XOps सुरक्षा प्लेबुक - अनुकूलनीय खतरा रोकथाम

यह प्लेबुक दर्शाता है कि कहानियों कार्यपट का उपयोग कैसे करें, जो अनुकूलनीय खतरा रोकथाम के दुर्भावनापूर्ण व्यवहार पर आधारित स्टोरों की जांच के लिए है।

अवलोकन

यह प्लेबुक SOC इंजीनियरों के लिए अनुकूलनीय खतरा रोकथाम के दुर्भावनापूर्ण व्यवहार से संबंधित संभावित सुरक्षा घटनाओं की जांच के लिए एक व्यवस्थित दृष्टिकोण का वर्णन करता है। ये संकेतकों ने संदेहास्पद पार्श्व संचलन या डेटा निकासी प्रयासों के प्रारंभिक चरणों के साथ जुड़े दुर्भावनापूर्ण व्यवहार को अवरुद्ध करते हैं। वे सामान्य तौर पर हमलावरों द्वारा समझौते के दूसरे चरण के दौरान उपयोग किए जाने वाले महत्वपूर्ण उपकरणों या तकनीकों के उपयोग का पता लगाने और अवरुद्ध करने पर ध्यान केंद्रित करते हैं, जैसे:

दूरस्थ उपकरण निष्पादन (जैसे, PsExec)
अनधिकृत डाउनलोड उपकरण (जैसे, Rclone)

खतरे के बारे में जानकारी एकत्रित करना

कहानी में विवरण विजेट का उपयोग करें संभावित खतरे के बारे में बुनियादी जानकारी एकत्रित करने और यह प्रारंभिक आकलन करने के लिए कि क्या आगे की जांच की आवश्यकता है। जांच का यह हिस्सा कहानी निर्माण के लिए ट्रिगर की गई गतिविधि के पूर्वापेक्षाओं को समझने की ओर ले जाता है। इन प्रमुख क्षेत्रों की समीक्षा करें:

स्रोत टैब: डिवाइस-स्तर का डेटा जैसे कि आई.पी., ओएस, होस्टनाम, और मैक पता।
IOA सूची प्रविष्टि: अपनी जांच को मार्गदर्शित करने के लिए IOA शीर्षक और विवरण का उपयोग करें।

ट्रिगर आई.पी.एस घटना का विश्लेषण करना

यह चरण कहानी निर्माण को ट्रिगर करने वाली गतिविधि को समझने, क्या अवरोध हुआ और इस आईपीएस गतिविधि के लिए दुर्भावनापूर्ण ट्रैफिक को अवरुद्ध करने के लिए किन पूर्वापेक्षाओं की आवश्यकता होती है, पर केंद्रित होता है।

लक्ष्य क्रियाएं तालिका: संबंधित घटनाओं पर क्लिक करके समर्पित घटनाओं की समीक्षा करें। ये प्रविष्टियां अवरुद्ध ट्रैफिक की प्रकृति में गहराई से जानकारी प्रदान करती हैं, जिनमें संदर्भ स्वरूप जानकारी और खतरा संदर्भ शामिल होते हैं जो खतरे के प्रकार और उद्देश्य की पहचान में मदद कर सकते हैं।
हमला वितरण ग्राफ: यह ग्राफ समझता है कि क्या डिटेक्टेड ट्रैफिक पुनरावृत्त पैटर्न का अनुसरण करता है (जैसे, आवधिक या बॉट जैसा व्यवहार) या एक बार की घटना है। इन प्रकार की कहानियों के संदर्भ में, पुनरावृत्त ट्रैफिक कम आम तौर पर देखा जाता है। एकाधिक घटनाओं से संभावना होती है कि गतिविधि परीक्षण या ड्रिल का भाग थी, न कि वास्तविक हमले के प्रयास का। हालांकि, किसी भी दुर्भावनापूर्ण इरादे को खारिज करने के लिए प्रत्येक मामले की पूरी तरह से जांच की जानी चाहिए।
संबंधित घटनाओं की समयरेखा: चूंकि UEBA आईपीएस आधारित कहानियां केवल तब ट्रिगर होती हैं जब विशिष्ट पूर्वापेक्षाएं पूरी होती हैं, अवरोध की ओर ले जाने वाली घटनाओं के अनुक्रम को समझना आवश्यक है।
- कहानी के समय सीमा और उपयोगकर्ता/क्लाइंट आईपी के आधार पर घटनाओं को फ़िल्टर करके शुरुआत करें। इसके बाद, हस्ताक्षर आईडी को एक दृश्य कॉलम के रूप में जोड़ें और आईपीएस और संदिग्ध गतिविधि घटना प्रकारों के लिए फ़िल्टर लागू करें। यह बताना आसान बनाता है कि कौन सी घटनाएं UEBA आईपीएस ब्लॉक को ट्रिगर करने में योगदान करती हैं।
- IOA विवरण में उल्लिखित प्रमुख संकेतकों ने प्रासंगिक गतिविधि पैटर्न पर जांच को केंद्रित करने में मदद की। एक बार जब पूर्वापेक्षा घटनाओं की पहचान हो जाती है, तो उपयोग की गई तकनीकों के बारे में अधिक संदर्भ एकत्र करने और पहचाने गए खतरे की प्रकृति को बेहतर तरीके से समझने के लिए खतरा सूची का संदर्भ लें।

निष्कर्ष

ये कुछ प्रासंगिक निष्कर्षों के उदाहरण हैं:

मैलवेयर
शोषण प्रयास
अनुप्रस्थ संचलन

अनुशंसित कार्रवाइयाँ

प्रभावित होस्ट पर पूर्ण एवी/ईपीपी/ईडीआर स्कैन चलाएं
विशेष रूप से अगर व्यापक स्काउटिंग हो, शामिल उपयोगकर्ता खातों के लिए क्रेडेंशियल रीसेट करें
अगर लागू हो, तो Cato फायरवॉल्स (LAN, WAN, आउटबाउंड, और RPF) में प्रभावित होस्ट के लिए डिटेक्ट किए गए टूल्स या सेवाओं को पूर्ण पंजिकरण तक सक्रिय रूप से अवरोधित करें
यदि कहानी एक झूठी सकारात्मक है, तो आप इसे हानिरहित/सूचनात्मक के रूप में वर्गीकृत कर सकते हैं और इसे कहानियों को मौन नियम में भी जोड़ सकते हैं। यदि कहानी एक वैध स्कैन या घुसपैठ परीक्षण के परिणामस्वरूप है तो इसे एक विशिष्ट समय सीमा के लिए कहानियों को मौन नियम में जोड़ना अनुशंसित है।

XOps सुरक्षा प्लेबुक - अनुकूलनीय खतरा रोकथाम

अवलोकन

खतरे के बारे में जानकारी एकत्रित करना

ट्रिगर आई.पी.एस घटना का विश्लेषण करना

संबंधित कहानियों का विश्लेषण करें

निष्कर्ष

अनुशंसित कार्रवाइयाँ

क्या यह लेख उपयोगी था?

0 टिप्पणियां