এই প্রবন্ধটি ব্যাখ্যা করে কীভাবে আপনার নেটওয়ার্কের সম্ভাব্য হুমকির সাথে IPS সেবার সাথে সন্দেহজনক কার্যকলাপ মনিটরিং (SAM) বৈশিষ্ট্যটি ব্যবহার করতে হয়।
ক্যাটোর SAM বৈশিষ্ট্যটি আইপিএস সেবাকে সম্প্রসারিত করে সন্দেহজনক কার্যকলাপের জন্য দৃশ্যমানতা প্রদান করে যা মানক আইপিএস স্বাক্ষর দ্বারা নজরদারি হয় না। এই ধরনের ট্রাফিক নেটওয়ার্কের মাধ্যমে সংগৃহীত কর্মকাণ্ডকে প্রতিনিধিত্ব করে যা বিশেষ মনোযোগ প্রয়োজন এবং প্রসঙ্গের ভিত্তিতে এটি একটি আপসহীন বা বিনষ্ট নির্দেশ করতে পারে। যথাযথভাবে পর্যবেক্ষণ করা সত্ত্বেও, যেহেতু ট্রাফিক প্রকৃতপক্ষে ক্ষতিকারক নয়, SAM শুধুমাত্র ট্রাফিকটি পর্যবেক্ষণ করে এবং কোনো বাধার সৃষ্টি করে না। SAM দ্বারা প্রদত্ত সম্ভাব্য হুমকির নতুন দৃষ্টিভঙ্গি একটি আক্রমণের সব স্তর শনাক্ত করতে এবং ভবিষ্যতে একই ধরনের আক্রমণের জন্য সনাক্তকরণ এবং প্রতিরক্ষা প্রস্তুতিতে সহায়ক হতে পারে।
You can view and analyze suspicious activity data in the Threats Dashboard, MITRE ATT&CK® Dashboard, and XDR Stories Dashboard, and review SAM events in the Events page.
কাটো নিরাপত্তা গবেষণা দল নির্দিষ্ট স্বাক্ষর তৈরি করে অপ্রচলিত আচরণমূলক প্যাটার্নের জন্য যা সন্দেহজনক প্রতীয়মান হয়। এসএএম সেবা সেই ট্রাফিক শনাক্ত করে যা এই স্বাক্ষরগুলির সাথে মিলে, এবং এমন ঘটনা ও ডেটা তৈরি করে যা এসওসি দল বিশ্লেষণ করতে পারে হুমকিকে ট্র্যাক এবং অনুসন্ধান করতে। SAM ঘটনা সন্দেহজনক কার্যকলাপ উপ-ধরনের সাথে চিহ্নিত করা হয়, ক্ষতিকারক IPS ঘটনা এবং সম্ভবত বৈধ অপ্রচলিত ট্রাফিকের মধ্যে পার্থক্য করা হয়।
SAM আপনার অ্যাকাউন্টের সমস্ত WAN, ইনবাউন্ড এবং আউটবাউন্ড ট্রাফিক মনিটরিং করে, আইপিএস সুরক্ষা পরিধি সেটিংস SAM-কে প্রভাবিত করে না।
এরূপ কিছু পরিস্থিতির উদাহরণ যা SAM ঘটনার সৃষ্টি করে:
-
বাহিরমুখী HTTP ট্রাফিক সিস্টেম তথ্যের বিনিময় হতে কারণ হয়
-
নিম্ন জনপ্রিয়তার গন্তব্যে HTTP অনুরোধগুলি অমানক HTTP পোর্ট ব্যবহার করে
-
একটি প্রোগ্রামেরিক HTTP ক্লায়েন্ট একটি বাইনারি বা দুর্কশোফাইল ডাউনলোড করে
-
উচ্চতর ফোল্ডারে একটি নির্বাহযোগ্য স্থানান্তর করে ওয়ানের মাধ্যমে
SAM বৈশিষ্ট্য ঘটনাগুলি বিভিন্ন ঝুঁকি স্তরে শ্রেণীবদ্ধ করে: উচ্চ, মাঝারি, এবং কম। কাটো বিভিন্ন ফ্যাক্টরের বিশ্লেষণের উপর ভিত্তি করে ঝুঁকির স্তর হিসাব করে, উদাহরণস্বরূপঃ
-
কাটো ক্লাউড জুড়ে সমস্ত ট্রাফিকের কর্মকাণ্ডের প্রচলন। প্রচলন যত কম, কার্যকলাপ ততই ক্ষতিকারক হওয়ার সম্ভাবনা বেশি
-
কার্যকলাপের সাথে সম্পর্কিত MITRE ATT&CK® প্রযুক্তি
ঝুঁকির স্তর আপনাকে ট্রাফিক মূল্যায়ন করতে এবং ঘটনাগুলির উপর আপনার বিশ্লেষণকে মনোনিবেশ করতে সাহায্য করে যা সম্ভবত আক্রমণের অংশ হতে পারে। অতিরিক্তভাবে, উচ্চ ঝুঁকিপূর্ণ SAM ইভেন্টগুলি স্বয়ংক্রিয়ভাবে একটি XDR গল্প তৈরি করে, যা স্টোরিজ ওয়ার্কবেঞ্চে তদন্ত করা যেতে পারে।
-
SAM আইপিএস লাইসেন্সে অন্তর্ভুক্ত। আইপিএস লাইসেন্স কেনার জন্য আরো তথ্যের জন্য আপনার কাটো প্রতিনিধির সাথে যোগাযোগ করুন।
-
আপনি SAM সক্রিয় করতে পারেন আগে আইপিএস নীতি সক্রিয় করা আবশ্যক।
নোট
নোট: আমরা TLS পরিদর্শন সক্রিয় করতে সুপারিশ করছি যাতে আইপিএস সেবা এবং SAM উন্নয়ন আপনার নেটওয়ার্কের জন্য সর্বাধিক সুরক্ষার প্রদান করতে পারে।
SAM থেকে সর্বোচ্চ সুবিধা লাভের জন্য, আমরা আপনার নেটওয়ার্কের নিয়মিত নিরাপত্তা প্রক্রিয়ার অংশ হিসেবে SAM ইভেন্টগুলির একটি পর্যালোচনা অন্তর্ভুক্ত করার সুপারিশ করছি। উদাহরণস্বরূপ, আপনি নিম্নলিখিত ব্যবহার কেসগুলিতে SAM ইভেন্টগুলির পর্যালোচনা প্রয়োগ করতে পারেনঃ
-
সম্ভাব্য আক্রমণ সনাক্ত এবং প্রতিরোধ করার জন্য উচ্চ ঝুঁকিপূর্ণ SAM ইভেন্টগুলির নিয়মিত পর্যালোচনা
-
একটি নিশ্চিত আক্রমণের পর ফোরেনসিক তদন্তের অংশ হিসেবে ব্যাপক প্রসঙ্গে প্রদান করার জন্য SAM ইভেন্টগুলি বিশ্লেষণ করুন
কাটো SAM দ্বারা সনাক্ত করা সন্দেহজনক কার্যকলাপগুলি আবিষ্কার এবং তদন্ত করার জন্য কিছু উপায় প্রদান করে। এই বিভিন্ন সম্পদগুলো ব্যবহার করে আপনার নেটওয়ার্কের সন্দেহজনক কার্যকলাপের জন্য সম্পূর্ণ দৃশ্যমানতা এবং প্রসঙ্গ গঠন করতে পারবেন। এই সম্পদগুলো অন্তর্ভুক্তঃ
-
XDR স্টোরিজ ওয়ার্কবেঞ্চ - SAM ইভেন্টগুলি স্টোরিজ ওয়ার্কবেঞ্চে XDR গল্পগুলির জন্য ভিত্তি হিসেবে কাজ করে। ওয়ার্কবেঞ্চে গল্প পর্যালোচনা করা আপনাকে সতর্ক করতে পারে যে কোন সন্দেহজনক কার্যকলাপ আক্রমণের অংশ হতে পারে। For more about using the Stories Workbench, see Reviewing Detection & Response (XDR) Stories in the Stories Workbench.
-
থ্রেট ড্যাশবোর্ড - ড্যাশবোর্ডটি ফিল্টার করে SAM ইভেন্টগুলিতে মনোযোগ দিয়ে SAM ইভেন্ট ডেটা পর্যালোচনা করুন। See below Viewing SAM Data in the Threats Dashboard
-
MITRE ATT&CK ড্যাশবোর্ড - আপনি ড্যাশবোর্ডটি আইপিএস মনিটরিং ঘটনার ডেটা প্রদর্শনের জন্য সেট করতে পারেন, যার মধ্যে SAM ঘটনা অন্তর্ভুক্ত। See below Analyzing SAM Data in the MITRE ATT&CK® Dashboard
-
Events page - Filter the page to show SAM events (subtype: Suspicious Activity). যখন আপনি সন্দেহজনক কার্যকলাপ প্রিসেট ফিল্টার নির্বাচন করেন, ডিফল্টভাবে পৃষ্ঠাটি শুধুমাত্র উচ্চ ঝুঁকিপূর্ণ SAM ঘটনাবলী প্রদর্শন করে। আপনি উৎস বা গন্তব্যের আকর্ষণীয়তার মতো নির্দিষ্ট SAM ঘটনাবলীর উপর ফোকাস করতে ফিল্টার যোগ করতে পারেন। For more about SAM events, see below Reviewing SAM Events.
থ্রেট ড্যাশবোর্ড, MITRE ATT&CK ড্যাশবোর্ড, এবং XDR স্টোরিজ ওয়ার্কবেঞ্চ আপনাকে ইভেন্ট পৃষ্ঠায় বিস্তারিত তথ্য অনুসন্ধান ও পর্যালোচনা করার সুযোগ দেয়।
এই অংশটি SAM সেবা কনফিগার করতে কিভাবে তা ব্যাখ্যা করে।
ডিফল্টভাবে, আপনার অ্যাকাউন্টের জন্য SAM সক্রিয় থাকে। আইপিএস পৃষ্ঠায় সন্দেহজনক কার্যকলাপ ট্যাবটি আপনাকে এই সেটিংস পরিবর্তন করতে দেয়।
থ্রেট ড্যাশবোর্ড পৃষ্ঠা আপনাকে আপনার নেটওয়ার্কের সন্দেহজনক কার্যকলাপ বিশ্লেষণ করতে দেয়। আপনি আইপিএস অংশে উইজেটগুলি সেট করতে পারেন সন্দেহজনক কার্যকলাপ দেখানোর জন্য, তারপর ড্যাশবোর্ডটি ফিল্টার করুন নির্দিষ্ট SAM হুমকি প্রকারের তথ্য এবং প্রাসঙ্গিক হোস্ট ও ব্যবহারকারীদের দেখানোর জন্য। আপনি ইভেন্ট পৃষ্ঠায় SAM ঘটনাবলীও দেখতে পারেন, যা হুমকি প্রকার, হোস্ট, এবং ব্যবহারকারীর জন্য পূর্ব-ফিল্টার করা থাকে।
For more about how to filter the dashboard and view events from the Threats Dashboard widgets, see Using the Security Threats Dashboard.
MITRE ATT&CK® ড্যাশবোর্ড আপনাকে MITRE ATT&CK® কৌশল এবং প্রণালীর কাঠামো ব্যবহার করে সন্দেহজনক কার্যকলাপ বিশ্লেষণ করতে সাহায্য করে। আপনি ড্যাশবোর্ডটি আইপিএস মনিটর ইভেন্টগুলি সহ SAM ইভেন্টগুলির ডেটা দেখানোর জন্য সেট করতে পারেন। For more about using the MITRE ATT&CK® Dashboard, see Working with the MITRE ATT&CK® Dashboard.
আপনি যদি নির্দিষ্ট ট্রাফিকের জন্য ইভেন্ট লগ করা বন্ধ করতে চান, তাহলে আপনি সেই ট্রাফিককে আইপিএস অ্যালাউ লিস্ট পাতায় অনুমতি তালিকাভুক্ত করতে পারেন। সন্দেহজনক কার্যকলাপ ট্রাফিক অনুমতি তালিকাভুক্ত করার জন্য, আপনি মনিটরিং বন্ধ করতে চান ট্রাফিকের সিগনেচার ID ব্যবহার করে একটি আইপিএস অ্যালাউ লিস্ট নিয়ম তৈরি করুন। আপনি ইভেন্ট পৃষ্ঠায় একটি ইভেন্টের সিগনেচার ID ক্লিক করে সন্দেহজনক ট্রাফিকও অনুমতি তালিকাভুক্ত করতে পারেন। For more information, see Allowlisting IPS Signatures.
আপনি গৃহ > ইভেন্টসমূহ এ নিরাপত্তা ইভেন্টসমূহ পর্যালোচনা করতে পারেন এবং SAM দ্বারা সনাক্তকৃত অস্বাভাবিক আচরণ এবং সম্ভাব্য হুমকি খুঁজে পেতে পারেন। এই ইভেন্টগুলি সন্দেহজনক কার্যকলাপ সাব-টাইপ দ্বারা লেবেল করা হয়, যা আপনাকে আইপিএস সাব-টাইপ দ্বারা উৎপন্ন উচ্চ ঝুঁকিপূর্ণ ইভেন্টগুলির থেকে তাদের পৃথক করতে সহায়তা করে।
প্রাসঙ্গিক ইভেন্টগুলি দেখানোর জন্য প্রিসেট নির্বাচন করুন ড্রপ-ডাউন মেনু থেকে সন্দেহজনক কার্যকলাপ প্রিসেট ফিল্টারটি নির্বাচন করতে পারেন। ডিফল্টরূপে, যখন আপনি এই প্রিসেট নির্বাচন করেন তখন পৃষ্ঠাটি উচ্চ ঝুঁকিপূর্ণ SAM ইভেন্টগুলি দেখানোর জন্য ফিল্টার করা হয়। সব SAM ঘটনাসমূহ দেখতে, ঝুঁকির মাত্রা উচ্চ ফিল্টার সরান।
The Suspicious Activity Sub-Type is limited to 2,500,000 events per hour. See Cato Cloud Thresholds and Limits.
এটি একটি উচ্চ ঝুঁকির SAM ঘটনার বিশ্লেষণ উদাহরণ:
-
হুমকির নাম এই ঘটনায় কি ঘটেছিল তার একটি মৌলিক ব্যাখ্যা প্রদান করে - PsExec ব্যবহার করে একটি নির্বাহযোগ্য ফাইল আড়াআড়ি সরানো হয়েছিল।
-
Mitre Attack Tactics এবং Mitre Attack Subtechniques ক্ষেত্রসমূহ একটি রিমোট সার্ভিস ব্যবহারের মাধ্যমে এবং SMB এর উপর ADMIN$ শেয়ার ফোল্ডারে পার্শ্বিক গতিশীলতার নির্বাহন প্রদর্শন করে।
-
উৎস এবং গন্তব্য বিশদ বিবরণী ক্ষেত্রগুলি হোস্টগুলি খুঁজে পেতে সাহায্য করে। এই তথ্যগুলো দিয়ে আপনি:
-
ঘটনার উৎস হোস্টের PsExec ব্যবহার করার জন্য প্রয়োজনীয় অনুমতিগুলি আছে কিনা তা নিশ্চিত করুন।
-
ঘটনার সাথে সম্পর্কিত শেষ ব্যবহারকারী সনাক্ত করা কার্যকলাপ সম্পাদন করবে কিনা তা নিশ্চিত করুন।
-
0 মন্তব্য
একটি মন্তব্য করার জন্য সাইন ইন করুন করুন।