Surveillance d'activité suspecte avec IPS (SAM)

Cet article explique comment utiliser la fonction de surveillance de l'activité suspecte (SAM) avec le service IPS pour accroître la prise de conscience des menaces potentielles sur votre réseau.

Vue d'ensemble du service SAM

La fonctionnalité SAM de Cato étend le service IPS pour offrir une visibilité sur les activités suspectes de votre réseau qui ne sont pas surveillées par les signatures IPS standard. Ce type de trafic représente des actions effectuées sur le réseau qui méritent de l'attention et, selon le contexte, pourraient indiquer un compromis ou une violation. Cependant, comme le trafic n'est pas définitivement malveillant, SAM ne fait que surveiller le trafic sans le bloquer. La vision plus large des menaces potentielles que SAM fournit peut vous aider à identifier toutes les phases d'une attaque, et à être mieux préparé pour détecter et se défendre contre de futurs vecteurs d'attaque similaires.

You can view and analyze suspicious activity data in the Threats Dashboard, MITRE ATT&CK® Dashboard, and XDR Stories Dashboard, and review SAM events in the Events page.

Qu'est-ce que SAM ?

L'équipe de recherche en sécurité de Cato crée des signatures spécifiques pour des comportements inhabituels qui semblent suspects. Le service SAM détecte le trafic qui correspond à ces signatures et génère des événements et des données que les équipes SOC peuvent analyser pour suivre et enquêter sur les menaces. Les événements SAM sont étiquetés avec le sous-type Activité suspecte, pour différencier les événements IPS malveillants des trafics inhabituels possiblement légitimes.

SAM surveille tout le trafic WAN, entrant et sortant de votre compte, les paramètres de Périmètre de protection d'IPS n'affectent pas SAM.

Voici des exemples de scénarios qui génèrent des événements SAM :

  • Trafic HTTP sortant exfiltrant des informations système

  • Requêtes HTTP vers des destinations peu populaires utilisant des ports HTTP non standard

  • Un client HTTP programmatique téléchargeant un fichier binaire ou exécutable

  • Transfert d'un exécutable vers un dossier sensible sur le WAN

Comprendre les niveaux de risque SAM

La fonction SAM classe les événements en différents niveaux de risque : Élevé, Moyen et Bas. Cato calcule le niveau de risque en se basant sur l'analyse de plusieurs facteurs, par exemple :

  • La prévalence de l'activité dans tout le trafic à travers le Cato Cloud. Plus la prévalence est faible, plus il est probable que l\'activité soit malveillante

  • Les techniques MITRE ATT&CK® associées à l'activité

Le niveau de risque vous aide à évaluer le trafic et à concentrer votre analyse sur les événements les plus susceptibles de faire partie d'une attaque. De plus, les événements SAM de haut risque génèrent automatiquement une histoire XDR, qui peut être investiguée dans le Banque de Histoires.

Prérequis

  • SAM est inclus dans la licence IPS. Pour plus d'informations sur l'achat de la licence IPS, veuillez contacter votre représentant Cato.

  • La politique IPS doit être activée avant que vous puissiez activer SAM.

Remarque

Remarque : Nous vous recommandons d'activer l'inspection TLS afin que le service IPS et l'amélioration SAM fournissent la protection maximale pour votre réseau.

Comprendre les cas d'utilisation pour SAM

Pour tirer le maximum de bénéfices de SAM, nous recommandons d'incorporer un examen des événements SAM dans le cadre des procédures de sécurité régulières pour votre réseau. Par exemple, vous pouvez implémenter la révision des événements SAM dans les cas d'utilisation suivants :

  • Revue routinière des événements SAM à haut risque pour détecter et prévenir les attaques potentielles

  • Analyser les événements SAM après une attaque confirmée pour fournir un contexte plus large dans le cadre de l'enquête médico-légale

Examen des activités suspectes avec SAM

Cato offre plusieurs moyens de découvrir et d'enquêter sur les activités suspectes détectées par SAM. Ces différentes ressources peuvent être utilisées ensemble pour obtenir une visibilité complète et construire un contexte pour les activités suspectes sur votre réseau. Ces ressources incluent :

  • Tableau de bord des Histoires XDR - Les événements SAM servent de base aux histoires XDR dans le Banque de Histoires. Examiner les histoires dans le banc d'essai peut vous alerter sur des activités suspectes qui pourraient faire partie d'une attaque. For more about using the Stories Workbench, see Reviewing Detection & Response (XDR) Stories in the Stories Workbench.

    SAM_Stories_Dashboard.png

  • Tableau de bord des menaces - Révisez les données des événements SAM en filtrant le tableau de bord pour vous concentrer sur les événements SAM. See below Viewing SAM Data in the Threats Dashboard

    SAM_Threat_Dashboard.png

  • Tableau de bord MITRE ATT&CK - Vous pouvez configurer le tableau de bord pour afficher les données des événements de Monitor IPS, y compris les événements SAM. See below Analyzing SAM Data in the MITRE ATT&CK® Dashboard

    SAM_MITRE_Dashboard.png

  • Events page - Filter the page to show SAM events (subtype: Suspicious Activity). Lorsque vous sélectionnez le filtre prédéfini Activité Suspecte, par défaut, la page affiche uniquement les événements SAM à haut risque. Vous pouvez ajouter des filtres pour vous concentrer sur des événements SAM spécifiques tels que des événements avec une source ou une destination d'intérêt. For more about SAM events, see below Reviewing SAM Events.

Le Tableau de Bord des Menaces, le Tableau de Bord MITRE ATT&CK et le Bureau des Histoires vous permettent tous d'explorer et de revoir les détails dans la page des événements.

Travailler avec SAM

Cette section explique comment configurer le service SAM.

Suspicous_Activity_Tab.png

Activer et désactiver SAM

Par défaut, SAM est activé pour votre compte. L'onglet Activité Suspecte sur la page IPS vous permet de changer ce paramètre.

Pour activer ou désactiver SAM pour votre compte :

  1. Dans le menu de navigation, cliquez sur Sécurité > IPS.

  2. Sélectionnez l'onglet Activité Suspecte.

  3. Cliquez pour activer ou désactiver Moniteur d'Activité Suspecte pour le compte.

  4. Cliquez sur Sauvegarder.

Visualisation des données SAM dans le tableau de bord des menaces

La page du Tableau de Bord des Menaces vous permet d'analyser les activités suspectes dans votre réseau. Vous pouvez configurer les widgets dans la section IPS pour afficher l'activité suspecte, puis filtrer le tableau de bord pour montrer les données de types spécifiques de menaces SAM, et hôtes et utilisateurs pertinents. Vous pouvez également voir les événements SAM sur la page des événements, pré-filtrés par type de menace, hôte, et utilisateur.

For more about how to filter the dashboard and view events from the Threats Dashboard widgets, see Using the Security Threats Dashboard.

Pour voir les données d'activité suspecte dans le tableau de bord des menaces :

  1. Dans le menu de navigation, sélectionnez Sécurité > Menaces de Sécurité.

  2. Sous la section IPS, dans le menu déroulant Type d'Événement, sélectionnez Activité Suspecte.

    Les widgets affichent maintenant les données SAM.

Analyser les données SAM dans le tableau de bord MITRE ATT&CK®

Le Tableau de Bord MITRE ATT&CK® vous aide à analyser les activités suspectes en utilisant le cadre de tactiques et techniques MITRE ATT&CK®. Vous pouvez configurer le tableau de bord pour afficher les données des événements de surveillant IPS, y compris les événements SAM. For more about using the MITRE ATT&CK® Dashboard, see Working with the MITRE ATT&CK® Dashboard.

Autorisation du trafic d'activité suspecte

Si vous souhaitez arrêter de journaliser les événements pour un trafic spécifique, vous pouvez mettre en liste blanche ce trafic dans la page Liste de Permis IPS. Pour mettre en liste blanche le trafic d'activité suspecte, créez une règle de Liste de Permis IPS en utilisant l'ID de Signature du trafic que vous voulez arrêter de surveiller. Vous pouvez également mettre en liste blanche le trafic suspect en cliquant sur l'ID de Signature d'un événement sur la page des événements. For more information, see Allowlisting IPS Signatures.

Examen des événements SAM

Vous pouvez examiner les événements de Sécurité dans Accueil > Événements et trouver les comportements inhabituels et les menaces potentielles détectés par SAM. Ces événements sont étiquetés avec le sous-type Activité Suspecte, ce qui vous permet de les distinguer des événements à risque plus élevé générés avec le sous-type IPS.

Vous pouvez sélectionner le filtre prédéfini Activité Suspecte dans le menu déroulant Sélectionner Prédéfinis pour afficher les événements pertinents. Par défaut, lorsque vous sélectionnez ce préréglage, la page est filtrée pour montrer les événements SAM à haut risque. Pour voir tous les événements SAM, supprimez le filtre Niveau de Risque est Élevé.

The Suspicious Activity Sub-Type is limited to 2,500,000 events per hour. See Cato Cloud Thresholds and Limits.

Voici un exemple d'analyse d'un événement SAM à haut risque :

SAM_Event_update.png

  • Le Nom de la Menace fournit une explication de base sur ce qui s'est passé dans cet événement - un exécutable a été déplacé latéralement en utilisant PsExec

  • Les champs Tactiques d'Attaque Mitre et Sous-techniques d'Attaque Mitre montrent une exécution utilisant un service à distance et un mouvement latéral sur SMB vers un dossier partagé ADMIN$

  • Les champs détaillant la source et la destination vous aident à identifier les hôtes du réseau impliqués. Avec ces informations, vous pouvez :

    • Confirmer que l'hôte source pour l'événement possède les privilèges nécessaires pour utiliser PsExec

    • Confirmer que l'utilisateur final associé à l'événement est susceptible d'effectuer les actions détectées

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire