यह लेख बताता है कि संदिग्ध गतिविधि निगरानी (एसएएम) सुविधा को आई.पी.एस. सेवा के साथ कैसे उपयोग किया जाए ताकि आपके नेटवर्क पर संभावित खतरों की जागरूकता बढ़ाई जा सके।
काटो की एसएएम सुविधा आई.पी.एस. सेवा को विस्तार देती है ताकि आपके नेटवर्क में मानक आई.पी.एस. हस्ताक्षर द्वारा मॉनिटर न की गई संदिग्ध गतिविधियों के लिए दृश्यता प्रदान की जा सके। इस प्रकार का ट्रैफ़िक उन क्रियाओं का प्रतिनिधित्व करता है जो नेटवर्क पर अधिग्रहण कर रही हैं और ध्यान देने योग्य होती हैं, और संदर्भ के आधार पर यह संकेत दे सकती हैं कि एक समझौता या उल्लंघन हुआ है। हालांकि, चूंकि ट्रैफ़िक निश्चित रूप से दुर्भावनापूर्ण नहीं है, एसएएम केवल ट्रैफ़िक को मॉनिटर करता है और इसे अवरोधित नहीं करता। एसएएम द्वारा प्रदान किए गए संभावित खतरों की व्यापक दृष्टि आपको हमले के सभी चरणों को पहचानने में मदद कर सकती है और भविष्य के समान हमले की वेक्टरों के विरुद्ध पहचान और रक्षा के लिए बेहतर तैयार कर सकती है।
You can view and analyze suspicious activity data in the Threats Dashboard, MITRE ATT&CK® Dashboard, and XDR Stories Dashboard, and review SAM events in the Events page.
काटो सुरक्षा अनुसंधान टीम उन असंगठित व्यवहार पैटर्न के लिए विशिष्ट हस्ताक्षर बनाती है जो संदिग्ध लगते हैं। एसएएम सेवा उन ट्रैफिक का पता लगाती है जो इन हस्ताक्षरों के अनुरूप होते हैं, और ऐसे घटनाओं और डेटा का उत्पादन करती है जो एसओसी टीमें धमकी ट्रैक करने और जांच करने के लिए विश्लेषण कर सकती हैं। एसएएम घटनाओं को संदिग्ध गतिविधि उप-प्रकार के रूप में लेबल किया गया है ताकि दुर्भावनापूर्ण आई.पी.एस. घटनाओं और संभवतः वैध असंगठित ट्रैफिक के बीच अंतर किया जा सके।
एसएएम आपके खाते के सभी WAN, इनबाउंड, और आउटबाउंड ट्रैफ़िक की निगरानी करता है। आई.पी.एस. सुरक्षा क्षेत्र सेटिंग्स एसएएम को प्रभावित नहीं करती हैं।
ये वे उदाहरण हैं जो एसएएम घटनाएँ उत्पन्न करते हैं:
-
बाहरी हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल ट्रैफ़िक प्रणाली सूचना को बाहर निकालना
-
गैर-मानक हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल पोर्ट्स का उपयोग करके निम्न लोकप्रियता गंतव्यों के लिए हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल अनुरोध
-
एक प्रोग्रामेटिक हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल क्लाइंट द्वारा एक बाइनरी या निष्पादन योग्य फाइल डाउनलोड करना
-
WAN के माध्यम से एक संवेदनशील फ़ोल्डर में एक निष्पादन योग्य का स्थानांतरण
एसएएम सुविधा घटनाओं को विभिन्न जोखिम स्तरों में वर्गीकृत करती है: उच्च, मध्यम, और कम। काटो कई कारकों के विश्लेषण के आधार पर जोखिम स्तर की गणना करता है, उदाहरण के लिए:
-
कैटो क्लाउड के माध्यम से सभी ट्रैफ़िक में गतिविधि की प्रचलता। जितनी कम प्रचलता, उतनी अधिक संभावना है कि गतिविधि दुर्भावनापूर्ण है
-
गतिविधि से संबंधित MITRE ATT&CK® तकनीकें
जोखिम स्तर आपको ट्रैफ़िक का आकलन करने और उन घटनाओं पर ध्यान केंद्रित करने में मदद करता है जो सबसे अधिक संभावना एक हमले का हिस्सा हो सकती हैं। इसके अतिरिक्त, उच्च जोखिम एसएएम घटनाएँ स्वचालित रूप से एक एक्सडीआर कहानी उत्पन्न करती हैं, जिसे स्टोरीज वर्कबेंच में जांचा जा सकता है।
-
एसएएम आईपीएस लाइसेंस में शामिल है। आईपीएस लाइसेंस खरीदने के बारे में अधिक जानकारी के लिए, कृपया अपने कैटो प्रतिनिधि से संपर्क करें।
-
आप एसएएम को सक्षम करने से पहले आईपीएस नीति को सक्षम करना आवश्यक है।
नोट
नोट: हम अनुशंसा करते हैं कि आप TLS निरीक्षण को सक्षम करें ताकि आईपीएस सेवा और एसएएम संवर्द्धन आपकी नेटवर्क के लिए अधिकतम सुरक्षा प्रदान कर सके।
एसएएम से अधिकतम लाभ प्राप्त करने के लिए, हम आपका नेटवर्क के नियमित सुरक्षा प्रक्रियाओं के भाग के रूप में एसएएम घटनाओं की समीक्षा को शामिल करने की अनुशंसा करते हैं। उदाहरण के लिए, आप निम्नलिखित उपयोग के मामलों में एसएएम घटनाओं की समीक्षा को लागू कर सकते हैं:
-
संभावित हमलों का पता लगाने और रोकने के लिए उच्च जोखिम वाले एसएएम घटनाओं की नियमित समीक्षा
-
एक पुष्टि हमले के बाद एसएएम घटनाओं का विश्लेषण करें ताकि फोरेंसिक जांच के भाग के रूप में व्यापक सन्दर्भ प्रदान किया जा सके
काटो द्वारा प्रदान किए गए कई तरीके एसएएम द्वारा संदिग्ध गतिविधियों का पता लगाने और उनकी जांच करने के लिए उपयोग किए जा सकते हैं। ये विभिन्न संसाधन आपके नेटवर्क में संदिग्ध गतिविधियों के लिए व्यापक दृश्यता प्राप्त करने और सन्दर्भ बनाने के लिए एक साथ उपयोग किए जा सकते हैं। इन संसाधनों में शामिल हैं:
-
एक्सडीआर स्टोरीज़ वर्कबेंच - स्टोरीज़ वर्कबेंच में एसएएम घटनाएँ एक्सडीआर कहानियों के लिए आधार के रूप में कार्य करती हैं। वर्कबेंच में कहानियाँ की समीक्षा करना आपको संदिग्ध गतिविधियों के बारे में अलर्ट कर सकता है जो हमले का हिस्सा हो सकती हैं। For more about using the Stories Workbench, see Reviewing Detection & Response (XDR) Stories in the Stories Workbench.
-
खतरों का डैशबोर्ड - डैशबोर्ड को फिल्टर करके SAM घटनाओं पर ध्यान केंद्रित करने के लिए SAM घटनाओं के डेटा की समीक्षा करें। See below Viewing SAM Data in the Threats Dashboard
-
MITRE ATT&CK डैशबोर्ड - आप डैशबोर्ड को एसएएम घटनाओं सहित आई.पी.एस. मॉनिटर घटनाओं के डेटा को दिखाने के लिए सेट कर सकते हैं। See below Analyzing SAM Data in the MITRE ATT&CK® Dashboard
-
Events page - Filter the page to show SAM events (subtype: Suspicious Activity). जब आप संदिग्ध गतिविधि प्रीसेट फ़िल्टर का चयन करते हैं, तो डिफ़ॉल्ट रूप से पृष्ठ केवल उच्च जोखिम वाली एसएएम घटनाएँ दिखाता है। आप विशिष्ट SAM घटनाओं जैसे इवेंट्स जिनका कोई स्रोत या गंतव्य अभिरुचि का हो पर केंद्रित करने के लिए फिल्टर जोड़ सकते हैं। For more about SAM events, see below Reviewing SAM Events.
खतरों का डैशबोर्ड, MITRE ATT&CK डैशबोर्ड, और XDR स्टोरीज़ वर्कबेंच आपको घटना पृष्ठ में विवरण देखने और समीक्षा करने की अनुमति देते हैं।
यह अनुभाग बताता है कि एसएएम सेवा को कैसे कॉन्फ़िगर करें।
डिफ़ॉल्ट रूप से, आपके खाते के लिए SAM सक्षम है। IPS पृष्ठ पर संदिग्ध गतिविधि टैब आपको इस सेटिंग्स को बदलने की अनुमति देता है।
खतरों का डैशबोर्ड पृष्ठ आपको अपने नेटवर्क में संदिग्ध गतिविधियों का विश्लेषण करने की अनुमति देता है। आप आईपीएस अनुभाग में विजेट्स को संदिग्ध गतिविधि दिखाने के लिए सेट कर सकते हैं, और फिर डैशबोर्ड को फ़िल्टर करके विशिष्ट एसएएम खतरे के प्रकार, और संबंधित होस्ट्स और उपयोगकर्ताओं के डेटा को दिखा सकते हैं। आप घटना पृष्ठ पर एसएएम घटनाओं को भी देख सकते हैं, जो खतरे का प्रकार, होस्ट और उपयोगकर्ता के लिए पूर्व-फ़िल्टर्ड है।
For more about how to filter the dashboard and view events from the Threats Dashboard widgets, see Using the Security Threats Dashboard.
MITRE ATT&CK® डैशबोर्ड आपको MITRE ATT&CK® रणनीतियों और तकनीकों के फ्रेमवर्क का उपयोग करके संदिग्ध गतिविधियों का विश्लेषण करने में मदद करता है। आप डैशबोर्ड को IPS मॉनिटर घटनाओं के डेटा को दिखाने के लिए सेट कर सकते हैं, जिसमें SAM घटनाएं शामिल हैं। For more about using the MITRE ATT&CK® Dashboard, see Working with the MITRE ATT&CK® Dashboard.
यदि आप विशिष्ट ट्रैफ़िक के लिए घटनाओं का लॉगिंग बंद करना चाहते हैं, तो आप आईपीएस अनुमति सूची पृष्ठ में उस ट्रैफिक को अनुमति सूची में कर सकते हैं। संदिग्ध गतिविधि ट्रैफ़िक को अनुमति सूची में डालने के लिए, उस ट्रैफ़िक के हस्ताक्षर ID का उपयोग करके IPS अनुमति सूची नियम बनाएँ जिसे आप निगरानी करना बंद करना चाहते हैं। आप इवेंट्स पृष्ठ पर किसी घटना के हस्ताक्षर ID पर क्लिक करके भी संदिग्ध ट्रैफ़िक को अनुमति सूची में डाल सकते हैं। For more information, see Allowlisting IPS Signatures.
आप होम > घटनाएँ में सुरक्षा घटनाओं की समीक्षा कर सकते हैं और एसएएम द्वारा पता लगाई गई असामान्य व्यवहार और संभावित खतरों को ढूंढ सकते हैं। इन घटनाओं को संदिग्ध गतिविधि उप-प्रकार के रूप में लेबल किया गया है, जो आपको IPS उप-प्रकार के साथ उत्पन्न उच्च जोखिम वाली घटनाओं से उन्हें अलग करने की अनुमति देता है।
प्रासंगिक घटनाओं को दिखाने के लिए, आप प्रीसेट्स न चुनें ड्रॉप-डाउन मेनू से संदिग्ध गतिविधि पूर्वनिर्धारित फिल्टर का चयन कर सकते हैं। डिफ़ॉल्ट रूप से, जब आप इस प्रीसेट का चयन करते हैं तो पृष्ठ उच्च जोखिम वाले एसएएम घटनाओं को दिखाने के लिए फ़िल्टर किया जाता है। सभी एसएएम घटनाओं को देखने के लिए, जोखिम स्तर उच्च है फ़िल्टर को हटा दें।
The Suspicious Activity Sub-Type is limited to 2,500,000 events per hour. See Cato Cloud Thresholds and Limits.
यह एक उच्च जोखिम वाली एसएएम घटना का उदाहरण विश्लेषण है:
-
खतरे का नाम इस घटना में क्या हुआ इसका एक बुनियादी स्पष्टीकरण प्रदान करता है - एक निष्पादन योग्य को PsExec का उपयोग करके आड़ी गति से स्थानांतरित किया गया था
-
माइटर अटैक टैक्टिक्स और माइटर अटैक उप-तकनीकें फ़ील्ड एक रिमोट सेवा का उपयोग करके और एसएमबी के ऊपर एक ADMIN$ साझा फ़ोल्डर तक आड़ी गति को दिखाते हैं
-
स्रोत और गंतव्य का विवरण देने वाले क्षेत्र आपको शामिल नेटवर्क होस्ट्स की सटीक पहचान करने में मदद करते हैं। इस जानकारी के साथ आप:
-
पुष्टि करें कि घटना के लिए स्रोत होस्ट PsExec का उपयोग करने के लिए आवश्यक विशेषाधिकार रखता है
-
पुष्टि करें कि घटना के साथ संबद्ध अंतिम उपयोगकर्ता द्वारा पता लगाई गई कार्रवाइयों को करना संभव है
-
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.