यह प्लेबुक बताता है कि XDR स्टोरीज़ वर्कबेंच का उपयोग कमजोरियों और स्कैनिंग गतिविधियों पर आधारित कहानियों की जांच के लिए कैसे करें।
यह प्लेबुक SOC इंजीनियरों के लिए स्कैनिंग गतिविधियों और कमजोरियों से संबंधित संभावित सुरक्षा घटनाओं की जांच करने के लिए एक प्रणालीबद्ध दृष्टिकोण की रूपरेखा प्रस्तुत करता है। यह प्रारंभिक जानकारी इकट्ठा करने, नेटवर्क ट्रैफ़िक का विश्लेषण करने और खतरे की प्रकृति के बारे में निष्कर्ष निकालने के लिए एक रूपरेखा प्रदान करता है।
प्लेबुक आपको स्कैनिंग गतिविधि और भेद्यता के शोषण पर आधारित हमलों के लिए नेटवर्क के पार हमले के विभिन्न चरणों की पहचान करने में मदद करता है। ये कुछ रणनीतियाँ हैं जो आमतौर पर इन हमलों के साथ जुड़ी होती हैं:
-
टोही
-
प्रारंभिक पहुँच
-
विशेषाधिकार वृद्धि
-
लैटरल मूवमेंट
-
बहिष्कार
XOps इंजन विशेष खतरे वाले व्यवहारों से मेल खाने वाले IPS हस्ताक्षरों के आधार पर ज्यादातर स्कैनर और भेद्यता कहानियों की पहचान करते हैं। उस व्यवहार को समझना जिसने कहानी को ट्रिगर किया, आपको इसे बेहतर ढंग से जांचने का विचार देता है। निम्न तालिका में इन प्रकार की कहानियों के लिए विभिन्न IPS हस्ताक्षरों के प्रारूप दिखाए गए हैं और हस्ताक्षर से मेल खाने वाले संभावित दुर्भावनापूर्ण व्यवहार का वर्णन किया गया है।
|
IPS हस्ताक्षर |
व्याख्या |
|---|---|
|
cid_cve_* |
CVE पहचानकर्ता के साथ कमजोरियाँ |
|
CVE पहचानकर्ता के बिना कमजोरियाँ |
cid_scan_* |
|
नेटवर्क स्कैनर के लिए |
cid_waf_* |
|
वेब सेवाओं के लिए निर्देशित नेटवर्क स्कैनर और कमजोरियों के लिए |
feed_cid_cve_* |
|
विशिष्ट भेद्यता संबंधी खतरे की खुफिया स्रोतों के लिए |
feed_threat_scanner* |
|
वे आईपी जो धमकी स्कैनर के रूप में वर्गीकृत किए गए थे, से जुड़ी इनबॉउंड ट्रैफ़िक के लिए |
जांच वर्कफ़्लो |
यह खंड स्कैनिंग गतिविधि या भेद्यता शोषण के प्रयास से उत्पन्न होने वाले हमले की पहचान करने के लिए जांच वर्कफ़्लो की व्याख्या करता है।
चरण 1 - खतरे के बारे में प्रारंभिक जानकारी एकत्र करना
कहानी का विवरण देखें। यह उस तर्क के आधार पर जांच पर ध्यान केंद्रित करने में मदद कर सकता है जिसने कहानी उत्पन्न की। इसके अलावा, समान कहानियाँ अनुभाग अन्य कहानियों को दिखाता है जो समान संकेतक और प्रेक्षण साझा करते हैं। Playbook.png
दिशा: यह जांच प्रक्रिया को प्रभावित करती है, अधिक जानकारी के लिए देखें चरण 3 - दिशा के अनुसार जांच करना।
-
स्रोत/लक्ष्य: यह टैब प्रभावित उपकरणों के बारे में डेटा प्रदर्शित करता है।
-
नोट: इनबॉउंड कहानियों के लिए, लक्ष्य प्रभावित होस्ट को संदर्भित करता है, जबकि स्रोत उस ऑब्जेक्ट को संदर्भित करता है जिसकी जांच केटो के बाहर की जाती है।
यह कभी-कभी उन उपकरणों या साइटों के कारण हो सकता है जिन्हें केटो नेटवर्क का हिस्सा नहीं बनाया गया है, या कॉन्फ़िगरेशन त्रुटियों के कारण हो सकता है। संकेत कैटलॉग: यह संकेत की तार्किकता को समझने में मदद कर सकता है।
-
चरण 2 - खतरे के प्रकार की पहचान करना
एक स्कैनर कहानी में आप हस्ताक्षर के आधार पर ट्रिगर की गई कहानी और हस्ताक्षर में दर्शाए गए अनुप्रयोग के आधार पर स्कैनर के प्रकार की पहचान कर सकते हैं।
ये किसी विशिष्ट प्रकार जैसे Nessus, या Qualys से जुड़े हो सकते हैं, या सामान्य सेवा/एप्लिकेशन और ट्रैफ़िक की मात्रा पर आधारित हो सकते हैं। image-20240208-152524.png
image-20240208-154338.png
Playbook_Scanners_and_Vulnerabilities_-_Vul_Event.png
इनबॉउंड स्कैन / भेद्यता कहानी
स्रोतों तालिका में, उनकी संभावित दुर्भावनापूर्ण मंशा का पता लगाने के लिए पहचाने गए स्रोतों की जांच करें:
जोखिम मूल्यांकन के लिए तालिका के मापदंडों का विश्लेषण: यह निर्धारित करने के लिए कि स्रोत खतरनाक है या नहीं, उदाहरण के लिए मापदंडों जैसे दुर्भावनापूर्ण स्कोर, लोकप्रियता, संबंधित श्रेणियाँ और स्रोत के साथ जुड़े खतरे खुफिया फ़ीड की संख्या का मूल्यांकन करें।
-
बाहरी खोज के लिए स्रोत लिंक्स का उपयोग करें: भरोसेमंद थर्ड-पार्टी सर्च इंजनों और सुरक्षा डेटाबेस पर स्रोत लिंक्स का उपयोग करके बाहरी खोज करें।
-
स्रोत से जुड़े किसी भी ऐतिहासिक संदर्भ, संघ या दुर्भावनापूर्ण व्यवहार के संकेतकों की तलाश करें। इकट्ठा किए गए डेटा को सहसंबंध करें ताकि स्रोतों और अन्य इकाइयों के बीच कनेक्शन की पहचान की जा सके और यह पता लगाने का प्रयास करें कि क्या ज्ञात खतरे वाले अभिनेताओं, अभियानों या तकनीकों के लिए कोई लिंक है। हमले से संबंधित प्रवाह/घटनाएँ: ट्रिगर की गई कहानी से मेल खाते ठोस डेटा प्रवाह नमूनों का निरीक्षण करने के लिए निर्दिष्ट तालिका का उपयोग करें।
-
प्रवाहों से पूरक डेटा बिंदुओं जैसे URL, उपयोगकर्ता एजेंट, फ़ाइल नाम, और अन्य प्रासंगिक गुणों का विश्लेषण करें, और इन मापदंडों को पिछले जांच चरणों से प्राप्त निष्कर्षों की तुलना करें और संवाद करने वाले स्रोत के अंतिम निर्णय के बारे में जानें। कहानी की संबंधित घटनाओं के आधार पर खतरों के प्रकार को समझने के बाद, ट्रैफ़िक के बारे में अतिरिक्त जानकारी प्राप्त करने के लिए संबंधित घटनाओं में गहराई तक जाना महत्वपूर्ण है।
उदाहरण के लिए: ट्रैफ़िक की पुष्टि करना और इसे घटना में प्राप्त डेटा के साथ हस्ताक्षर के संदर्भ से सहसंबंधित करके वास्तविक सकारात्मक या वास्तविक नकारात्मक के रूप में वर्गीकृत करना।
-
धमकी के दायरे को समझना:
-
समझें कि यह संवाद नया है या पहले देखा गया, यह पता लगाने के लिए संचारित स्रोत से अतिरिक्त ट्रैफ़िक की जाँच करें।
-
ऑपरेशन से उत्पन्न ट्रैफ़िक के लक्षणों से मेल खाने वाले अतिरिक्त स्रोतों की जाँच करें (अनुप्रयोग, गंतव्य पोर्ट)
-
SourceIP.png
-
Destination.png
-
URL.png
-
Action.png
-
स्कैनर जांच के लिए, प्रसिद्ध स्कैनर और स्कैनिंग विधियों की कई वर्गीकृतियाँ हैं जैसे कि:
Nessus
-
Nmap
-
Xmas
-
पिंग स्वीप
-
भेद्यता जांच के लिए, प्रसिद्ध कमजोरियों की वर्गीकृतियाँ हैं जैसे कि:
SQL इंजेक्शन
-
क्रॉस-साइट स्क्रिप्टिंग इंजेक्शन (XSS इंजेक्शन)
-
यदि कहानी में विशिष्ट भेद्यता वर्गीकरण सूची में मौजूद नहीं है, तो आप नया पर क्लिक करके और संबंधित फ़ील्ड भरकर इसे अपने खाते में स्थानीय रूप से जोड़ सकते हैं।
यदि कहानी एक वास्तविक सकारात्मक है और इसे ब्लॉक नहीं किया गया था, तो अत्यधिक अनुशंसा की जाती है कि जांच किए गए स्रोतों को RPF नीति ब्लॉकलिस्ट में जोड़ा जाए।
अधिक जानकारी के लिए, खाते के लिए रिमोट पोर्ट फॉरवर्डिंग को कॉन्फ़िगर करना देखें। यदि कहानी गलत सकारात्मक है, तो आप इसे निर्दोष/सूचनात्मक के रूप में वर्गीकृत कर सकते हैं और इसे एक म्यूट स्टोरीज़ नियम में भी जोड़ सकते हैं।
(यदि कहानी एक वैध स्कैन/पेनेट्रेशन टेस्ट का परिणाम है, तो अनुशंसा की जाती है कि इसे एक विशिष्ट समय सीमा के लिए म्यूट स्टोरीज़ नियम में जोड़ा जाए।) आउटबॉउंड स्कैन / भेद्यता कहानी
लक्ष्यों तालिका में, पहचाने गए लक्ष्यों की जांच करें ताकि उनकी संभावित दुर्भावनापूर्ण मंशा का पता लगाया जा सके:
जोखिम मूल्यांकन के लिए तालिका के मापदंडों का विश्लेषण: यह तय करने के लिए कि लक्ष्य दुर्भावनापूर्ण है या नहीं, उदाहरण के लिए मापदंडों जैसे दुर्भावनापूर्ण स्कोर, लोकप्रियता, संबंधित श्रेणियाँ, और लक्ष्य से जुड़े खतरे खुफिया फ़ीड की संख्या का मूल्यांकन करें।
-
बाहरी खोज के लिए लक्ष्य लिंक्स का उपयोग करें: आउटबॉउंड स्कैनिंग गतिविधि के मामलों में, लक्ष्य जांच कठिन हो सकती है क्योंकि अधिकांश संप्रेषित लक्ष्य कई सुरक्षा इंजन द्वारा मान्यता प्राप्त नहीं हैं और बाहरी डेटा की कमी है।
-
हालाँकि, यह अनुशंसा की जाती है कि लक्ष्य के साथ जुड़े किसी भी ऐतिहासिक संदर्भ, संघ या दुर्भावनापूर्ण व्यवहार के संकेतकों का उपयोग करके अधिक संदर्भ खोजने के लिए बाहरी स्रोतों का उपयोग करें।
लक्ष्य और अन्य इकाइयों के बीच कनेक्शन की पहचान करने के लिए एकत्रित डेटा को सहसंबंधित करें और यह पता लगाने का प्रयास करें कि क्या ज्ञात खतरे वाले अभिनेताओं, अभियानों या तकनीकों के साथ कोई लिंक है। हमले से संबंधित प्रवाह/घटनाएँ: ट्रिगर की गई कहानी से मिलान करते ठोस डेटा प्रवाह नमूनों का निरीक्षण करने के लिए निर्दिष्ट तालिका का उपयोग करें।
-
हमले संबंधित प्रवाह/घटनाएँ: प्रकट कहानी के अनुरूप अप्रसारित डेटा प्रवाह नमूनों का निरीक्षण करने के लिए निर्दिष्ट तालिका का उपयोग करें। प्रवाहों से पूरक डेटा बिंदुओं का विश्लेषण करें, जैसे गंतव्य पोर्ट्स, एप्लिकेशन, URL, उपयोगकर्ता एजेंट्स, गंतव्य देश, और अन्य प्रासंगिक विशेषताएं, और इन मापदंडों की पिछले अनुसंधान से प्राप्त निष्कर्षों के साथ तुलना करें और संचार करने वाले लक्ष्य के अंतिम निर्णय के बारे में जानें।
कहानी की संबंधित घटनाओं के आधार पर खतरे के प्रकार को समझने के बाद संबंधित घटनाओं पर गहराई से ध्यान देना महत्वपूर्ण है ताकि ट्रैफिक के बारे में अतिरिक्त जानकारी प्राप्त की जा सके। उदाहरण के लिए:
-
घटनाओं पर मिले डेटा के साथ हस्ताक्षर के संदर्भ की संगति के आधार पर ट्रैफ़िक को सत्यापित करना और इसे एक सच्चे सकारात्मक या सच्चे नकारात्मक के रूप में वर्गीकृत करना।
-
खतरे के स्कोप को समझना:
-
यह समझने के लिए कि यह संचार नया है या पहले देखा गया है, संचार करने वाले लक्ष्य से अतिरिक्त ट्रैफिक की जांच करें।
-
समान ट्रैफिक विशेषताओं (एप्लिकेशन, गंतव्य पोर्ट) के साथ अतिरिक्त लक्ष्यों की जांच करें।
-
उन अतिरिक्त लक्ष्यों/होस्ट्स की जांच करें जिनसे जाँच किए गए लक्ष्य ने संचार किया था।
-
घटनाओं के बीच विभिन्नताएं जाँचे जैसे कि विभिन्न URL, विभिन्न गंतव्य पोर्ट्स, अनुरोध विधि आदि।
-
जाँच करें कि ट्रैफिक को एक्शन फ़ील्ड के आधार पर ब्लॉक किया गया था या नहीं।
निष्कर्ष
स्कैनर जांच के लिए, ज्ञात स्कैनर्स और स्कैनिंग विधियों के कई वर्गीकरण होते हैं, जैसे:
-
ICMP स्कैन
-
SYN स्कैन
-
SMTP स्कैन
सुरक्षा खामियों की जांच के लिए, ज्ञात कमजोरियों के वर्गीकरण होते हैं जैसे:
-
SQL इंजेक्शन
-
क्रॉस साइट स्क्रिप्टिंग इंजेक्शन (XSS इंजेक्शन)
यदि कहानी के लिए पाई गई विशिष्ट सुरक्षा खामी वर्गीकरण सूची में मौजूद नहीं है, तो आप "New" पर क्लिक करके और संबंधित क्षेत्रों को भरकर इसे स्थानीय रूप से जोड़ सकते हैं।
यदि कहानी एक सच्चा सकारात्मक है और अवरोधित नहीं किया गया था, तो यह अत्यधिक अनुशंसित है कि जांच किए गए लक्ष्यों को एक इंटरनेट फायरवॉल अवरोध नियम में जोड़ा जाए। इसके अतिरिक्त, उन मामलों के लिए जहां IPS हस्ताक्षर अनुमति सूची में है, इसे फायरवॉल नियम का उपयोग करके अवरोधित करने की अनुशंसा की जाती है या IPS अनुमति नियम को संपादित करके केवल ज्ञात लक्ष्यों को शामिल करने की अनुशंसा की जाती है।
यदि कहानी एक झूठा सकारात्मक है, तो आप इसे बेनाइन/सूचनात्मक के रूप में वर्गीकृत कर सकते हैं और यह भी एक म्यूट स्टोरीज नियम में जोड़ सकते हैं। यदि कहानी एक वैध स्कैन/घुसपैठ परीक्षण से उत्पन्न होती है तो इसे एक विशिष्ट समय सीमा के लिए म्यूट स्टोरीज नियम में जोड़ने की अनुशंसा की जाती है।
-
जांच का उद्देश्य संभावित मामलों जैसे डेटा चोरी, पार्श्व गति, विशेषाधिकार वृद्धि, आदि की पहचान और सत्यापन करना है।
"Targets" तालिका सभी संचारित लक्ष्यों की दृश्यता प्रदान कर सकती है।
ट्रिगर की गई कहानी के अनुरूप अपारदर्शित डेटा फ्लो के नमूनों का निरीक्षण करने के लिए तालिका का उपयोग करें। प्रवाहों से पूरक डेटा बिंदुओं का विश्लेषण करें, जैसे कि URL, उपयोगकर्ता एजेंट्स, फ़ाइल नाम, और अन्य प्रासंगिक विशेषताएं, और इन मापदंडों की पिछले अनुसंधान चरणों से प्राप्त निष्कर्षों के साथ तुलना करें और संचार स्रोत के अंतिम निर्णय के बारे में जानें।
कहानी की संबंधित घटनाओं के आधार पर खतरे के प्रकार को समझने के बाद संबंधित घटनाओं पर गहराई से ध्यान देना महत्वपूर्ण है ताकि ट्रैफिक के बारे में अतिरिक्त जानकारी प्राप्त की जा सके। उदाहरण के लिए:
-
घटनाओं पर मिले डेटा के साथ हस्ताक्षर के संदर्भ की संगति के आधार पर ट्रैफ़िक को सत्यापित करना और इसे एक सच्चे सकारात्मक या नकारात्मक के रूप में वर्गीकृत करना।
-
खतरे के स्कोप को समझना:
-
यह समझने के लिए कि यह संचार नया है या पहले देखा गया है, संचार करने वाले स्रोत से अतिरिक्त ट्रैफिक की जांच करना।
-
समान ट्रैफिक विशेषताओं (एप्लिकेशन, गंतव्य पोर्ट) के साथ अतिरिक्त स्रोतों की जांच करना।
-
उन अतिरिक्त लक्ष्यों/होस्ट्स की जांच करना जिनसे जाँच किए गए स्रोत ने संचार किया था।
-
घटनाओं के बीच विभिन्नताएं जाँचना जैसे कि विभिन्न URL, विभिन्न गंतव्य पोर्ट्स, अनुरोध विधि आदि।
-
जाँच करना कि ट्रैफिक को एक्शन फ़ील्ड के आधार पर ब्लॉक किया गया था या नहीं।
स्कैनर जांच के लिए, ज्ञात स्कैनर्स/स्कैनिंग विधियों के कई वर्गीकरण होते हैं, जैसे:
-
Nessus
-
Nmap
-
Xmas
-
पिंग स्वीप
सुरक्षा खामियों की जांच के लिए, ज्ञात कमजोरियों के वर्गीकरण होते हैं जैसे:
-
SQL इंजेक्शन
-
क्रॉस साइट स्क्रिप्टिंग इंजेक्शन (XSS इंजेक्शन)
यदि कहानी के लिए पाई गई विशिष्ट सुरक्षा खामी वर्गीकरण सूची में मौजूद नहीं है, तो आप "New" पर क्लिक करके और संबंधित क्षेत्रों को भरकर इसे स्थानीय रूप से जोड़ सकते हैं।
यदि कहानी एक सच्चा सकारात्मक है और अवरोधित नहीं किया गया था, तो यह अत्यधिक अनुशंसित है कि जांच किए गए लक्ष्यों को एक वैन फायरवॉल अवरोध नियम में जोड़ा जाए। इसके अतिरिक्त, उन मामलों के लिए जहां IPS हस्ताक्षर अनुमति सूची में है, इसे फायरवॉल नियम का उपयोग करके अवरोधित करने की अनुशंसा की जाती है या IPS अनुमति नियम को संपादित करके केवल ज्ञात लक्ष्यों को शामिल करने की अनुशंसा की जाती है।
यदि कहानी एक झूठा सकारात्मक है, तो आप इसे बेनाइन/सूचनात्मक के रूप में वर्गीकृत कर सकते हैं और यह भी एक म्यूट स्टोरीज नियम में जोड़ सकते हैं। यदि कहानी एक वैध स्कैन या घुसपैठ परीक्षण से उत्पन्न होती है तो इसे एक विशिष्ट समय सीमा के लिए म्यूट स्टोरीज नियम में जोड़ने की अनुशंसा की जाती है।
-
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.