이 실행 계획은 스토리 워크벤치를 사용하여 적응적 위협 예방 악성 행동에 기반한 스토리를 조사하는 방법을 설명합니다.
이 실행 계획은 SOC 엔지니어가 적응적 위협 예방 악성 행동과 관련된 잠재적 보안 사건을 조사하는 체계적인 접근 방식을 설명합니다. 이 지표들은 의심되는 네트워크 이탈이나 데이터 유출 시도와 연관된 초기 단계의 악성 행동을 차단합니다. 이들은 공격자가 침입의 두 번째 단계에서 사용하는 주요 도구나 기술의 탐지 및 차단에 중점을 둡니다. 예를 들어:
-
원격 도구 실행 (예: PsExec)
-
허가되지 않은 다운로드 도구 (예: Rclone)
스토리의 세부 정보 위젯을 사용하여 잠재적 위협에 대한 기본 정보를 수집하고 추가 조사가 필요한지 초기 평가를 진행하십시오. 이 조사 부분은 스토리 생성으로 이어진 활동의 사전 조건을 이해하는 데 도움을 줍니다. 다음 주요 필드를 검토하십시오:
-
소스 탭: IP, OS, 호스트 이름, MAC 주소와 같은 장치 수준 데이터.
-
IOA 카탈로그 항목: 조사에 도움을 주기 위한 IOA 제목 및 설명을 사용하십시오.
이 단계에서는 스토리 생성의 원인이 된 활동을 이해하고, 차단된 내용과 이 IPS 활동이 악성 트래픽을 차단하기 위해 요구하는 사전 조건을 이해하려고 합니다.
-
대상 행동 테이블: 관련 이벤트를 클릭하여 검토하십시오. 이 항목들은 차단된 트래픽의 본질을 더 깊이 이해할 수 있게 해주며, 관련된 맥락적 세부 사항과 위협 참조는 위협의 유형과 의도를 식별하는 데 도움을 줍니다.
-
공격 분포 그래프: 이 그래프는 탐지된 트래픽의 본질을 평가하는 데 도움을 주며, 주기적으로 진행되거나 봇과 같은 행동인지, 일회성 이벤트인지 확인합니다. 이러한 유형의 스토리에서 반복적인 트래픽은 덜 일반적입니다. 여러 번 발생할 경우, 실제 공격 시도가 아닌 테스트 또는 훈련의 일부일 가능성이 있습니다. 하지만, 각 사례는 악의적인 의도를 배제하기 위해 철저히 조사해야 합니다.
-
관련 이벤트 타임라인: UEBA IPS 기반 스토리는 특정 사전 조건이 충족된 후에만 트리거되므로, 차단까지의 사건 절차를 이해하는 것이 중요합니다.
-
스토리의 시간적 범위와 사용자/클라이언트 IP를 기준으로 이벤트를 필터링하여 시작하십시오. 다음으로, 서명 ID를 가시적인 열로 추가하고 IPS 및 의심스러운 활동 이벤트 유형에 대해 필터를 적용하십시오. 이 방법은 정확히 UEBA IPS Block을 트리거한 이벤트를 찾는 데 도움을 줍니다.
-
IOA 설명에 명시된 주요 지표들은 관련된 활동 패턴에 조사 집중을 돕습니다. 사전 조건 이벤트가 식별되면, 위협 카탈로그를 참조하여 관련된 기술에 대한 더 많은 맥락을 수집하고, 탐지된 위협의 본질을 더 잘 이해하십시오.
-
이 단계는 동일한 장치나 사용자와 연결된 추가 탐지를 드러냄으로써 더 넓은 의심스러운 행동 패턴을 보여주는 귀중한 맥락을 제공합니다. 타임라인과 관련 IP, 사용자 ID를 교차 참조하여 중복 지표와 잠재적으로 연결된 침입 시도를 발견하십시오. 관련된 스토리를 검토하는 것은 다음을 돕습니다:
-
영향을 받은 호스트에서 동일한 시간에 발생한 다른 활동을 식별하여 별도의 스토리를 트리거했을 수 있습니다.
-
전체 조직에 유사한 스토리를 탐지하여 이것이 고립된 사건인지 더 큰 규모의 협력된 공격 시도의 일부인지 평가하는 데 도움을 줍니다.
-
여러 엔티티에서 반복된 기술이나 도구 사용을 식별하여 위협의 범위와 지속성을 평가합니다.
-
영향을 받은 호스트에서 전체 AV/EPP/EDR 스캔 실행
-
특히 정찰이 광범위한 경우 관련된 사용자 계정의 자격 증명 재설정 수행
-
적용 가능한 경우, 영향 받은 호스트 내에서 Cato 방화벽(LAN, WAN, 아웃바운드, RPF)에 탐지된 도구나 서비스를 적극적으로 차단하십시오, 완전한 복구까지.
-
스토리가 거짓 긍정으로 판명되는 경우, Benign/Informational로 분류하고 스토리 음소거 규칙에 추가하십시오. 스토리가 합법적인 스캔이나 침투 테스트에서 발생한 경우 특정 시간 범위에 대해 스토리 음소거 규칙에 추가할 것을 권장합니다.
댓글 0개
이 문서에는 댓글을 달 수 없습니다.