XOps Security Playbook - Anomalías de Eventos

Este libro de estrategias describe cómo usar el Banco de Trabajo de Historias para investigar historias relacionadas con comportamientos anómalos detectados por el generador de anomalías de eventos.

Para más información sobre cómo usar el Banco de Trabajo de Historias para analizar anomalías de eventos, consulte Analizando XOps historias de UEBA para uso y anomalías de eventos.

Resumen

Este libro de estrategias describe un enfoque sistemático para que los ingenieros SOC investiguen posibles incidentes de seguridad relacionados con comportamientos anómalos que resultan en un número inusual de eventos. Proporciona un marco para recopilar información inicial, analizar el tráfico de red y sacar conclusiones sobre la naturaleza de la amenaza.

Es aplicable a situaciones donde el motor detecta un aumento de volumen (muchos eventos en una ventana breve) o un comportamiento nunca antes visto (un evento o aplicación que no se había observado antes). Ambas indicaciones surgen del mismo modelo analítico de comportamiento; el flujo de trabajo a continuación las cubre conjuntamente y señala dónde puede ser necesario recopilar contexto adicional.

Qué Buscar

Las historias de anomalías de eventos pueden ayudar a identificar amenazas que producen patrones de tráfico anormales, así como configuraciones incorrectas de red que podrían representar amenazas de seguridad. Los siguientes son ejemplos de estos tipos de posibles amenazas:

Actividad de amenaza asociada con patrones de tráfico anómalos:

  • Intentos de exfiltración de datos

  • Movimiento lateral dentro de la red

  • Intentos de infección maliciosa

Configuraciones incorrectas de red que podrían representar riesgos de seguridad

  • Violaciones de políticas - Por ejemplo: Intentos de acceso no autorizado, transferencias de datos inesperadas o conexiones que omiten los controles de seguridad establecidos

  • Puertos abiertos y uso indebido de protocolos - Picos de tráfico anómalos relacionados con puertos o protocolos específicos a menudo indican que estas configuraciones no están alineadas con las mejores prácticas y pueden indicar una configuración incorrecta

  • Fallos de segmentación de red - La segmentación de red configurada incorrectamente puede permitir el acceso no autorizado o el movimiento entre segmentos, lo cual puede detectarse como anomalías

Paso 1 - Recopilación de Información Inicial sobre la Amenaza

Utilice los widgets de Detalles en la historia para recopilar información básica sobre la posible amenaza y hacer una evaluación inicial de si se requiere una investigación adicional. Revise estos campos clave:

  • Descripción - Comprenda el tipo de anomalía (incluyendo la aplicación específica, motor o comportamiento), y si el enfoque está en un sitio específico o usuario

  • Período de Entrenamiento - Muestra cuánto tiempo el motor ha estado recopilando datos de referencia para la anomalía. Un período de entrenamiento más largo puede indicar una referencia bien establecida, mientras que uno más corto podría indicar que los datos son limitados

  • Fuente - Lista el sitio o usuario que generó el tráfico. Cuando el alcance es un sitio completo, espere que se involucren varios hosts.

Nota

Consejo: Si la anomalía afecta a un sitio, identificar un único host fuente puede ser un desafío, y la anomalía podría abarcar múltiples hosts.

source.png

Paso 2 - Análisis del Origen de los Eventos Anómalos

Distribución de Anomalías

El gráfico de Distribución de Anomalías puede ayudar a identificar qué regla de firewall, firma de IPS o regla anti-malware generó los eventos que activaron la historia de anomalías. Si están involucradas múltiples reglas, priorice las que causaron los mayores picos en los eventos.

Las historias de anomalías basadas en eventos pueden originarse desde cualquier fuente de registro de Cato, Firewall, IPS, Protección DNS, CASB, DLP, Seguridad de Aplicaciones, NGAM, y otros, por lo que el vector de ataque probable y su enfoque de investigación deben ajustarse para adaptarse al tipo de evento específico.

Anote la marca de tiempo exacta de la anomalía. Esto es fundamental para analizar eventos relacionados en pasos posteriores de la investigación.

Scanner_Playbook_-_Anomaly_Distribution.png

Paso 3 - Revisar Widgets Adicionales

Revise estos widgets para obtener contexto adicional. Los widgets muestran las principales aplicaciones, servidores, hosts y objetivos involucrados en la anomalía. Los datos se agregan durante un período de 14 días previo a la historia de la anomalía.

  • Principales Aplicaciones - Muestra las aplicaciones con el mayor número de eventos.

    Events_Anomaly_Playbook_-_Top_Apps.png

  • Principales Servidores/Destinos - Muestra los servidores o redes más accedidos.

    Events_Anomaly_Playbook_-_Top_Servers.png

  • Principales Hosts - Muestra las principales direcciones IP fuente que generan el tráfico.

  • Objetivos - Muestra los destinos objetivo para el tráfico anómalo.

Nota

Nota: Estos widgets brindan una visión general y no siempre son indicativos de la causa exacta de la anomalía. Por ejemplo, los widgets indican que la anomalía involucra tráfico TOR, pero sin una IP de destino específica. Esto puede indicar una actividad TOR más amplia, en lugar de un objetivo malicioso único.

Paso 4 - Analizar Historias Relacionadas

Este paso ofrece contexto valioso al identificar detecciones adicionales asociadas con el mismo comportamiento o el sitio/host donde se observó. Revisar historias similares puede ayudar a determinar si otros hosts en la red activaron la misma detección, potencialmente revelando un fenómeno más amplio que afecta el entorno.

image-20250710-122158.png

Paso 5 - Investigar Analítica de Aplicaciones y Eventos

Analizar eventos individuales es el paso más crítico en la investigación. Permite profundizar en la anomalía para entender su causa raíz.

Revise los eventos relevantes para correlacionar los datos relacionados con la historia. Busque elementos recurrentes como IPs fuente específicas, dominios y aplicaciones para orientar su investigación. Por ejemplo, si la anomalía es causada por tráfico TOR y una IP fuente o dominio específico muestra actividad repetida, investigue más a fondo esa entidad.

Los siguientes son pasos de ejemplo para analizar eventos relacionados con una historia de anomalías de eventos. Para más información sobre cómo filtrar y trabajar con la página de eventos, consulte Analizando Eventos en su Red.

  1. Muestra la página de Eventos filtrada previamente para eventos relacionados con la historia haciendo clic en Ver Todo en la página de la historia.

    Events_Anomaly_Playbook_-_View_All.png

  2. En la página de Eventos, configure el filtro de rango de tiempo o use el ratón para seleccionar el rango de tiempo que muestra claramente un número anómalo de eventos.

    Events_Anomaly_Playbook_-_time_range.png

  3. Agregar campos relevantes a la página de Eventos. Esto proporciona una mejor perspectiva de los eventos involucrados en la anomalía. En el ejemplo siguiente, se agregaron estos campos de eventos a la página: ID de Firma, Aplicación, Nombre de Dominio, IP de Fuente.

    Revise los campos añadidos e intente identificar la causa de la anomalía. En este ejemplo, los campos de eventos añadidos muestran claramente que la causa de la anomalía es un dominio específico.

    Events_Anomaly_Playbook_-_Add_Fields.png

  4. Revise los campos añadidos e intente identificar la causa de la anomalía. Busque elementos recurrentes:

    • IPs fuente/usuarios repetidos

    • El mismo dominio o destino en múltiples eventos

    • Aparición repentina de una aplicación o país desconocido.

    Compare el tráfico con el tráfico organizacional:

    • ¿Tienen otros usuarios patrones de tráfico similares?

    • En caso de que sea la primera ocurrencia de un comportamiento sospechoso, ¿es algo común dentro de la organización? ¿Este comportamiento fue activado por otros hosts dentro de la organización?

  5. En el siguiente paso de este ejemplo, después de identificar que según los widgets y eventos que las Redes Tor son la aplicación más utilizada, y que hay dos principales amenazas IPS que tuvieron un pico de eventos, se agregan filtros para los nombres específicos de Aplicaciones y Amenazas.

    Events_Anomaly_Playbook_-_More_filters.png

    Los filtros añadidos revelan que este tráfico anómalo se relaciona con una dirección IP fuente específica.

  6. Ahora se pueden tomar pasos adicionales de investigación:

    1. Revise el Nombre del Dispositivo o el Nombre del Usuario correlacionado con esta actividad.

    2. Investigue el objetivo y vea si está relacionado con la actividad maliciosa.

    3. Inspeccione el tráfico con las mismas características para otros usuarios en el mismo sitio o red para obtener un contexto más amplio.

Compartición de Archivos vs Anomalías SMB

El motor de XOps agrupa los eventos de transferencia de archivos bajo un solo paraguas, pero las aplicaciones de compartición de archivos en la nube (por ejemplo, Dropbox, SharePoint, S3) y el acceso a archivos basado en SMB exponen datos de investigación diferentes:

  • Aplicaciones en la nube – los eventos muestran la aplicación y el volumen únicamente; los detalles a nivel de objeto residen en la plataforma en la nube misma

  • Tráfico SMB – los eventos incluyen metadatos granulares, como el nombre y la ruta del archivo, lo que permite una revisión forense más profunda.

Consejos de Investigación y Casos de Uso

  • En anomalías basadas en sitios pueden ocurrir casos donde no hay un anfitrión o destino específico y la anomalía es un fenómeno amplio en todo el sitio.

  • Pueden ocurrir casos donde la aplicación que causó la anomalía no es una de las 5 aplicaciones principales que generan eventos anómalos.

  • Hay casos donde la anomalía está basada en eventos IPS de inteligencia de amenazas (Reputación). En tal caso, la investigación debería estar más enfocada en el objetivo, por lo que debería usar el siguiente libro de estrategias: XOps Libro de Estrategias de Seguridad - Comunicación de Objetivo Sospechosa.

  • En caso de no estar seguro si una anomalía específica representa una amenaza de seguridad, trate de observar si ese tráfico ocurrió en el mismo sitio o en sitios diferentes en el pasado. Esto puede ayudar a identificar si la anomalía es simplemente causada por un nuevo dispositivo.

Conclusiones de la Investigación

Estos son algunos ejemplos de conclusiones relevantes para historias de anomalías de eventos:

  • Tráfico Anómalo

  • Anomalía de Archivos Bloqueados

  • Anomalía de Tráfico IPS Bloqueado

  • Intento de Exfiltración usando la Aplicación {app name}

  • Anomalía de Tráfico de Objetivo Malicioso

Acciones Recomendadas

  1. Realice un escaneo completo de protección de endpoint (incluyendo Anti-virus, EPP, EDR, etc.) y elimine cualquier programa desconocido y extensiones de navegador de la máquina infectada.

    • Asegúrese de que el proceso de eliminación sea exhaustivo y que todos los componentes relacionados sean identificados y eliminados.

  2. Si identifica un host o usuario específico como la fuente de la anomalía, aíslalos de la red inmediatamente para prevenir potenciales daños adicionales o exfiltración de datos.

  3. Si es necesario, actualice o cree reglas para una política de seguridad más restrictiva, especialmente si la anomalía fue causada por una aplicación o tráfico que no debería haber sido permitido.

  4. En caso de que la historia sea un falso positivo, puede clasificarla como Benigno/Informativo y también agregarla a una regla de Mute Stories. Si la historia resulta de un escaneo legítimo o prueba de penetración, se recomienda agregarla a una regla de Mute Stories para un rango de tiempo específico.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios