XOps 보안 플레이북 - 의심스러운 대상 통신

이 플레이북은 스토리 워크벤치를 사용하여 의심스러운 대상 통신과 관련된 스토리를 조사하는 방법을 설명합니다.

개요

이 플레이북은 SOC 엔지니어가 의심스러운 대상 통신과 관련된 잠재적 보안 사고를 조사하기 위한 체계적인 접근 방식을 설명합니다. 위협의 성격에 대한 결론을 도출하기 위해 초기 정보를 수집하고, 네트워크 트래픽을 분석하며, 검토하는 체계를 제공합니다.

위협에 대한 초기 정보 수집

스토리에서 세부 정보 위젯을 사용하여 잠재적 위협에 대한 기본 정보를 수집하십시오. 스토리의 설명 및 기타 데이터를 검토하여 추가 조사가 필요한지 결정하십시오. 또한, 유사한 스토리 섹션은 유사한 지표와 관찰 요소를 공유하는 다른 스토리를 보여줍니다.

gathering-info.png

소스 위젯을 사용하여 이 의심스러운 트래픽에 영향을 받는 장치에 대한 데이터를 검토하십시오.

source.png

추가 정보 (예: 지표 ID)를 위해 지표 목록을 사용할 수 있으며, 쿼리에 따라 조사의 초점을 맞출 수 있습니다.

네트워크 트래픽 분석

공격 분포

공격 분포 그래프는 트래픽의 성격, 봇 행동을 닮은 주기적인 공격, 일회성 사건 또는 기타 특징을 이해하는 데 도움이 될 수 있습니다.

attack_distribution.png

대상

대상 섹션은 식별된 대상을 조사하여 해당 대상의 잠재적 의도와 악성일 가능성을 더 잘 이해할 수 있도록 해줍니다:

  • 카토의 악성 점수를 평가

  • 카토의 인기 정도를 조사

  • 관련된 카토 카테고리 고려

  • 대상과 연결된 위협 인텔리전스 피드 수 검토

외부 소스를 검색하기 위한 대상 링크 사용

이제 이 스토리에서 수집된 활동에 대한 확고한 이해를 가지고 있으며, 대상 링크는 외부에서 신뢰할 수 있는 소스를 통한 이력적 컨텍스트 및 악성 행동의 징후에 대해 검색하는 데 도움을 줍니다. 다른 엔티티와의 연결 그리고 알려진 위협 행위자, 캠페인 또는 기술과의 가능한 링크를 식별하기 위해 이 데이터를 연결합니다.

대상 작업

대상 작업 섹션은 보안 엔진이 식별된 트래픽에 대해 응답 조치를 취했는지 여부를 확인하는 데 사용될 수 있습니다.

target_actions.png

  1. 관련 이벤트를 사용하여 이벤트 페이지를 열고 각 대상의 대응 이벤트를 검토하십시오.

  2. 이벤트 데이터에서 특정 IPS 이벤트에 대한 추가 세부 사항을 찾고 IPS 서명, 클라이언트 분류, 위협 유형 등을 확인하는 정보를 수집하십시오.

공격 관련 플로우

공격 관련 플로우 섹션을 사용하여 이야기와 관련된 미처리 데이터 플로우를 조사하십시오.

  1. 트래픽 분포를 평가하여 패턴과 볼륨 변동을 식별합니다.

  2. 이 플로우에서 URL, 사용자 에이전트, 파일 이름 및 기타 관련 속성 등 보충 데이터 포인트를 분석하고 이전 조사 단계의 결과와 비교하여 잠재적 상관 관계를 드러냅니다.

조사에서 도출된 결론

대상에 초점을 맞춘 조사의 경우, 이야기에서 의심스러운 통신 유형의 몇 가지 예는 다음과 같습니다:

  • 애드웨어

  • 멀웨어

  • 브라우저 확장

  • PUP (잠재적으로 원치 않는 프로그램)

  • 안전하지 않은 네트워크 활동 (의심스러운)

  • 정책 위반 (의심스러운)

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개