XOps Security Playbook - Prevención Adaptativa de Amenazas

Este manual describe cómo utilizar el Banco de Trabajo de Historias para investigar tiendas basadas en comportamientos maliciosos de Prevención Adaptativa de Amenazas.

Visión General

Este manual detalla un enfoque sistemático para que los ingenieros del SOC investiguen posibles incidentes de seguridad relacionados con comportamientos maliciosos de Prevención Adaptativa de Amenazas. Estos indicadores bloquean comportamientos maliciosos asociados con las etapas iniciales de un movimiento lateral o intentos de exfiltración de datos sospechosos. Se enfocan en detectar y bloquear el uso de herramientas o técnicas críticas que suelen emplear los atacantes durante la segunda fase de compromiso, como:

  • Ejecución remota de herramientas (por ejemplo, PsExec)

  • Herramientas de descarga no autorizadas (por ejemplo, Rclone)

image-20250727-102958.png

Recopilando Información Sobre la Amenaza

Utilice los widgets de Detalles en la historia para recopilar información básica sobre la amenaza potencial y hacer una evaluación inicial sobre si se requiere una investigación más profunda. Esta parte de la investigación lleva a comprender las condiciones previas de la actividad que se disparó y que llevó a la creación de la historia. Revise estos campos clave:

  • Pestaña de Origen: Datos a nivel de dispositivo como IP, sistema operativo, nombre de host y dirección MAC.

  • Entrada del Catálogo IOA: Utilice el título y la descripción de IOA para guiar su investigación.

Analizar el Evento IPS Desencadenado

Esta etapa se centra en comprender la actividad que desencadenó la creación de la historia, lo que fue bloqueado y qué condiciones previas requiere esta actividad IPS para bloquear el tráfico malicioso.

  • Tabla de Acciones de Objetivo: Revise los eventos asociados haciendo clic en los Eventos Relacionados. Estas entradas proporcionan una visión más profunda de la naturaleza del tráfico bloqueado, incluyendo detalles contextuales y referencias de amenazas que pueden ayudar a identificar el tipo e intención de la amenaza.

    image-20250701-124511.png

  • Gráfico de Distribución de Ataques: Este gráfico ayuda a evaluar la naturaleza del tráfico detectado, ya sea que siga un patrón recurrente (por ejemplo, comportamiento periódico o similar a un bot) o sea un evento único. En el contexto de estos tipos de historias, el tráfico recurrente se observa con menos frecuencia. Múltiples ocurrencias pueden sugerir que la actividad fue parte de una prueba o ejercicio más que un intento real de ataque. Sin embargo, cada caso debe investigarse minuciosamente para descartar cualquier intención maliciosa.

    image-20250703-132703.png

  • Línea de Tiempo de Eventos Relacionados: Dado que las historias basadas en UEBA IPS se desencadenan solo después de que se cumplen condiciones previas específicas, entender la secuencia de eventos que lleva al bloqueo es esencial.

    • Comience filtrando eventos según el marco temporal de la historia y la IP del usuario/cliente involucrado. A continuación, agregue la ID de Firma como una columna visible y aplique filtros para los tipos de eventos IPS y Actividad Sospechosa. Esto facilita identificar los eventos exactos que contribuyeron a desencadenar el Bloqueo IPS UEBA.

    • Los indicadores clave detallados en la descripción de IOA ayudan a enfocar la investigación en patrones de actividad relevantes. Una vez identificados los eventos de condición previa, revise el Catálogo de Amenazas para obtener más contexto sobre las técnicas involucradas y comprender mejor la naturaleza de la amenaza detectada.

    image-20250703-125705.png

Analizar Historias Relacionadas

Este paso proporciona un contexto valioso al descubrir detecciones adicionales vinculadas al mismo dispositivo o usuario, lo que puede revelar un patrón más amplio de comportamiento sospechoso. Asegúrese de cruzar las líneas de tiempo, las IP involucradas y las identidades de los usuarios para detectar indicadores superpuestos e intentos de intrusión potencialmente vinculados. Revisar historias relacionadas puede ayudarlo a:

  • Identificar otras actividades que ocurrieron alrededor del mismo tiempo en el host afectado, que pueden haber desencadenado historias separadas

  • Detectar historias similares a lo largo de la organización, ayudando a evaluar si este es un evento aislado o parte de un intento de ataque más grande y coordinado

  • Evaluar el alcance y la persistencia de la amenaza identificando técnicas o uso de herramientas repetidas a través de múltiples entidades

Conclusión

Estos son algunos ejemplos de conclusiones relevantes:

  • Malware

  • Intento de Explotación

  • Movimiento Lateral

Acciones Recomendadas

  1. Ejecute escaneos completos de AV/EPP/EDR en el host afectado

  2. Realice un restablecimiento de credenciales para las cuentas de usuario involucradas, especialmente si el reconocimiento fue extenso

  3. Si aplica, bloquee proactivamente herramientas o servicios señalados en la detección para el host afectado dentro de los Firewalls de Cato (LAN, WAN, Saliente y RPF) hasta una completa remediación

  4. En caso de que la historia sea un falso positivo, puede clasificarla como Benigna/Informativa y también agregarla a una regla de Silenciar Historias. Si la historia resulta de un escaneo legítimo o prueba de penetración, se recomienda agregarla a una regla de Silenciar Historias por un rango de tiempo específico.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios