XOps Playbook de Sécurité - Scanners et Vulnérabilités

Ce playbook décrit comment utiliser le Stories Workbench pour enquêter sur des histoires basées sur des vulnérabilités et des activités de scanning.

Vue d'ensemble

Ce playbook décrit une approche systématique pour les ingénieurs SOC afin d'investiguer les incidents de sécurité potentiels liés aux activités de scanning et aux vulnérabilités. Il fournit un cadre pour recueillir les informations initiales, analyser le trafic réseau et tirer des conclusions sur la nature de la menace.

Le playbook vous aide à identifier les différentes étapes d'une attaque sur le réseau pour les attaques basées sur l'activité de scanning et l'exploitation de vulnérabilités. Voici quelques-unes des tactiques couramment associées à ces attaques :

  • Reconnaissance

  • Accès initial

  • Escalade de privilèges

  • Mouvement latéral

  • Exfiltration

Identifier les histoires de Scanners et de Vulnérabilités

Les moteurs XOps identifient principalement les histoires de scanner et de vulnérabilité basées sur les signatures IPS qui correspondent à des comportements menaçants spécifiques. Comprendre le comportement qui a déclenché l'histoire vous donne une meilleure idée de la façon de l'enquêter. Le tableau suivant montre les formats pour différentes signatures IPS pour ces types d'histoires, et décrit le comportement potentiellement malveillant qui correspond à la signature.

Signature IPS

Explication

cid_cve_*

Vulnérabilités avec identifiant CVE

cid_vuln_*

Vulnérabilités sans identifiant CVE

cid_scan_*

Pour les scanners réseau

cid_waf_*

Pour les scanners réseau et les vulnérabilités dirigées vers les services web

feed_cid_cve_*

Pour les sources de renseignement sur les menaces liées aux vulnérabilités spécifiques

feed_threat_scanner*

Pour le trafic entrant associé aux IPs classifiées comme scanners de menaces

Flux de travail d'enquête

Cette section explique le flux de travail d'enquête pour identifier une attaque provenant d'une activité de scanning ou d'une tentative d'exploitation de vulnérabilité.

Étape 1 - Collecter les informations initiales sur la menace

Utilisez le widget Détails dans l'histoire pour rassembler des informations de base sur la menace potentielle. Examinez la Description de l'histoire. Cela peut aider à concentrer l'enquête en fonction de la logique qui a généré l'histoire. De plus, la section Histoires similaires montre d'autres histoires qui partagent des indicateurs et des observables similaires.

Playbook.png

Pour décider si une enquête plus approfondie est nécessaire, examinez des données supplémentaires, par exemple :

  • Direction : Cela impacte le processus d'enquête, pour plus d'informations voir Étape 3 - Enquête en fonction de la direction.

  • Source/Cible : Cet onglet affiche des données sur les appareils impactés.

    Remarque : Pour les histoires entrantes, la Cible fait référence à l'hôte affecté, tandis que la Source fait référence à l'objet étudié situé en dehors de Cato. Cela peut parfois être causé par des appareils ou des sites qui ne sont pas configurés comme faisant partie du réseau Cato, ou par des erreurs de configuration.

  • Catalogue d'indication : Cela peut aider à comprendre la logique de l'indication.

Étape 2 - Identifier le type de menace

Dans une Histoire de Scanner, vous pouvez identifier le type de scanner en fonction de la signature qui a déclenché l'histoire et de l'application indiquée dans la signature. Ceux-ci peuvent être associés à un type spécifique tel que Nessus, ou Qualys, ou basés sur un service/application générique et la quantité de trafic.

image-20240208-152524.png

Dans une Histoire de Vulnérabilité, les références dans les événements vous aident à comprendre la vulnérabilité et à concentrer l'enquête sur les IOCs pertinents.

image-20240208-154338.png

Le champ Référence de la menace dans l'événement fournit le lien pour rechercher la menace dans la base de données nationale des vulnérabilités.

Playbook_Scanners_and_Vulnerabilities_-_Vul_Event.png

Étape 3 - Enquête selon la direction

La Direction de l'histoire impacte les prochaines étapes de l'enquête :

Histoire de Scan / Vulnérabilité Entrante

Le but de cette étape de l'enquête est d'identifier et de vérifier la possibilité d'une tentative de collecte d'informations / infiltration par un adversaire externe.

Dans le tableau Sources, examinez les sources identifiées pour vérifier leur intention potentiellement malveillante :

  • Analyse des paramètres de tableau pour l'évaluation des risques : Évaluez des paramètres tels que le score de malignité, la popularité, les catégories associées et le nombre de flux d'intelligence sur les menaces associés à la source pour déterminer la probabilité que la source soit malveillante.

  • Utilisez les liens sources pour la recherche externe : Effectuez une recherche externe en utilisant les liens sources sur des moteurs de recherche tiers réputés et des bases de données de sécurité. Recherchez tout contexte historique, associations ou indicateurs de comportement malveillant liés à la source. Corrélez les données recueillies pour identifier les connexions entre les sources et d'autres entités et essayez de déterminer s'il existe des liens avec des acteurs de menace connus, des campagnes ou des techniques.

  • Flux/Événements liés à l'attaque : Utilisez le tableau désigné pour inspecter les échantillons de flux de données non traités correspondant à l'histoire déclenchée. Analysez des points de données supplémentaires des flux, tels que les URL, les agents utilisateurs, les noms de fichiers et d'autres attributs pertinents, et comparez ces paramètres aux résultats des étapes d'enquête précédentes pour obtenir des informations sur le verdict final de la source communiquante.

Après avoir compris le type de menaces basé sur les événements liés à l'histoire, il est important d'approfondir les événements liés pour obtenir des informations supplémentaires concernant le trafic. Par exemple :

  • Vérifier le trafic et le classer comme un vrai positif ou un vrai négatif basé sur la référence de la signature en corrélation avec les données trouvées dans les événements.

  • Comprendre l'étendue de la menace :

    • Vérifiez le trafic supplémentaire de la source communicante pour comprendre si cette communication est nouvelle ou déjà vue.

    • Vérifier les sources supplémentaires avec des caractéristiques de trafic similaires (application, port de destination)

      SourceIP.png

    • Vérifiez les cibles/hôtes supplémentaires qui ont été communiqués par la source étudiée

      Destination.png

    • Vérifiez les différences entre les événements comme les différentes URL, les ports de destination, la méthode de requête, etc.

      URL.png

    • Vérifiez si le trafic a été bloqué en fonction du champ Actions

      Action.png

Conclusion

Pour les enquêtes de Scanners, il existe plusieurs classifications de scanners et méthodes de scanning connus comme :

  • Nessus

  • Nmap

  • Xmas

  • Balayage Ping

Pour les enquêtes sur les vulnérabilités, il existe des classifications de vulnérabilités connues telles que :

  • Injection SQL

  • Injection de Script Inter-Sites (Injection XSS)

Si la vulnérabilité spécifique dans l'histoire n'existe pas sur la liste de classification, vous pouvez l'ajouter localement à votre compte en cliquant sur Nouveau et en remplissant les champs pertinents.

Dans le cas où l'histoire est un vrai positif et n'a pas été bloquée, il est fortement recommandé d'ajouter les sources étudiées à la liste de blocage de la politique du RPF. Pour plus d'informations, voir Configurer le Transfert de Port à Distance pour le Compte.

Dans le cas où l'histoire est un faux positif, vous pouvez la classifier comme Bénigne/Informative et l'ajouter également à une règle d'Histoires Muettes. (Si l'histoire résulte d'un scan/test de pénétration légitime, il est recommandé de l'ajouter à une règle d'Histoires Muettes pour une période de temps spécifique.)

Histoire de Scan / Vulnérabilité Sortante

Le but de l'enquête est d'identifier et de vérifier les cas possibles d'exfiltration, de trafic de Commande & Contrôle, d'activité de botnet, etc.

Dans le tableau Cibles, examinez les cibles identifiées pour vérifier leur intention potentiellement malveillante :

  • Analyse des paramètres de tableau pour l'évaluation des risques : Évaluez des paramètres tels que le score de malignité, la popularité, les catégories associées et le nombre de flux d'intelligence sur les menaces associés à la cible pour déterminer la probabilité que la cible soit malveillante.

  • Utilisez les liens cibles pour la recherche externe : Dans les cas d'activité de scan sortant, l'enquête sur la cible peut être difficile car la plupart des cibles communiquées ne sont pas reconnues par beaucoup, voire aucun moteur de sécurité et manquent de données externes.

    Cependant, il est recommandé d'utiliser des sources externes pour trouver autant de contexte que possible en utilisant tout contexte historique, associations ou indicateurs de comportement malveillant liés à la cible. Corrélez les données recueillies pour identifier les connexions entre les cibles et d'autres entités et essayez de déterminer s'il existe des liens avec des acteurs de menace connus, des campagnes ou des techniques.

  • Flux/Événements liés à l'attaque : Utilisez le tableau désigné pour inspecter les échantillons de flux de données non traités correspondant à l'histoire déclenchée. Analyser des points de données supplémentaires des flux, tels que les ports de destination, les applications, les URL, les agents utilisateurs, les pays de destination et d'autres attributs pertinents, et comparer ces paramètres aux résultats de l'enquête précédente pour obtenir des informations sur le verdict final de la cible communicante.

Après avoir compris le type de menaces basé sur les événements liés de l'histoire, il est important d'approfondir les événements liés pour obtenir des informations supplémentaires concernant le trafic. Par exemple :

  • Vérification du trafic et classification comme positif réel ou négatif réel en fonction de la référence de signature corrélée avec les données trouvées sur les événements.

  • Comprendre la portée de la menace :

    • Vérifiez le trafic supplémentaire de la cible communicante pour comprendre si cette communication est nouvelle ou déjà vue.

    • Vérifiez les cibles supplémentaires avec des caractéristiques de trafic similaires (application, port de destination)

      Destination2.png

    • Vérifiez les cibles/hôtes supplémentaires qui ont été contactés par la cible enquêtée

    • Vérifiez les différences entre les événements tels que différents URL, différents ports de destination, méthode de requête, etc.

      Destination4.png

    • Vérifiez si le trafic a été bloqué en fonction du champ Action

    Conclusion

    Pour les enquêtes sur les analyseurs, il existe plusieurs classifications d'analyseurs et de méthodes de balayage connus tels que :

    • Scan ICMP

    • Scan SYN

    • Scan SMTP

    Pour les enquêtes sur les vulnérabilités, il existe des classifications de vulnérabilités connues telles que :

    • Injection SQL

    • Injection de script inter-sites (Injection XSS)

    Si la vulnérabilité spécifique trouvée pour l'histoire n'existe pas dans la liste de classification, vous pouvez l'ajouter localement en cliquant sur Nouvelle et en remplissant les champs pertinents.

    Dans le cas où l'histoire est un positif réel et n'a pas été bloquée, il est fortement recommandé d'ajouter les cibles enquêtées à une règle de blocage de pare-feu Internet. De plus, pour les cas où la signature IPS est sur la liste blanche, il est recommandé de la bloquer en utilisant une règle de pare-feu ou en éditant la règle de liste blanche IPS pour inclure uniquement les cibles connues.

    Dans le cas où l'histoire est un faux positif, vous pouvez la classer comme Bénigne/Informationnelle et également l'ajouter à une règle Muette pour les histoires. Dans le cas où l'histoire résulte d'un scan légitime/test de pénétration, il est recommandé de l'ajouter à une règle Muette pour les histoires pour une période spécifique.

Histoire de Scan / Vulnérabilité WANbound

Le but de l'enquête est d'identifier et de vérifier les cas possibles d'exfiltration, de mouvement latéral, d'escalade de privilèges, etc.

Le tableau Cibles peut fournir une visibilité sur toutes les cibles communicantes.

Utilisez le tableau pour inspecter les échantillons de flux de données non traités correspondant à l'histoire déclenchée. Analyser des points de données supplémentaires des flux, tels que les URL, les agents utilisateurs, les noms de fichiers et d'autres attributs pertinents, et comparer ces paramètres aux résultats des étapes d'enquête précédentes pour obtenir des informations sur le verdict final de la source communicante.

Après avoir compris le type de menaces basé sur les événements liés de l'histoire, il est important d'approfondir les événements liés pour obtenir des informations supplémentaires concernant le trafic. Par exemple :

  • Vérification du trafic et classification comme positif réel ou négatif réel en fonction de la référence de signature corrélée avec les données trouvées sur les événements

  • Comprendre la portée de la menace :

    • Vérifier le trafic supplémentaire de la source communicante pour comprendre si cette communication est nouvelle ou déjà vue

    • Vérifier les sources supplémentaires avec des caractéristiques de trafic similaires (application, port de destination)

      Source_IP3.png

    • Vérifier les cibles/hôtes supplémentaires qui ont été contactés par la source enquêtée

      Destination_IP9.png

    • Vérifier les différences entre les événements tels que différents URL, différents ports de destination, méthode de requête, etc.

      URL5.png

    • Vérifier si le trafic a été bloqué en fonction du champ Action

    Pour les enquêtes sur les analyseurs, il existe plusieurs classifications d'analyseurs/méthodes d'analyse connus tels que :

    • Nessus

    • Nmap

    • Xmas

    • Ping Sweep

    Pour les enquêtes sur les vulnérabilités, il existe des classifications de vulnérabilités connues telles que :

    • Injection SQL

    • Injection de script inter-sites (Injection XSS)

    Si la vulnérabilité spécifique trouvée pour l'histoire n'existe pas dans la liste de classification, vous pouvez l'ajouter localement en cliquant sur Nouvelle et en remplissant les champs pertinents.

    Dans le cas où l'histoire est un positif réel et n'a pas été bloquée, il est fortement recommandé d'ajouter les cibles enquêtées à une règle de blocage de pare-feu WAN. De plus, pour les cas où la signature IPS est sur la liste blanche, il est recommandé de la bloquer en utilisant une règle de pare-feu ou en éditant la règle de liste blanche IPS pour inclure uniquement les cibles connues.

    Dans le cas où l'histoire est un faux positif, vous pouvez la classer comme Bénigne/Informationnelle et également l'ajouter à une règle Muette pour les histoires. Si l'histoire résulte d'un scan légitime ou d'un test de pénétration, il est recommandé de l'ajouter à une règle Muette pour les histoires pour une période spécifique.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire