XOps Security Playbook - Anomalias de Eventos

Este playbook descreve como usar o Mesa de Trabalho de Histórias para investigar histórias relacionadas a comportamento anômalo detectado pelo produtor de Anomalia de Eventos.

Para mais informações sobre como usar a Mesa de Trabalho de Histórias para analisar Anomalias de Eventos, consulte Analisando XOps Histórias de UEBA para Uso e Anomalias de Eventos.

Visão geral

Este playbook descreve uma abordagem sistemática para engenheiros de SOC investigar incidentes de segurança potenciais relacionados a comportamentos anômalos que resultam em números incomuns de eventos. Ele fornece uma estrutura para coletar informações iniciais, analisar o tráfego de rede e tirar conclusões sobre a natureza da ameaça.

É aplicável a situações onde o motor revela um pico de volume (muitos eventos em uma janela curta) ou um comportamento inédito (um evento ou aplicação que nunca foi observado antes). Ambas as indicações surgem do mesmo modelo analítico de comportamento subjacente; o fluxo de trabalho abaixo cobre-as conjuntamente e indica onde pode ser necessário reunir informações adicionais.

O que procurar

Histórias de anomalia de eventos podem ajudar a identificar ameaças que produzem padrões de tráfego anormais, bem como configurações incorretas de rede que podem representar ameaças de segurança. A seguir estão exemplos desses tipos de ameaças potenciais:

Atividade de ameaça associada a padrões de tráfego anômalos:

  • Tentativas de exfiltração de dados

  • Movimentação lateral dentro da rede

  • Tentativas de infecção maliciosa

Configurações incorretas de rede que podem representar riscos de segurança

  • Violações de políticas - Por exemplo: Tentativas de acesso não autorizado, transferências de dados inesperadas ou conexões que contornam controles de segurança estabelecidos

  • Portas abertas e uso indevido de protocolo - Picos de tráfego anômalo relacionados a portas ou protocolos específicos muitas vezes indicam que essas configurações não estão alinhadas com as melhores práticas e podem indicar configuração incorreta

  • Falhas na segmentação de rede - A segmentação de rede configurada incorretamente pode permitir acesso ou movimentação não autorizada entre segmentos, que podem ser detectados como anomalias

Passo 1 - Coleta de Informações Iniciais sobre a Ameaça

Use os widgets de Detalhes na história para reunir informações básicas sobre a ameaça potencial e fazer uma avaliação inicial sobre a necessidade de investigação adicional. Revise os seguintes campos principais:

  • Descrição - Compreenda o tipo de anomalia (incluindo o aplicativo, motor ou comportamento específico), e se o foco está em um site ou usuário específico

  • Período de Treinamento - Mostra quanto tempo o motor tem coletado dados base para a anomalia. Um período de treinamento mais longo pode indicar um dado base bem estabelecido, enquanto um mais curto pode indicar que os dados são limitados

  • Aba de Fonte - Lista o site ou usuário que gerou o tráfego. Quando o escopo é todo o site, espere que vários hosts estejam envolvidos.

Nota

Dica: Se a anomalia afetar um site, identificar um único host de origem pode ser desafiador, e a anomalia pode se estender por múltiplos hosts.

source.png

Passo 2 - Analisando a Origem dos Eventos Anômalos

Distribuição de Anomalias

O gráfico de Distribuição de Anomalias pode ajudar a identificar qual regra de firewall, assinatura IPS ou regra de Anti-Malware gerou os eventos que desencadearam a história de anomalia. Se múltiplas regras estiverem envolvidas, priorize aquelas que causaram os maiores picos de eventos.

Histórias de anomalia baseadas em eventos podem se originar de qualquer fonte de log Cato, Firewall, IPS, Proteção DNS, CASB, DLP, Segurança de Aplicações, NGAM, entre outros, então o vetor de ataque provável e sua abordagem investigativa devem ser ajustados para se adequar ao tipo específico de evento.

Observe o timestamp exato da anomalia. Isso é crítico para analisar eventos relacionados nos passos posteriores da investigação.

Scanner_Playbook_-_Anomaly_Distribution.png

Passo 3 - Revisar Widgets Adicionais

Revise esses widgets para contexto adicional. Os widgets mostram os principais aplicativos, servidores, hosts e alvos envolvidos na anomalia. Os dados são agregados ao longo de um período de 14 dias que antecede a história da anomalia.

  • Principais Aplicativos - Mostra os aplicativos com maior número de eventos.

    Events_Anomaly_Playbook_-_Top_Apps.png

  • Principais Servidores/Destinos - Mostra os servidores ou redes mais acessados.

    Events_Anomaly_Playbook_-_Top_Servers.png

  • Principais Hosts - Mostra os principais endereços IP de origem que geram o tráfego.

  • Alvos - Mostra os destinos-alvo para o tráfego anômalo.

Nota

Nota: Esses widgets fornecem uma visão geral de alto nível e nem sempre são indicativos da causa exata da anomalia. Por exemplo, os widgets indicam que a anomalia envolve tráfego TOR, mas sem um IP de destino específico. Isso pode indicar uma atividade TOR mais ampla, em vez de um único alvo malicioso.

Passo 4 - Analisar Histórias Relacionadas

Este passo oferece contexto valioso ao identificar detecções adicionais associadas ao mesmo comportamento ou ao host/site onde foi observado. Revisar histórias semelhantes pode ajudar a determinar se outros hosts na rede ativaram a mesma detecção, potencialmente revelando um fenômeno mais amplo afetando o ambiente.

image-20250710-122158.png

Passo 5 - Investigar Análises de Aplicação e Eventos

Analisar eventos individuais é o passo mais crítico na investigação. Isso permite aprofundar-se na anomalia para entender a causa raiz.

Revise os eventos relevantes para correlacionar dados relacionados à história. Procure por elementos recorrentes, como IPs de origem específicos, domínios e aplicativos para focar sua investigação. Por exemplo, se a anomalia foi causada por tráfego TOR, e um IP de origem ou domínio específico mostra atividade repetida, investigue essa entidade mais a fundo.

A seguir estão passos de exemplo para analisar eventos relacionados a uma história de Anomalia de Eventos. Para mais informações sobre filtragem e trabalho com a página de Eventos, veja Analisando Eventos na Sua Rede.

  1. Mostre a página de Eventos pré-filtrada para eventos relacionados à história clicando em Ver Tudo na página da história.

    Events_Anomaly_Playbook_-_View_All.png

  2. Na página de Eventos, configure o filtro de intervalo de tempo ou use o mouse para selecionar o intervalo de tempo que claramente mostra um número anômalo de eventos.

    Events_Anomaly_Playbook_-_time_range.png

  3. Adicione campos relevantes à página de Eventos. Isso proporciona uma melhor perspectiva dos eventos envolvidos na anomalia. No exemplo abaixo, esses campos de evento foram adicionados à página: ID de Assinatura, Aplicativo, Nome do Domínio, IP de Origem.

    Verifique os campos adicionados e tente identificar a causa da anomalia. Neste exemplo, os campos de evento adicionados mostram claramente que a causa da anomalia é um domínio específico.

    Events_Anomaly_Playbook_-_Add_Fields.png

  4. Verifique os campos adicionados e tente identificar a causa da anomalia. Procure por elementos recorrentes:

    • IPs de origem / usuários repetidos

    • O mesmo domínio ou destino em vários eventos

    • Aparição repentina de um aplicativo ou país desconhecido.

    Compare o tráfego com o tráfego organizacional:

    • Outros usuários têm padrões de tráfego semelhantes?

    • Caso esta seja a primeira ocorrência de comportamento suspeito, é algo comum dentro da organização? Esse comportamento foi desencadeado por outros hosts dentro da organização?

  5. No próximo passo deste exemplo, após identificar baseado em widgets e eventos que Redes Tor é o aplicativo mais usado, e que há duas principais ameaças IPS que tiveram um pico de eventos, são adicionados filtros para os nomes específicos de Aplicativos e Ameaças.

    Events_Anomaly_Playbook_-_More_filters.png

    Os filtros adicionados revelam que este tráfego anômalo está relacionado a um endereço IP de origem específico.

  6. Agora, mais etapas de investigação podem ser tomadas:

    1. Verifique o Nome do Dispositivo ou Nome do Usuário correlacionado com essa atividade.

    2. Investigue o alvo e veja se está relacionado à atividade maliciosa.

    3. Inspecione o tráfego com as mesmas características para outros usuários no mesmo site ou rede para uma visão mais ampla do contexto.

Compartilhamento de Arquivos vs Anomalias SMB

O motor XOps agrupa eventos de transferência de arquivos sob um único guarda-chuva, mas aplicativos de compartilhamento de arquivos na nuvem (por exemplo, Dropbox, SharePoint, S3) e acesso a arquivos baseados em SMB expõem dados investigativos diferentes:

  • Aplicações na nuvem - eventos mostram apenas o aplicativo e o volume; detalhes a nível de objeto residem na própria plataforma da nuvem

  • Tráfego SMB - eventos incluem metadados granulares, como nome e caminho do arquivo, possibilitando uma revisão forense mais profunda.

Dicas de Investigação e Casos de Uso

  • Em anomalias baseadas em sites pode haver casos onde não há um host ou destino específico e a anomalia é um fenômeno amplo pelo site.

  • Pode haver casos onde o aplicativo que causou a anomalia não é um dos 5 principais aplicativos que geram eventos anômalos.

  • Há casos quando a anomalia é baseada em eventos de IPS de inteligência de ameaças (Reputação). Em tal caso, a investigação deve ser mais focada no alvo, então você deve usar o seguinte playbook: XOps Security Playbook - Comunicação de Alvo Suspeita.

  • Caso você não tenha certeza se uma anomalia específica representa uma ameaça de segurança, tente observar se esse tráfego ocorreu no mesmo site ou sites diferentes no passado. Isso pode ajudar a identificar se a anomalia é simplesmente causada por um novo dispositivo.

Conclusões da Investigação

Estes são alguns exemplos de conclusões relevantes para histórias de Anomalia de Eventos:

  • Tráfego Anômalo

  • Anomalia de Arquivos Bloqueados

  • Anomalia de Tráfego IPS Bloqueado

  • Tentativa de Exfiltração usando a Aplicação {app name}

  • Anomalia de Tráfego de Alvo Malicioso

Ações Recomendadas

  1. Realize uma varredura completa de proteção de endpoint (incluindo Anti-Vírus, EPP, EDR, etc.) e remova quaisquer programas desconhecidos e extensões de navegador da máquina infectada.

    • Certifique-se de que o processo de remoção seja completo e que todos os componentes relacionados sejam identificados e excluídos.

  2. Se você identificar um host ou usuário específico como a fonte da anomalia, isole-os da rede imediatamente para evitar possíveis danos ou exfiltração de dados adicionais.

  3. Se necessário, atualize ou crie regras para uma política de segurança mais restritiva, especialmente se a anomalia foi causada por um aplicativo ou tráfego que não deveria ter sido permitido.

  4. Caso a história seja um falso positivo, você pode classificá-la como Benigna/Informativa e também adicioná-la a uma regra de Histórias Silenciosas. Se a história resultar de uma varredura legítima ou teste de penetração, recomenda-se adicioná-la a uma regra de Histórias Silenciosas por um intervalo de tempo específico.

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário