XOps सुरक्षा प्लेबुक - संदिग्ध लक्ष्य संचार

यह प्लेबुक बताता है कि कैसे XDR स्टोरीज़ वर्कबेंच का उपयोग करके संदिग्ध लक्ष्य संचार से संबंधित कहानियों की जांच करें।

अवलोकन

यह प्लेबुक SOC इंजीनियरों के लिए संदिग्ध लक्ष्य संचार से संबंधित संभावित सुरक्षा घटनाओं की जांच के लिए एक व्यवस्थित दृष्टिकोण बताता है। यह धमकी की प्रकृति के बारे में निष्कर्ष निकालने के लिए प्रारंभिक जानकारी एकत्र करने, नेटवर्क ट्रैफ़िक का विश्लेषण करने, और निष्कर्ष निकालने की एक रूपरेखा प्रदान करता है।

धमकी के बारे में प्रारंभिक जानकारी इकट्ठा करना

संभावित खतरे के बारे में बुनियादी जानकारी एकत्र करने के लिए कहानी में विवरण विजेट का उपयोग करें। कहानी का विवरण और अन्य डेटा की समीक्षा करें ताकि यह तय कर सकें कि आगे की जांच की आवश्यकता है या नहीं। इसके अतिरिक्त, समान कहानियाँ खंड में अन्य कहानियाँ दिखाई जाती हैं जो समान संकेतक और प्रदर्शनीय साझा करती हैं।

gathering-info.png

इस संदिग्ध ट्रैफिक से प्रभावित उपकरण के बारे में डेटा की समीक्षा करने के लिए स्रोत विजेट का उपयोग करें।

source.png

अधिक जानकारी (जैसे संकेत आईडी) के लिए और अपनी जांच को अपनी क्वेरी के आधार पर केंद्रित करने के लिए संकेत कैटलॉग का उपयोग कर सकते हैं।

नेटवर्क ट्रैफिक का विश्लेषण

हमला वितरण

हमला वितरण ग्राफ ट्रैफ़िक की प्रकृति को समझने में मदद कर सकता है, जैसे नियमित हमले जो बॉट व्यवहार के समान हैं, एक बार की घटना, या अन्य विशेषताएँ।

attack_distribution.png

लक्ष्य

लक्ष्य अनुभाग आपको पहचाने गए लक्ष्यों की जांच करने की अनुमति देता है ताकि उनके संभावित इरादे के बारे में अधिक जानकारी प्राप्त की जा सके और यह आकलन किया जा सके कि लक्ष्य दुर्भावनापूर्ण है या नहीं:

  • Assess Cato's malicious score

  • काटो की लोकप्रियता की जांच करें

  • संबंधित काटो श्रेणियाँ विचार करें

  • लक्ष्य से संबंधित खतरे की खुफिया फ़ीड की संख्या की समीक्षा करें

बाहरी स्रोत खोजने के लिए लक्ष्य लिंक्स का उपयोग करना

अब तक, आपको इस कहानी में दर्ज गतिविधि की अच्छी पकड़ होनी चाहिए, लक्ष्य लिंक्स ऐतिहासिक संदर्भ और दुर्भावनापूर्ण व्यवहार के संकेतों के लिए मान्यता प्राप्त स्रोतों पर बाहरी खोज करने में मदद करता है। इस डेटा को पहचानने के लिए अन्य संस्थाओं के साथ संबंध और ज्ञात खतरे के कर्ताओं, अभियानों या तकनीकों के साथ संभावित लिंक्स की पहचान करें।

लक्ष्य कार्य

लक्ष्य कार्य अनुभाग का उपयोग यह सत्यापित करने के लिए किया जा सकता है कि सुरक्षा इंजन ने पहचाने गए ट्रैफ़िक के लिए उत्तरदायी कार्य किए या नहीं।

target_actions.png

  1. प्रत्येक लक्ष्य के लिए संबंधित घटनाओं की समीक्षा करने के लिए संबंधित घटनाएँ खोलने के लिए घटनाएँ पेज खोलें।

  2. घटना डेटा में, विशिष्ट IPS घटना के बारे में अतिरिक्त विवरण खोजें और IPS हस्ताक्षर, क्लाइंट वर्गीकरण, खतरों का प्रकार और अधिक की प्रकृति के बारे में जानकारी एकत्र करें।

हमला से संबंधित प्रवाह

कहानी से संबंधित अप्रक्रियाशील डेटा प्रवाह की जांच करने के लिए हमला से संबंधित प्रवाह अनुभाग का उपयोग करें।

  1. पैटर्न और वॉल्यूम उतार-चढ़ाव की पहचान करने के लिए ट्रैफिक वितरण का आकलन करें।

  2. इन प्रवाहों से सहायक डेटा बिंदुओं का विश्लेषण करें, जिसमें यूआरएल, उपयोगकर्ता-अभिकर्ता, फ़ाइल नाम और अन्य संबंधित विशेषताएँ शामिल हैं, और उन्हें पिछली जांच चरण की जांच के निष्कर्षों से तुलना करें ताकि संभावित सहसंबंध का पता चल सके।

जांच के निष्कर्ष

उन जांचों के लिए जो लक्ष्य पर केंद्रित होती हैं, ये कुछ उदाहरण हैं खतरे के प्रकार के जो कहानी में संदिग्ध संचार हैं:

  • एडवेयर

  • मैलवेयर

  • ब्राउज़र एक्सटेंशन

  • पूर्प (संभावित अवांछित कार्यक्रम)

  • असुरक्षित नेटवर्क गतिविधि (संदिग्ध)

  • नीति उल्लंघन (संदिग्ध)

क्या यह लेख उपयोगी था?

1 में से 1 के लिए उपयोगी रहा

0 टिप्पणियां