Manual de Seguridad XOps - Comunicación con Objetivo Sospechoso

Este manual describe cómo utilizar el Banco de Trabajo de Historias para investigar historias relacionadas con la comunicación con objetivo sospechoso.

Visión general

Este manual describe un enfoque sistemático para que los ingenieros SOC investiguen incidentes de seguridad potenciales relacionados con la comunicación sospechosa de objetivos. Proporciona un marco para reunir información inicial, analizar el tráfico de red y sacar conclusiones sobre la naturaleza de la amenaza.

Reunir Información Inicial sobre la Amenaza

Utilice el widget de Detalles en la historia para reunir información básica sobre la amenaza potencial. Revise la Descripción de la historia y otros datos para decidir si se requiere una investigación adicional. Además, la sección de Historias Similares muestra otras historias que comparten indicadores y observables similares.

gathering-info.png

Utilice el widget de Fuente para revisar datos sobre el dispositivo impactado por este tráfico sospechoso.

source.png

También puede utilizar el Catálogo de Indicaciones para obtener más información (como el ID de Indicación) y enfocar la investigación según su consulta.

Análisis del Tráfico de Red

Distribución de Ataques

El gráfico de Distribución de Ataques puede ayudar a comprender la naturaleza del tráfico, ataques periódicos que se asemejan al comportamiento de bot, un evento puntual, u otras características.

attack_distribution.png

Objetivos

La sección de Objetivos le permite examinar los objetivos identificados para aprender más sobre su intención potencial y la probabilidad de que el objetivo sea malicioso:

  • Evaluar la puntuación maliciosa de Cato

  • Examinar la popularidad de Cato

  • Considerar las categorías asociadas de Cato

  • Revisar la cantidad de fuentes de inteligencia de amenazas vinculadas al objetivo

Usando Enlaces de Objetivo para Buscar Fuentes Externas

Para este momento, debe tener una comprensión sólida de la actividad capturada en esta historia, los Enlaces de Objetivo le ayudan a realizar una búsqueda externa en fuentes confiables para obtener contexto histórico y signos de comportamiento malicioso. Correlacione estos datos para identificar conexiones con otras entidades y posibles vínculos con actores de amenaza, campañas o técnicas conocidas.

Acciones del Objetivo

La sección de Acciones del Objetivo se puede utilizar para verificar si los motores de seguridad tomaron acciones de respuesta al tráfico identificado.

target_actions.png

  1. Utilice los Eventos Relacionados para abrir la página de Eventos y revisar los eventos correspondientes para cada objetivo.

  2. En los datos del evento, busque detalles adicionales sobre el evento de IPS específico y reúna información sobre la naturaleza de la firma IPS, clasificación de clientes, tipo de amenaza y más.

Flujos Relacionados con el Ataque

Utilice la sección de Flujos Relacionados con el Ataque para examinar flujos de datos no procesados relacionados con la historia.

  1. Evalúe la distribución del tráfico para identificar patrones y fluctuaciones de volumen.

  2. Analice puntos de datos suplementarios de estos flujos, incluyendo URLs, agentes de usuario, nombres de archivos y otros atributos relevantes, y compárelos con los hallazgos del paso de investigación previo para revelar posibles correlaciones.

Conclusiones de la Investigación

Para las investigaciones que se centran en el objetivo, estos son algunos ejemplos de tipos de amenazas que son las comunicaciones sospechosas de una historia:

  • Adware

  • Malware

  • Extensión de navegador

  • PuP (Programa Potencialmente No Deseado)

  • Actividad de Red No Segura (Sospechosa)

  • Violación de Política (Sospechosa)

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios