তি সোর্স IPs / ব্যবহারকারীরা
- একাধিক ইভেন্টের গোড়ায় একই ডোমেইন বা গন্তব্য
- অপরিচিত অ্যাপ্লিকেশন বা দেশ হঠাৎ উপস্থিতি।
সংগঠনিক ট্র্যাফিকের সাথে তুলনা করুন:
- অন্যান্য ব্যবহারকারীদের একই ধরনের ট্র্যাফিক প্যাটার্ন আছে?
- এই সন্দেহজনক আচরণের প্রথম ঘটনা হলে, এটি সংগঠনে সাধারণ কিছু কিনা? যদি এই আচরণটি সংগঠনে অন্যান্য হোস্টগুলির জন্য ট্রিগার হয়?
উদাহরণ হিসেবে, উইজেট এবং ইভেন্টের উপর ভিত্তি করে চিহ্নিত করার পর যে TOR নেটওয়ার্কগুলি সর্বাধিক ব্যবহৃত অ্যাপ্লিকেশন, এবং যে দুটি প্রধান IPS হুমকির ইভেন্টের স্পাইক ছিল দুটি প্রধান IPS হুমকির ইভেন্টের স্পাইক ছিল, নির্দিষ্ট অ্যাপ্লিকেশন এবং হুমকি নামের জন্য ফিল্টারগুলি যোগ করা হয়।

যুক্ত করা ফিল্টারগুলি প্রকাশ করে যে এই অস্বাভাবিক ট্র্যাফিক একটি নির্দিষ্ট সোর্স IP ঠিকানার সাথে সম্পর্কিত।
এখন আরও তদন্ত ধাপ নেওয়া যেতে পারে:
1. এই ক্রিয়াকলাপের সাথে সম্পর্কিত ডিভাইসের নাম বা ব্যবহারকারীর নাম পরীক্ষা করুন।
2. লক্ষ্য এবং লক্ষ্য করুন এটি ম্যালিশাস অ্যাক্টিভিটি সাথে সম্পর্কিত কিনা।
3. বিস্তৃত প্রসঙ্গের জন্য একই সাইট বা নেটওয়ার্কে অন্যান্য ব্যবহারকারীদের জন্য একই চরিত্রবিশিষ্ট ট্র্যাফিক পরিদর্শন করুন।

ফাইল-শেয়ারিং বনাম SMB অস্বাভাবিকতা

XOps ইঞ্জিন ফাইল-স্থানান্তর ইভেন্টগুলিকে একটি ছাতার নীচে গ্রুপ করে, কিন্তু ক্লাউড ফাইল-শেয়ারিং অ্যাপস (যেমন, ড্রপবক্স, শেয়ারপয়েন্ট, S3) এবং SMB-ভিত্তিক ফাইল অ্যাক্সেস ভিন্ন তদন্তমূলক ডেটা প্রদর্শন করে:

ক্লাউড অ্যাপ্লিকেশন - ইভেন্ট শুধুমাত্র অ্যাপ্লিকেশন এবং ভলিউম দেখায়; অবজেক্ট-স্তরের বিবরণ ক্লাউড প্ল্যাটফর্মে থাকে
SMB ট্র্যাফিক - ইভেন্টগুলি সূক্ষ্ম মেটাডেটা অন্তর্ভুক্ত করে, যেমন ফাইলের নাম এবং পথ, যা অন্তর্দৃষ্টিগত পর্যালোচনাকে গভীর করে।

তদন্তের টিপস এবং উদাহরণ ব্যবহারের ক্ষেত্রসমূহ

সাইট-ভিত্তিক অস্বাভাবিকতায় এমন ঘটনা থাকতে পারে যেখানে একটি নির্দিষ্ট হোস্ট বা গন্তব্য নেই এবং অস্বাভাবিকতাটি সাইটের মধ্যে একটি সম্প্রসারীত ঘটনা।
অস্বাভাবিকতার কারণ হয়ে ওঠা অ্যাপ্লিকেশনটি অস্বাভাবিক ইভেন্টগুলির সৃষ্টি করে এমন শীর্ষ ৫ অ্যাপ্লিকেশনের মধ্যে না থাকা হতে পারে এমন ঘটনা থাকতে পারে।
একটি ক্ষেত্রে, অস্বাভাবিকতা চিন্তা সূচক (পূর্ণতাঃ) IPS ইভেন্টের উপর ভিত্তি করে। এমন একটি ক্ষেত্রে, তদন্তটি আরও লক্ষ্যকেন্দ্রিক হওয়া উচিত, তাই আপনি নিম্নলিখিত প্লেবুকটি ব্যবহার করা উচিত: XOps নিরাপত্তা প্লেবুওক - সন্দেহজনক লক্ষ্যের যোগাযোগ.
আপনি যদি নিশ্চিত না হন যে একটি নির্দিষ্ট অস্বাভাবিকতায় নিরাপত্তা হুমকি আছে কিনা, তাহলে চেষ্টা করুন এটি পূর্বে একই সাইট বা বিভিন্ন সাইটে হয়েছিল কিনা তা পর্যবেক্ষণ করতে। এটি একটি নতুন ডিভাইসের কারণে সংঘটিত হয়েছে কিনা তা সনাক্ত করতে সাহায্য করতে পারে।

তদন্ত থেকে উপসংহার

এটি ইভেন্ট অস্বাভাবিকতা গল্পের জন্য প্রাসঙ্গিক কিছু উদাহরণ উপসংহারের প্রদান করে:

অস্বভাবিক ট্র্যাফিক
ব্লকড ফাইল অস্বাভাবিকতা
ব্লকড IPS ট্র্যাফিক অস্বাভাবিকতা
{app name} অ্যাপ্লিকেশন ব্যবহার করে পুনরুদ্ধার প্রচেষ্টা
ম্যালিশিয়াস লক্ষ্য ট্রাঃফিক অস্বাভাবিকতা

প্রস্তাবিত ক্রিয়াগুলি

সম্পূর্ণ এন্ডপয়েন্ট প্রোটেকশন স্ক্যান (এন্টি-ভাইরাস, EPP, EDR, ইত্যাদি) চালান এবং সংক্রামিত মেশিন থেকে কোনও অজানা প্রোগ্রাম এবং ব্রাউজার এক্সটেনশনগুলি সরান।
- নিশ্চিত করুন যে অপসারণ প্রক্রিয়াটি যথাযথভাবে করা হয়েছে এবং সমস্ত সম্পর্কিত উপাদানগুলি চিহ্নিত এবং মুছে ফেলা হয়েছে।
যদি কোনও নির্দিষ্ট হোস্ট বা ব্যবহারকারী অস্বাভাবিকতার উৎস হিসাবে চিহ্নিত হয়, সম্ভাব্য ক্ষতি বা ডেটা পুনরুদ্ধার প্রতিরোধ করতে তাদের নেটওয়ার্ক থেকে অবিলম্বে পৃথক করুন।
যদি প্রয়োজন হয়, একটি আরও বিনিয়োগগত নিরাপত্তার নীতি জন্য নিয়মগুলি আপডেট বা তৈরি করুন, বিশেষত যদি অস্বাভাবিকতা একটি অ্যাপ্লিকেশন বা ট্র্যাফিক দ্বারা সৃষ্ট হয় যা অনুমোদিত হওয়া উচিত নয়।
যদি গল্পটি একটি মিথ্যা পজিটিভ হয়, আপনি এটি অনুকূল/তথ্যগত হিসাবে শ্রেণীবদ্ধ করতে পারেন এবং একটি মিউট স্টোরিজ নিয়মিতে সেট করতে পারেন। যদি গল্পটি একটি বৈধ স্ক্যান বা অনুপ্রবেশ পরীক্ষার ফলাফল হয়, তবে নির্দিষ্ট সময়ে সেট করার জন্য এটি মিউট স্টোরিজ নিয়মে যোগ করার পরামর্শ দেওয়া হয়।