XOps Playbook de Sécurité - Communication Cible Suspecte

Ce playbook décrit comment utiliser le Stories Workbench pour enquêter sur les histoires relatives à la communication cible suspecte.

Vue d'ensemble

Ce playbook décrit une approche systématique pour les ingénieurs SOC afin d'enquêter sur les incidents de sécurité potentiels liés à la communication cible suspecte. Il fournit un cadre pour rassembler les informations initiales, analyser le trafic réseau et tirer des conclusions sur la nature de la menace.

Recueil d'informations initiales sur la menace

Utilisez le widget Détails dans l'histoire pour recueillir des informations de base sur la menace potentielle. Passez en revue la Description de l'histoire et d'autres données pour décider si une enquête plus approfondie est nécessaire. De plus, la section Histoires Similaires montre d'autres histoires qui partagent des indicateurs et observables similaires.

gathering-info.png

Utilisez le widget Source pour examiner les données sur le dispositif impacté par ce trafic suspect.

source.png

Vous pouvez également utiliser le Catalogue d'Indications pour plus d'informations (telles que l'ID d'Indication), et orienter l'enquête selon votre requête.

Analyse du Trafic Réseau

Répartition des Attaques

Le graphique de Répartition des Attaques peut aider à comprendre la nature du trafic, des attaques périodiques qui ressemblent à un comportement de bot, une occurrence unique ou d'autres caractéristiques.

attack_distribution.png

Cibles

La section Cibles permet d'examiner les cibles identifiées pour en savoir plus sur leur potentiel intentionnel et la probabilité que la cible soit malveillante :

  • Évaluer le score de malveillance de Cato

  • Examiner la popularité de Cato

  • Considérer les catégories associées de Cato

  • Passez en revue le nombre de flux d'intelligence sur les menaces liés à la cible

Utilisation des Liens Cible pour Rechercher des Sources Externes

À ce stade, vous devriez avoir une solide compréhension de l'activité saisie dans cette histoire, les Liens Cible vous aident à effectuer une recherche externe sur des sources réputées pour le contexte historique et les signes de comportement malveillant. Corrélez ces données pour identifier des liens avec d'autres entités et des connexions possibles avec des acteurs de menace connus, des campagnes ou des techniques.

Actions Cibles

La section Actions Cibles peut être utilisée pour vérifier si les moteurs de sécurité ont pris des mesures de réponse face au trafic identifié.

target_actions.png

  1. Utilisez les Événements Liés pour ouvrir la page des Événements et examiner les événements correspondants pour chaque cible.

  2. Dans les données d'événements, recherchez des détails supplémentaires sur l'événement IPS spécifique et recueillez des informations sur la nature de la signature IPS, la classification du client, le type de menace, et plus encore.

Flux Relatifs à l'Attaque

Utilisez la section Flux Relatifs à l'Attaque pour examiner les flux de données non traités liés à l'histoire.

  1. Évaluer la répartition du trafic pour identifier les modèles et les fluctuations de volume.

  2. Analysez les points de données supplémentaires de ces flux, y compris les URL, les user-agents, les noms de fichiers, et d'autres attributs pertinents, et comparez-les aux résultats de l'étape d'investigation précédente pour révéler des corrélations potentielles.

Conclusions de l'Enquête

Pour les enquêtes qui se concentrent sur la cible, voici quelques exemples de types de menace qui sont les communications suspectes dans une histoire :

  • Logiciel publicitaire

  • Logiciel malveillant

  • Extension de navigateur

  • Programme potentiellement indésirable (PuP)

  • Activité Réseau Non Sécurisée (Suspecte)

  • Violation de Politique (Suspecte)

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire