このプレイブックでは、適応型脅威予防をベースにしたストアを調査するためにStories Workbenchの使用方法について説明します。
このプレイブックでは、適応型脅威予防に関連する潜在的なセキュリティインシデントを調査するためのSOCエンジニア向けシステマティックアプローチを紹介します。 これらの指標は、疑わしい横移動やデータ流出の試行の初期段階に関連する悪意ある動作をブロックします。 攻撃者が妥協の二段階で通常使用する重要なツールやテクニックの検出とブロックに焦点を当てています。例えば以下のようなものです:
-
リモートツール実行(例: PsExec)
-
無許可ダウンロードツール(例: Rclone)
ストーリー内の詳細ウィジェットを使用して潜在的な脅威に関する基本情報を収集し、追加調査が必要かどうかを初期評価します。 調査のこの部分では、ストーリー作成へと導いた活動の前提条件理解へとつながります。 これらの重要フィールドを確認してください:
-
ソースタブ: IP、OS、ホスト名、MACアドレスなどのデバイスレベルデータ。
-
IOAカタログエントリー: 調査を導くために、IOAのタイトルと説明を使用してください。
このステージはストーリー作成を引き起こした活動、ブロックされた内容、および悪意あるトラフィックをブロックするために必要な前提条件を理解することに焦点を当てています。
-
ターゲットアクションテーブル: 関連するイベントを関連イベントをクリックして確認します。 これらのエントリーは、ブロックされたトラフィックの性質と、脅威のタイプと意図を識別するのに役立つ脅威の詳細な洞察を与えます。
-
攻撃分布グラフ: このグラフは、検出されたトラフィックが周期的またはボットのような動作をとるか、または一度限りのイベントであるかを評価するのに役立ちます。 これらの種類のストーリーのコンテキストでは、周期的トラフィックはあまり一般的に観察されません。 複数回の発生は、実際の攻撃試行ではなく、テストまたはドリルの一部であることを示唆するかもしれません。 しかし、各ケースは悪意ある意図を除外するために徹底的に調査される必要があります。
-
関連イベントタイムライン: UEBA IPSベースのストーリーは特定の前提条件が満たされてからのみトリガーされるため、ブロックに至るイベントの順序を理解することが重要です。
-
ストーリーの時間枠と関与するユーザー/クライアントIPに基づいてイベントをフィルタリングすることから始めます。 次に、署名IDを可視列として追加し、IPSおよび疑わしい活動イベントタイプのフィルターを適用します。 これにより、UEBA IPSブロックをトリガーするのに寄与した正確なイベントを突き止めるのが容易になります。
-
IOA説明に示された主要指標により、調査を関連する活動パターンに集中させることができます。 前提条件イベントが特定されたら、脅威カタログを参照して関与する技術に関する詳細なコンテキストを収集し、検出された脅威の性質をより深く理解します。
-
このステップでは、同じデバイスまたはユーザーに関連した追加検出を明らかにすることで、より広範な疑わしい動作パターンを示す可能性があります。 タイムライン、関与するIP、ユーザーIDを相互参照して、重複する指標や潜在的にリンクされた侵入試行を見つけてください。 関連するストーリーの確認を助けることができること:
-
影響を受けたホストと同時に発生した他の活動を特定し、それぞれのストーリーをトリガーした可能性がある
-
組織全体で似たようなストーリーを検出し、これが孤立したイベントであるか、より大きな協調的攻撃試行の一部であるかを評価するのに役立ちます
-
複数のエンティティにわたる技術使用やツール使用の繰り返しを特定することで、脅威の範囲と持続性を評価する
-
影響を受けたホストで完全なAV/EPP/EDRスキャンを実行します
-
関与するユーザーアカウントに対して資格情報リセットを実行します。特に調査が広範囲にわたった場合
-
適用可能な場合、影響を受けたホスト内で検出されたツールまたはサービスをCatoファイアウォール(LAN、WAN、アウトバウンド、RPF)内で完全に修復されるまで積極的にブロックします
-
ストーリーが誤検出の場合は、それを良性/情報と分類し、Mute Storiesルールに追加することもできます。 ストーリーが正当なスキャンまたはペネトレーションテストの結果である場合は、特定の期間のMute Storiesルールに追加することをお勧めします。
0件のコメント
記事コメントは受け付けていません。