Este manual descreve como utilizar o Bancada de Histórias para investigar histórias com base no comportamento malicioso de Prevenção Adaptativa de Ameaças.
Este manual descreve uma abordagem sistemática para engenheiros de SOC investigarem possíveis incidentes de segurança relacionados ao comportamento malicioso de Prevenção Adaptativa de Ameaças. Estes indicadores bloqueiam comportamento malicioso associado às fases iniciais de movimento lateral suspeito ou tentativas de exfiltração de dados. Eles são focados em detectar e bloquear o uso de ferramentas ou técnicas críticas geralmente empregadas por atacantes durante a segunda fase da violação, como:
-
Execução remota de ferramentas (por exemplo, PsExec)
-
Ferramentas de download não autorizadas (por exemplo, Rclone)
Utilize os widgets de Detalhes na história para coletar informações básicas sobre a ameaça potencial e fazer uma avaliação inicial se uma investigação mais aprofundada é necessária. Esta parte da investigação leva à compreensão das condições prévias da atividade desencadeada que levou à criação da história. Revise estes campos-chave:
-
Aba de Origem: Dados a nível de dispositivo, como IP, SO, nome do host, e endereço MAC.
-
Entrada no Catálogo de IOA: Utilize o título e a descrição do IOA para guiar sua investigação.
Esta etapa se concentra em entender a atividade que desencadeou a criação da história, o que foi bloqueado e quais condições prévias esta atividade IPS requer para bloquear o tráfego malicioso.
-
Tabela de Ações de Alvo: Revise os eventos associados clicando em Eventos Relacionados. Essas entradas fornecem uma visão mais aprofundada sobre a natureza do tráfego bloqueado, incluindo detalhes contextuais e referências à ameaça que podem ajudar a identificar o tipo e a intenção da ameaça.
-
Gráfico de Distribuição de Ataques: Este gráfico ajuda a avaliar a natureza do tráfego detectado, se segue um padrão recorrente (por exemplo, comportamento periódico ou semelhante a bot) ou é um evento único. No contexto desses tipos de histórias, o tráfego recorrente é menos comumente observado. Múltiplas ocorrências podem sugerir que a atividade foi parte de um teste ou exercício em vez de uma tentativa de ataque real. No entanto, cada caso deve ser investigado minuciosamente para eliminar qualquer intenção maliciosa.
-
Linha do Tempo de Eventos Relacionados: Como histórias baseadas em UEBA IPS são acionadas apenas quando condições específicas são atendidas, entender a sequência de eventos que leva ao bloqueio é essencial.
-
Comece filtrando eventos com base no período de tempo da história e no IP do usuário/cliente envolvido. Em seguida, adicione o ID da Assinatura como uma coluna visível e aplique filtros para tipos de eventos de IPS e Atividade Suspeita. Isso facilita identificar os eventos exatos que contribuíram para acionar o Bloqueio UEBA IPS.
-
Indicadores-chave descritos na descrição do IOA ajudam a focar a investigação em padrões de atividade relevantes. Uma vez que os eventos de condições prévias são identificados, consulte o Catálogo de Ameaças para obter mais contexto sobre as técnicas envolvidas e entender melhor a natureza da ameaça detectada.
-
Este passo fornece contexto valioso ao descobrir detecções adicionais associadas ao mesmo dispositivo ou usuário, que podem revelar um padrão mais amplo de comportamento suspeito. Certifique-se de cruzar as linhas do tempo, IPs envolvidos e identidades de usuários para identificar indicadores sobrepostos e tentativas de intrusão potencialmente ligadas. Revisar histórias relacionadas pode ajudar você a:
-
Identificar outras atividades que ocorreram aproximadamente ao mesmo tempo no host afetado, que podem ter desencadeado histórias separadas
-
Detectar histórias semelhantes em toda a organização, ajudando a avaliar se esse é um evento isolado ou parte de uma tentativa de ataque coordenada maior
-
Avaliar o escopo e a persistência da ameaça identificando técnicas repetidas ou uso de ferramentas em várias entidades
Aqui estão alguns exemplos de conclusões relevantes:
-
Malware
-
Tentativa de Exploração
-
Movimento Lateral
-
Realizar verificações completas de AV/EPP/EDR no host afetado
-
Realizar uma redefinição de credenciais para contas de usuário envolvidas, especialmente se o reconhecimento foi extenso
-
Se aplicável, bloqueie proativamente ferramentas ou serviços sinalizados na detecção para o host afetado dentro dos Firewalls da Cato (LAN, WAN, Outbound e RPF) até a remediação completa
-
Caso a história seja um falso positivo, você pode classificá-la como Benigno/Informativo e também adicioná-la a uma regra Muting Stories. Se a história resultar de uma verificação ou teste de penetração legítimo, é recomendado adicioná-la a uma regra Muting Stories por um intervalo de tempo específico.
0 comentário
Artigo fechado para comentários.