XOps सुरक्षा प्लेबुक - इवेंट्स विसंगतियाँ

यह प्लेबुक स्टोरीज़ वर्कबेंच का उपयोग करके इवेंट्स विसंगति निर्माता द्वारा पहचानी गई अनुपयुक्त व्यवहार से संबंधित कहानियों की जांच के तरीके का वर्णन करता है।

इवेंट्स विसंगतियों का विश्लेषण करने के लिए स्टोरीज़ वर्कबेंच के उपयोग के बारे में अधिक जानकारी के लिए देखें XOps उपयोग और इवेंट्स विसंगतियों के लिए UEBA कहानियाँ का विश्लेषण।

अवलोकन

यह प्लेबुक एसओसी इंजीनियरों के लिए संभावित सुरक्षा घटनाओं की जांच करने के लिए एक सुनियोजित दृष्टिकोण का वर्णन करता है जो असामान्य व्यवहार के कारण असामान्य संख्या में घटनाएँ उत्पन्न करते हैं। यह प्रारंभिक जानकारी एकत्रित करने, नेटवर्क यातायात का विश्लेषण करने और खतरे की प्रकृति के बारे में निष्कर्ष निकालने के लिए एक ढांचा प्रदान करता है।

यह उन स्थितियों पर लागू होता है जहां इंजन या तो वॉल्यूम स्पाइक (छोटे समय में कई घटनाएं) या पहली बार देखा गया व्यवहार (एक घटना या एप्लिकेशन जो पहले कभी नहीं देखा गया है) दिखाता है। दोनों संकेतक समान अंतर्निहित व्यवहारात्मक विश्लेषण मॉडल से उत्पन्न होते हैं; नीचे दिए गए कार्यप्रवाह इनको संयुक्त रूप से कवर करते हैं और संकेत देते हैं कि जहां अतिरिक्त संदर्भ एकत्रण आवश्यक हो सकता है।

क्या खोजें

इवेंट्स विसंगति कहानियाँ खतरों की पहचान करने में मदद कर सकती हैं जो असामान्य यातायात पैटर्न उत्पन्न करते हैं और साथ ही नेटवर्क मिसकॉन्फ़िगरेशन्स जो सुरक्षा खतरों का कारण बन सकते हैं। इन संभावित खतरों के प्रकार के उदाहरण यहाँ दिए गए हैं:

असामान्य यातायात पैटर्न से जुड़ी खतरे की गतिविधि:

डेटा छेड़छाड़ प्रयास
नेटवर्क के भीतर क्षैतिज गति
दुर्भावनापूर्ण संक्रमण प्रयास

नेटवर्क मिसकॉन्फ़िगरेशन्स जो सुरक्षा जोखिम का कारण बन सकते हैं

नीति उल्लंघन - उदाहरण के लिए: अनधिकृत पहुँच प्रयास, अप्रत्याशित डेटा स्थानांतरण, या स्थापित सुरक्षा नियंत्रणों को बायपास करने वाले कनेक्शन
ओपन पोर्ट्स और प्रोटोकॉल दुरुपयोग - विशिष्ट पोर्ट्स या प्रोटोकॉल से जुड़े असामान्य यातायात स्पाइक अक्सर संकेत देते हैं कि ये सेटिंग्स सर्वोत्तम अभ्यासों के साथ संरेखित नहीं हैं और गलत कॉन्फ़िगरेशन का संकेत दे सकते हैं
नेटवर्क विभाजन विफलताएं - मिसकॉन्फ़िगर्ड नेटवर्क विभाजन अनधिकृत पहुँच या खंडों के बीच आंदोलन की अनुमति दे सकता है, जो विसंगतियों के रूप में पता लगाया जा सकता है

चरण 1 - खतरे के बारे में प्रारंभिक जानकारी एकत्र करना

कहानी में विवरण विगेट्स का उपयोग करके संभावित खतरे के बारे में बुनियादी जानकारी एकत्रित करें और प्रारंभिक मूल्यांकन करें कि क्या आगे की जांच आवश्यक है। इन प्रमुख क्षेत्रों की समीक्षा करें:

विवरण - विसंगति का प्रकार (विशिष्ट एप्लिकेशन, इंजन, या व्यवहार सहित) समझें, और क्या ध्यान केंद्रित एक विशिष्ट साइट या उपयोगकर्ता पर है
प्रशिक्षण अवधि - यह दिखाता है कि इंजन कितनी देर से विसंगति के लिए आधारभूत डेटा एकत्र कर रहा है। एक लंबी प्रशिक्षण अवधि एक अच्छी तरह से स्थापित आधारभूत संकेत कर सकती है, जबकि एक छोटी अवधि दर्शा सकती है कि डेटा सीमित है
स्रोत टैब - साइट या उपयोगकर्ता जो यातायात उत्पन्न करता है की सूची देता है। जब क्षेत्र पूरी साइट होती है, कई होस्ट के शामिल होने की उम्मीद करें।

नोट

टिप: यदि विसंगति किसी साइट को प्रभावित करती है, तो एकल स्रोत होस्ट की पहचान करना चुनौतीपूर्ण हो सकता है, और विसंगति कई होस्ट में फैल सकती है।

चरण 2 - विसंगतियों की उत्पत्ति का विश्लेषण

विसंगति वितरण

विसंगति वितरण ग्राफ यह पहचानने में मदद कर सकता है कि कौन सा फ़ायरवॉल नियम, आईपीएस हस्ताक्षर, या एंटी-मैलवेयर नियम उस कहानी को ट्रिगर करने वाली घटनाए उत्पन्न करता है। यदि कई नियम शामिल हैं, तो उन नियमों को प्राथमिकता दें जिन्होंने घटनाओं में सबसे बड़े स्पाइक का कारण बना।

घटना-आधारित विसंगति कहानियाँ किसी भी केरटो लॉग स्रोत, फ़ायरवॉल, आईपीएस, डीएनएस सुरक्षा, सीएएसबी, डीएलपी, एप्लिकेशन सुरक्षा, एनजीएएम और अन्य से उत्पन्न हो सकती हैं, इसलिए संभावित हमले के वेक्टर और आपकी जांच विधि को विशिष्ट घटना प्रकार के अनुसार समायोजित किया जाना चाहिए।

विसंगति का सटीक समय टिकट नोट करें। यह जांच के अगले चरणों में संबंधित घटनाओं का विश्लेषण करने के लिए महत्वपूर्ण है।

चरण 3 - अतिरिक्त विगेट्स की समीक्षा

अतिरिक्त संदर्भ के लिए इन विगेट्स की समीक्षा करें। विगेट्स विसंगति में शामिल शीर्ष एप्लिकेशन, सर्वर, होस्ट, और लक्ष्य दिखाते हैं। डेटा 14 दिनों की अवधि के दौरान एकत्र किया गया है जो विसंगति कहानी के लिए अग्रणी है।

टॉप एप्लिकेशन - सबसे अधिक घटना गणना वाले एप्लिकेशन दिखाता है।
टॉप सर्वर्स/गंतव्य - सबसे अधिक पहुँच किए गए सर्वर या नेटवर्क दिखाता है।
टॉप होस्ट - यातायात उत्पन्न करने वाले शीर्ष स्रोत आईपी पतों को दिखाता है।
लक्ष्य - असामान्य यातायात के लक्ष्य गंतव्य दिखाता है।

नोट

नोट: ये विगेट्स उच्च स्तरीय अवलोकन प्रदान करते हैं और हमेशा विसंगति के सटीक कारण का संकेत नहीं देते हैं। उदाहरण के लिए, विगेट्स संकेत देते हैं कि विसंगति टूआर यातायात को शामिल करती है, लेकिन निर्दिष्ट गंतव्य आईपी के बिना। यह एकल दुर्भावनापूर्ण लक्ष्य के बजाय व्यापक टूआर गतिविधि को संकेतित कर सकता है।

चरण 4 - संबंधित कहानियों का विश्लेषण

यह चरण उसी व्यवहार या होस्ट/साइट के साथ संबंधित अतिरिक्त पहचान को पहचान कर मूल्यवान संदर्भ प्रदान करता है जहां इसे देखा गया था। समान कहानियों की समीक्षा करने से यह निर्धारित करने में मदद मिल सकती है कि नेटवर्क के अन्य होस्ट ने वही पहचान ट्रिगर की, संभवतः पर्यावरण को प्रभावित करने वाले व्यापक घटनाक्रम का खुलासा कर सकते हैं।

चरण 5 - एप्लिकेशन एनालिटिक्स और घटनाओं की जांच करें

व्यक्तिगत घटनाओं का विश्लेषण जांच में सबसे महत्वपूर्ण चरण है। यह आपको विसंगति की जड़ को समझने के लिए अधिक गहराई से जाने देता है।

कहानी से संबंधित डेटा को संधारित करने के लिए संबंधित घटनाओं का समीक्षा करें। अपनी जांच पर ध्यान केंद्रित करने के लिए विशिष्ट स्रोत आईपी, डोमेन और एप्लिकेशनों जैसे दोहराने वाले तत्वों की तलाश करें। उदाहरण के लिए, यदि विसंगति टूआर यातायात से कारण होती है, और एक विशिष्ट स्रोत आईपी या डोमेन बार-बार गतिविधि दिखाया है, तो उस इकाई की अधिक जांच करें।

इवेंट्स विसंगति कहानी से संबंधित घटनाओं का विश्लेषण करने के लिए निम्नलिखित चरण उदाहरण हैं। घटनाओं के पृष्ठ को फ़िल्टर करने और इसके साथ काम करने के बारे में अधिक जानकारी के लिए देखें अपने नेटवर्क में घटनाओं का विश्लेषण।

कहानी पृष्ठ पर व्यू ऑल पर क्लिक करके कहानी से संबंधित घटनाओं के लिए पूर्व-फ़िल्टर किए गए इवेंट्स पृष्ठ दिखाएं।
इवेंट्स पृष्ठ पर, समय सीमा फ़िल्टर को कॉन्फ़िगर करें या माउस का उपयोग करके उस समय सीमा का चयन करें जो स्पष्ट रूप से असामान्य संख्या में घटनाओं को दिखाता है।
इवेंट्स पृष्ठ में प्रासंगिक क्षेत्रों को जोड़ें। यह विसंगति में शामिल घटनाओं के बेहतर परिप्रेक्ष्य प्रदान करता है। नीचे दिए गए उदाहरण में, इन इवेंट्स क्षेत्रों को पृष्ठ पर जोड़ा गया: हस्ताक्षर आईडी, एप्लिकेशन, डोमेन नाम, स्रोत आईपी.

जोड़े गए क्षेत्रों की जांच करें और विसंगति के कारण की पहचान करने का प्रयास करें। इस उदाहरण में, जोड़े गए इवेंट्स क्षेत्रों में स्पष्ट रूप से दिखाते हैं कि विसंगति एक विशिष्ट डोमेन के कारण है।
जोड़े गए क्षेत्रों की जांच करें और विसंगति के कारण की पहचान करने का प्रयास करें। दोहराने वाले तत्वों को खोजें:
- दोहराया स्रोत आईपी / उपयोगकर्ता
- कई घटनाओं में समान डोमेन या गंतव्य
- एक अपरिचित एप्लिकेशन या देश की अचानक उपस्थिति।
ऑर्गेनाइज़ेशनल यातायात के साथ यातायात की तुलना करें:
- क्या अन्य उपयोगकर्ताओं के पास समान यातायात पैटर्न हैं?
- यदि यह संदिग्ध व्यवहार की पहली घटना है, तो क्या यह ऑर्गेनाइज़ेशन में सामान्य बात है? क्या इस व्यवहार को ऑर्गेनाइज़ेशन के अन्य होस्ट के लिए ट्रिगर किया गया था?
नीचे दिए गए उदाहरण में, विगेट्स और घटनाओं के आधार पर पहचानने के बाद कि टूआर नेटवर्क शीर्ष उपयोग की गया अनुप्रयोग है, और यह कि दो मुख्य आईपीएस खतरे हैं जिनमें घटनाओं का स्पाइक था, विशेष अनुप्रयोग और खतरे नामों के लिए फ़िल्टर जोड़े जाते हैं।

जोड़े गए फ़िल्टर दर्शाते हैं कि यह असामान्य यातायात एक विशिष्ट स्रोत आईपी पते से संबंधित है।
अब आगे की जांच कदम उठाए जा सकते हैं:
1. इस गतिविधि के साथ जुड़े डिवाइस नाम या उपयोगकर्ता नाम की जांच करें।
2. लक्ष्य की जांच करें और देखें कि क्या यह दुर्भावनापूर्ण गतिविधि से जुड़ा है।
3. विस्तृत संदर्भ के लिए साइट या नेटवर्क में अन्य उपयोगकर्ताओं के लिए समान विशेषताओं वाले यातायात की जांच करें।

फाइल-शेयरिंग बनाम एसएमबी विसंगतियाँ

XOps इंजन फाइल-स्थानांतरण घटनाओं को एक ही छाते के नीचे समूह करता है, लेकिन क्लाउड फाइल-शेयरिंग ऐप्स (जैसे, ड्रॉपबॉक्स, शेयरपॉइंट, एस3) और एसएमबी-आधारित फाइल एक्सेस अलग-अलग जांच डेटा प्रकट करते हैं:

क्लाउड एप्लिकेशन – घटनाएं केवल एप्लिकेशन और वॉल्यूम दिखाते हैं; क्लाउड प्लेटफॉर्म पर ही वस्तु-स्तरीय विवरण होता है
एसएमबी यातायात – घटनाएं गहन मेटाडेटा शामिल करती हैं, जैसे कि फाइल का नाम और पथ, गहरे फोरेंसिक समीक्षा को सक्षम बनाती हैं।

जांच सुझाव और उपयोग के मामले

साइट-आधारित विसंगतियों में ऐसे मामले हो सकते हैं जहां कोई विशिष्ट होस्ट या गंतव्य नहीं होता है और विसंगति साइट पर एक व्यापक घटनाक्रम होता है।
ऐसे मामले हो सकते हैं जहां एप्लिकेशन जिसने विसंगति का कारण बना, वह शीर्ष 5 एप्लिकेशन में शामिल नहीं होता जो असामान्य घटनाएं उत्पन्न करते हैं।
ऐसे मामले होते हैं जब विसंगति खतरे की जानकारी (प्रॉपर्टीज) आईपीएस घटनाओं पर आधारित होती है। ऐसे मामले में, जांच अधिक लक्ष्य-केंद्रित होनी चाहिए, इसलिए आपको निम्नलिखित प्लेबुक का उपयोग करना चाहिए: XOps सुरक्षा प्लेबुक - संदिग्ध लक्षित संचार.
यदि आप निश्चित नहीं हैं कि कोई विशिष्ट विसंगति सुरक्षा खतरे का कारण बनती है, तो यह देखने का प्रयास करें कि क्या वही यातायात पिछले समय में उसी साइट या अन्य साइटों में हुई थी। यह मदद कर सकता है यदि विसंगति केवल नए उपकरण द्वारा उत्पन्न की गई हो।

जांच से परिणाम

इवेंट्स विसंगति कहानियों के लिए प्रासंगिक निष्कर्षों के कुछ उदाहरण ये हैं:

असामान्य यातायात
ब्लॉक की गई फ़ाइल विसंगति
ब्लॉक की गई आईपीएस यातायात विसंगति
{app name} एप्लिकेशन का उपयोग कर छेड़छाड़ प्रयास
दुर्भावनापूर्ण लक्षित यातायात विसंगति

अनुशंसित क्रियाएँ

एक पूर्ण एंडपॉइंट सुरक्षा स्कैन करें (एंटी-वायरस, ईपीपी, ईडीआर आदि सहित) और संक्रमित मशीन से किसी भी अज्ञात प्रोग्राम और ब्राउज़र एक्सटेंशन को हटा दें।
- सुनिश्चित करें कि हटाने की प्रक्रिया गहन है और संबंधित सभी घटक पहचाने गए और हटाए गए हैं।
यदि आप विसंगति के स्रोत के रूप में एक विशिष्ट होस्ट या उपयोगकर्ता की पहचान करते हैं, तो उन्हें संभावित नुकसान या डेटा छेड़छाड़ को रोकने के लिए तुरंत नेटवर्क से अलग करें।
यदि आवश्यक हो, तो अनुप्रयोग या यातायात जो अनुमति नहीं दी गई हो उसके कारण विसंगति के कारण अधिक प्रतिबंधात्मक सुरक्षा नीति के लिए नियम अपडेट या बनाएँ।
यदि कहानी एक गलत सकारात्मक है, तो आप इसे विनम्र/सूचनात्मक वर्गीकृत कर सकते हैं और इसे म्यूट स्टोरीज़ नियम में भी जोड़ सकते हैं। अगर कहानी एक वैध स्कैन या पैठ परीक्षण का परिणाम है, तो इसे एक विशिष्ट समय सीमा के लिए म्यूट स्टोरीज़ नियम में जोड़ने की अनुशंसा की जाती है।