Playbook de Segurança XOps - Comunicação de Alvo Suspeita

Este playbook descreve como usar a Bancada de Trabalho de Histórias para investigar histórias relacionadas à comunicação de alvo suspeita.

Visão Geral

Este playbook descreve uma abordagem sistemática para engenheiros de SOC investigarem possíveis incidentes de segurança relacionados à comunicação de alvo suspeita. Ele fornece um framework para reunir informações iniciais, analisar tráfego de rede e tirar conclusões sobre a natureza da ameaça.

Reunindo Informações Iniciais sobre a Ameaça

Use o widget Detalhes na história para reunir informações básicas sobre a potencial ameaça. Revise a Descrição da história e outros dados para decidir se uma investigação adicional é necessária. Além disso, a seção Histórias Semelhantes mostra outras histórias que compartilham indicadores e observáveis semelhantes.

gathering-info.png

Use o widget Fonte para revisar dados sobre o dispositivo impactado por este tráfego suspeito.

source.png

Você também pode usar o Catálogo de Indicações para mais informações (como o ID da Indicação) e focar a investigação com base na sua consulta.

Analisando o Tráfego de Rede

Distribuição de Ataques

O gráfico Distribuição de Ataques pode ajudar a entender a natureza do tráfego, ataques periódicos que se assemelham ao comportamento de bot, uma ocorrência única ou outras características.

attack_distribution.png

Alvos

A seção Alvos permite examinar os alvos identificados para saber mais sobre sua potencial intenção e a probabilidade de que o alvo seja malicioso:

  • Avaliar a pontuação maliciosa do Cato

  • Examinar a popularidade do Cato

  • Considerar as categorias associadas ao Cato

  • Revisar o número de feeds de inteligência de ameaças vinculados ao alvo

Usando Links de Alvo para Pesquisar Fontes Externas

A esta altura, você deve ter uma compreensão sólida da atividade capturada nesta história, os Links de Alvo ajudam você a realizar uma busca externa em fontes respeitáveis para contexto histórico e sinais de comportamento malicioso. Correlacione esses dados para identificar conexões com outras entidades e possíveis links para atores de ameaça conhecidos, campanhas ou técnicas.

Ações de Alvo

A seção Ações de Alvo pode ser usada para verificar se os mecanismos de segurança tomaram ações responsivas ao tráfego identificado.

target_actions.png

  1. Use os Eventos Relacionados para abrir a página Eventos e revisar os eventos correspondentes para cada alvo.

  2. Nos dados do evento, procure por detalhes adicionais sobre o evento IPS específico e reúna informações sobre a natureza da assinatura IPS, classificação do cliente, tipo de ameaça e mais.

Fluxos Relacionados a Ataques

Use a seção Fluxos Relacionados a Ataques para examinar fluxos de dados não processados relacionados à história.

  1. Avalie a distribuição do tráfego para identificar padrões e flutuações de volume.

  2. Analise pontos de dados suplementares desses fluxos, incluindo URLs, agentes de usuário, nomes de arquivos e outros atributos relevantes, e compare-os com os achados da etapa de investigação anterior para revelar correlações potenciais.

Conclusões da Investigação

Para investigações que focam no alvo, estes são alguns exemplos de tipos de ameaça que são as comunicações suspeitas em uma história:

  • Adware

  • Malware

  • Extensão de navegador

  • PUP (Programa Potencialmente Indesejado)

  • Atividade de Rede Não Segura (Suspeita)

  • Violação de Política (Suspeita)

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário