XOps Sécurité Playbook - Prévention Adaptative des Menaces

Ce playbook décrit comment utiliser le atelier de travail des histoires pour enquêter sur les magasins basés sur le comportement malveillant de la Prévention Adaptative des Menaces.

Vue d'ensemble

Ce playbook décrit une approche systématique pour les ingénieurs SOC afin d'enquêter sur les incidents de sécurité potentiels liés au comportement malveillant de la Prévention Adaptative des Menaces. Ces indicateurs bloquent le comportement malveillant associé aux étapes initiales d'un mouvement latéral suspecté ou de tentatives d'exfiltration de données. Ils se concentrent sur la détection et le blocage de l'utilisation d'outils critiques ou de techniques généralement utilisés par les attaquants lors de la seconde phase de compromission, tels que :

  • Exécution d'outils à distance (par exemple, PsExec)

  • Outils de téléchargement non autorisés (par exemple, Rclone)

image-20250727-102958.png

Collecte d'informations sur la menace

Utilisez les widgets Détails dans l'histoire pour recueillir des informations de base sur la menace potentielle et effectuer une évaluation initiale pour déterminer si une enquête plus approfondie est nécessaire. Cette partie de l'enquête conduit à comprendre les conditions préalables de l'activité déclenchée qui a conduit à la création de l'histoire. Examinez ces champs clés :

  • Onglet Source : Données au niveau du dispositif telles que IP, OS, nom d'hôte et adresse MAC.

  • Entrée du catalogue IOA : Utilisez le titre et la description de l'IOA pour orienter votre enquête.

Analyser l'événement IPS déclenché

Cette étape se concentre sur la compréhension de l'activité qui a déclenché la création de l'histoire, ce qui a été bloqué, et quelles préconditions cette activité IPS nécessite pour bloquer le trafic malveillant.

  • Tableau des actions cibles : Examinez les événements associés en cliquant sur les événements liés. Ces entrées fournissent un aperçu plus approfondi de la nature du trafic bloqué, y compris les détails contextuels et les références aux menaces qui peuvent aider à identifier le type et l'intention de la menace.

    image-20250701-124511.png

  • Graphique de distribution des attaques : Ce graphique aide à évaluer la nature du trafic détecté, s'il suit un schéma récurrent (par exemple, comportement périodique ou de type bot) ou s'il s'agit d'un événement ponctuel. Dans le contexte de ces types d'histoires, le trafic récurrent est moins fréquemment observé. Des occurrences multiples peuvent suggérer que l'activité était un test ou un exercice plutôt qu'une tentative réelle d'attaque. Cependant, chaque cas doit être minutieusement investigué pour éliminer toute intention malveillante.

    image-20250703-132703.png

  • Chronologie des événements liés : Puisque les histoires basées sur IPS UEBA sont déclenchées seulement après que des conditions préalables spécifiques soient remplies, comprendre la séquence des événements menant au blocage est essentiel.

    • Commencez par filtrer les événements en fonction du cadre temporel de l'histoire et de l'IP de l'utilisateur/client impliqué. Ensuite, ajoutez l'ID de signature comme colonne visible et appliquez des filtres pour les types d'événements IPS et d'activité suspecte. Cela facilite la localisation des événements exacts qui ont contribué à déclencher le blocage IPS UEBA.

    • Les indicateurs clés décrits dans la description IOA aident à concentrer l'enquête sur les motifs d'activité pertinents. Une fois les événements de précondition identifiés, référez-vous au Catalogue des Menaces pour recueillir plus de contexte sur les techniques impliquées et mieux comprendre la nature de la menace détectée.

    image-20250703-125705.png

Analyser les histoires liées

Cette étape fournit un contexte précieux en découvrant des détections supplémentaires liées au même appareil ou utilisateur, ce qui peut révéler un schéma plus large de comportement suspect. Assurez-vous de recouper les chronologies, les IP impliquées et les identités d'utilisateurs pour repérer les indicateurs qui se chevauchent et les tentatives d'intrusion potentiellement liées. La révision des histoires liées peut vous aider à :

  • Identifier d'autres activités qui ont eu lieu autour du même moment sur l'hôte affecté, ce qui peut avoir déclenché des histoires séparées

  • Détecter des histoires similaires dans toute l'organisation, aidant à évaluer si cela est un événement isolé ou fait partie d'une tentative d'attaque coordonnée plus large

  • Évaluer la portée et la persistance de la menace en identifiant les techniques ou l'utilisation d'outils répétées à travers plusieurs entités

Conclusion

Voici quelques exemples de conclusions pertinentes :

  • Logiciel malveillant

  • Tentative d'exploitation

  • Mouvement latéral

Actions recommandées

  1. Effectuer des analyses complètes AV/EPP/EDR sur l'hôte affecté

  2. Effectuer une réinitialisation de mot de passe pour les comptes d'utilisateurs impliqués, surtout si la reconnaissance était étendue

  3. Si applicable, bloquer de manière proactive les outils ou services signalés dans la détection pour l'hôte affecté au sein des Firewalls Cato (LAN, WAN, Sortant, et RPF) jusqu'à une rémediation complète

  4. Dans le cas où l'histoire est un faux positif, vous pouvez la classifier comme Bénin/Informative et également l'ajouter à une règle Rendre muettes les histoires. Si l'histoire résulte d'une analyse ou d'un test de pénétration légitime, il est recommandé de l'ajouter à une règle Rendre muettes les histoires pour un intervalle de temps spécifique.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire