Este artículo explica cómo usar la característica de Monitoreo de Actividad Sospechosa (SAM) con el servicio de IPS para aumentar la conciencia de amenazas potenciales en su red.
La característica SAM de Cato expande el servicio de IPS para proporcionar visibilidad de actividades sospechosas en su red que no son monitoreadas por firmas IPS estándar. Este tipo de tráfico representa acciones realizadas sobre la red que merecen atención, y dependiendo del contexto podría indicar un compromiso o una brecha. Sin embargo, como el tráfico no es definitivamente malicioso, SAM solo monitorea el tráfico sin bloquearlo. La visión más amplia de amenazas potenciales que proporciona SAM puede ayudarle a identificar todas las fases de un ataque y estar mejor preparado para la detección y defensa contra vectores de ataque similares en el futuro.
You can view and analyze suspicious activity data in the Threats Dashboard, MITRE ATT&CK® Dashboard, and XDR Stories Dashboard, and review SAM events in the Events page.
El equipo de Investigación de Seguridad de Cato crea firmas específicas para patrones de comportamiento inusuales que parecen sospechosos. El servicio SAM detecta tráfico que coincide con estas firmas y genera eventos y datos que los equipos SOC pueden analizar para rastrear e investigar amenazas. Los eventos SAM están etiquetados con el Subtipo Actividad Sospechosa, para diferenciar entre eventos IPS maliciosos y tráfico inusualmente posiblemente legítimo.
SAM monitorea todo el tráfico WAN, entrante y saliente de su cuenta, las configuraciones de Ámbito de Protección de IPS no afectan a SAM.
Estos son ejemplos de escenarios que generan eventos SAM:
-
Tráfico HTTP saliente exfiltrando información del sistema
-
Solicitudes HTTP a destinos de baja popularidad utilizando puertos HTTP no estándar
-
Un cliente HTTP programático descargando un archivo binario o ejecutable
-
Transferencia de un ejecutable a una carpeta sensible sobre el WAN
La característica SAM clasifica los eventos en diferentes niveles de riesgo: Alto, Medio y Bajo. Cato calcula el nivel de riesgo basándose en el análisis de varios factores, por ejemplo:
-
La prevalencia de la actividad en todo el tráfico a través de la Nube de Cato. Cuanto menor es la prevalencia, más probable es que la actividad sea maliciosa
-
Las técnicas MITRE ATT&CK® asociadas con la actividad
El nivel de riesgo le ayuda a evaluar el tráfico y enfocar su análisis en los eventos que son más probablemente parte de un ataque. Además, los eventos SAM de alto riesgo generan automáticamente una historia XDR, que puede investigarse en el Banco de Historias.
-
SAM está incluido en la licencia de IPS. Para más información sobre la compra de la licencia de IPS, por favor contacte a su representante de Cato.
-
La política IPS debe estar habilitada antes de que pueda habilitar SAM.
Nota
Nota: Recomendamos que habilite la inspección TLS para que el servicio IPS y la mejora SAM proporcionen la máxima protección para su red.
Para obtener el máximo beneficio de SAM, recomendamos incorporar una revisión de eventos SAM como parte de los procedimientos de seguridad regulares para su red. Por ejemplo, puede implementar la revisión de eventos SAM en los siguientes casos de uso:
-
Revisión rutinaria de eventos SAM de alto riesgo para detectar y prevenir potenciales ataques
-
Analizar eventos SAM después de un ataque confirmado para proporcionar un contexto más amplio como parte de la investigación forense
Cato proporciona varias maneras de descubrir e investigar las actividades sospechosas detectadas por SAM. Estos diferentes recursos pueden ser utilizados en conjunto para obtener una visibilidad completa y construir un contexto para las actividades sospechosas en su red. Estos recursos incluyen:
-
Banco de Historias XDR - Los eventos SAM sirven como base para las historias XDR en el Banco de Historias. Revisar las historias en el banco de trabajo puede alertarle sobre actividades sospechosas que podrían ser parte de un ataque. For more about using the Stories Workbench, see Reviewing Detection & Response (XDR) Stories in the Stories Workbench.
-
Panel de Amenazas - Revise los datos de eventos SAM filtrando el panel para centrarse en eventos SAM. See below Viewing SAM Data in the Threats Dashboard
-
Panel MITRE ATT&CK - Puede configurar el panel para mostrar datos de eventos de Monitor de IPS incluidos los eventos SAM. See below Analyzing SAM Data in the MITRE ATT&CK® Dashboard
-
Events page - Filter the page to show SAM events (subtype: Suspicious Activity). Cuando selecciona el filtro predefinido de Actividad Sospechosa, por defecto la página solo muestra eventos SAM de alto riesgo. Puede añadir filtros para centrarse en eventos SAM específicos, como eventos con una fuente o destino de interés. For more about SAM events, see below Reviewing SAM Events.
El Panel de Amenazas, el Panel MITRE ATT&CK y el Banco de Historias le permiten profundizar y revisar detalles en la página de Eventos.
Esta sección explica cómo configurar el servicio SAM.
Por defecto, SAM está habilitado para su cuenta. La pestaña Actividad Sospechosa en la página de IPS le permite cambiar esta configuración.
La página del Panel de Amenazas le permite analizar actividades sospechosas en su red. Puede configurar los widgets en la sección IPS para mostrar actividad sospechosa, y luego filtrar el panel para mostrar los datos de tipos específicos de amenazas SAM, y hosts y usuarios relevantes. También puede ver eventos SAM en la página de Eventos, prefiltrada por tipo de amenaza, host y usuario.
For more about how to filter the dashboard and view events from the Threats Dashboard widgets, see Using the Security Threats Dashboard.
El Panel MITRE ATT&CK® le ayuda a analizar actividades sospechosas utilizando el marco de tácticas y técnicas de MITRE ATT&CK®. Puede configurar el panel para mostrar datos de eventos de monitor de IPS, incluidos eventos SAM. For more about using the MITRE ATT&CK® Dashboard, see Working with the MITRE ATT&CK® Dashboard.
Si desea dejar de registrar eventos para tráfico específico, puede permitir en lista blanca ese tráfico en la página de Lista de Permitidos IPS. Para colocar en lista blanca tráfico de actividad sospechosa, cree una regla de Lista de Permitidos de IPS usando el ID de Firma del tráfico que desea dejar de monitorear. También puede permitir en lista blanca tráfico sospechoso haciendo clic en el ID de Firma de un evento en la página de Eventos. For more information, see Allowlisting IPS Signatures.
Puede revisar los eventos de Seguridad en Inicio > Eventos y encontrar los comportamientos inusuales y potenciales amenazas detectadas por SAM. Estos eventos están etiquetados con el Subtipo Actividad Sospechosa, lo que le permite distinguirlos de los eventos de mayor riesgo generados con el Subtipo IPS.
Puede seleccionar el filtro predefinido Actividad Sospechosa del menú desplegable Seleccionar Predefinidos para mostrar los eventos relevantes. Por defecto, cuando selecciona este preajuste, la página está filtrada para mostrar los eventos SAM de alto riesgo. Para ver todos los eventos SAM, elimine el filtro de Nivel de Riesgo es Alto.
The Suspicious Activity Sub-Type is limited to 2,500,000 events per hour. See Cato Cloud Thresholds and Limits.
Este es un ejemplo de análisis de un evento SAM de alto riesgo:
-
El Nombre de la Amenaza proporciona una explicación básica de lo que ocurrió en este evento: un ejecutable se movió lateralmente usando PsExec
-
Los campos de Tácticas de Ataque Mitre y Subtécnicas de Ataque Mitre muestran una ejecución usando un servicio remoto y movimiento lateral sobre SMB a una carpeta compartida ADMIN$
-
Los campos que detallan la fuente y el destino le ayudan a identificar los hosts de red involucrados. Con esta información usted puede:
-
Confirmar que el host fuente para el evento tiene los privilegios requeridos para usar PsExec
-
Confirmar que el usuario final asociado con el evento es probable que realice las acciones detectadas
-
0 comentarios
Inicie sesión para dejar un comentario.