Este artigo explica como usar o recurso de Monitoramento de Atividades Suspeitas (SAM) com o serviço IPS para aumentar a conscientização sobre ameaças potenciais na sua rede.
O recurso SAM da Cato expande o serviço IPS para fornecer visibilidade para atividades suspeitas na sua rede que não são monitoradas por assinaturas padrão de IPS. Esse tipo de tráfego representa ações realizadas através da rede que merecem atenção e, dependendo do contexto, podem indicar uma violação ou comprometimento. No entanto, como o tráfego não é definitivamente malicioso, o SAM apenas monitora o tráfego sem bloqueá-lo. A visão mais ampla das ameaças potenciais que o SAM fornece pode ajudá-lo a identificar todas as fases de um ataque e estar melhor preparado para a detecção e defesa contra vetores de ataque semelhantes no futuro.
You can view and analyze suspicious activity data in the Threats Dashboard, MITRE ATT&CK® Dashboard, and XDR Stories Dashboard, and review SAM events in the Events page.
A equipe de Pesquisas de Segurança da Cato cria assinaturas específicas para padrões de comportamento incomuns que parecem suspeitos. O serviço SAM detecta tráfego que corresponde a estas assinaturas e gera eventos e dados que as equipes SOC podem analisar para rastrear e investigar ameaças. Os eventos SAM são rotulados com o Subtipo Atividade Suspeita, para diferenciar entre eventos IPS maliciosos e tráfego incomum potencialmente legítimo.
SAM monitora todo o tráfego WAN, de entrada e de saída para sua conta. As configurações de Escopo de Proteção do IPS não afetam o SAM.
Estes são exemplos de cenários que geram eventos SAM:
-
Tráfego HTTP de saída exfiltrando informações do sistema
-
Solicitações HTTP para destinos de baixa popularidade usando portas HTTP não padrão
-
Um cliente HTTP programático baixando um arquivo binário ou executável
-
Transferência de um executável para uma pasta sensível através da WAN
O recurso SAM classifica eventos em diferentes níveis de risco: Alto, Médio e Baixo. A Cato calcula o nível de risco com base na análise de uma série de fatores, por exemplo:
-
A prevalência da atividade em todo o tráfego através da Nuvem Cato. Quanto menor a prevalência, mais provável é que a atividade seja maliciosa
-
As técnicas MITRE ATT&CK® associadas à atividade
O nível de risco ajuda a avaliar o tráfego e a focar sua análise nos eventos mais propensos a fazer parte de um ataque. Além disso, eventos SAM de alto risco geram automaticamente uma história XDR, que pode ser investigada na Bancada de Trabalho de Histórias.
-
SAM está incluído na licença IPS. Para mais informações sobre a compra da licença IPS, por favor, entre em contato com seu representante da Cato.
-
A política de IPS deve estar ativada antes que você possa ativar o SAM.
Nota
Nota: Recomendamos que ative a inspeção TLS para que o serviço IPS e o aprimoramento SAM forneçam a proteção máxima para sua rede.
Para obter o máximo benefício do SAM, recomendamos incorporar uma revisão dos eventos do SAM como parte dos procedimentos de segurança regulares para sua rede. Por exemplo, você pode implementar a revisão dos eventos do SAM nos seguintes casos de uso:
-
Revisão rotineira de eventos SAM de alto risco para detectar e prevenir ataques potenciais
-
Analisar eventos SAM após um ataque confirmado para fornecer um contexto mais amplo como parte da investigação forense
Cato oferece várias maneiras de descobrir e investigar as atividades suspeitas detectadas pelo SAM. Esses diferentes recursos podem ser usados em conjunto para obter visibilidade completa e construir contexto para as atividades suspeitas na sua rede. Esses recursos incluem:
-
Bancada de Trabalho de Histórias XDR - Eventos SAM servem como base para histórias XDR na Bancada de Trabalho de Histórias. Revisar as histórias na bancada pode alertá-lo sobre atividades suspeitas que podem fazer parte de um ataque. For more about using the Stories Workbench, see Reviewing Detection & Response (XDR) Stories in the Stories Workbench.
-
Painel de Ameaças - Revise os dados de eventos SAM filtrando o painel para se concentrar em eventos SAM. See below Viewing SAM Data in the Threats Dashboard
-
Painel MITRE ATT&CK - Você pode configurar o painel para mostrar dados dos eventos do Monitor IPS, incluindo eventos SAM. See below Analyzing SAM Data in the MITRE ATT&CK® Dashboard
-
Events page - Filter the page to show SAM events (subtype: Suspicious Activity). Ao selecionar o filtro predefinido Atividade Suspeita, por padrão a página mostra apenas eventos SAM de alto risco. Você pode adicionar filtros para focar em eventos SAM específicos, como eventos com uma fonte ou destino de interesse. For more about SAM events, see below Reviewing SAM Events.
O Painel de Ameaças, o Painel MITRE ATT&CK e a Bancada de Trabalho de Histórias permitem explorar e revisar detalhes na página de Eventos.
Esta seção explica como configurar o serviço SAM.
Por padrão, SAM está ativado para sua conta. A aba Atividade Suspeita na página IPS permite alterar essa configuração.
A página do Painel de Ameaças permite analisar atividades suspeitas na rede. Você pode configurar os widgets na seção IPS para mostrar atividade suspeita e, em seguida, filtrar o painel para mostrar os dados de tipos específicos de ameaças SAM, e hosts e usuários relevantes. Você também pode ver eventos SAM na página de Eventos, pré-filtrados por tipo de ameaça, host e usuário.
For more about how to filter the dashboard and view events from the Threats Dashboard widgets, see Using the Security Threats Dashboard.
O Painel MITRE ATT&CK® ajuda a analisar atividades suspeitas usando o framework de táticas e técnicas MITRE ATT&CK®. Você pode configurar o painel para mostrar dados dos eventos de Monitoramento de IPS, incluindo eventos SAM. For more about using the MITRE ATT&CK® Dashboard, see Working with the MITRE ATT&CK® Dashboard.
Se você quiser parar de registrar eventos para tráfego específico, pode adicionar esse tráfego à Lista de Permissões de IPS. Para adicionar à lista de permissões o tráfego de atividade suspeita, crie uma regra de Lista de Permissões de IPS usando o ID da Assinatura do tráfego que deseja parar de monitorar. Você também pode adicionar à lista de permissões o tráfego suspeito clicando no ID da Assinatura de um evento na página de Eventos. For more information, see Allowlisting IPS Signatures.
Você pode analisar eventos de Segurança em Inicial > Eventos e encontrar comportamentos incomuns e ameaças potenciais detectados pelo SAM. Esses eventos são rotulados com o Subtipo Atividade Suspeita, o que permite diferenciá-los dos eventos de maior risco gerados com o Subtipo IPS.
Você pode selecionar o filtro predefinido Atividade Suspeita no menu suspenso Selecionar Presets para mostrar os eventos relevantes. Por padrão, ao selecionar esta predefinição, a página é filtrada para mostrar os eventos de Alto Risco SAM. Para ver todos os eventos SAM, remova o filtro Nível de Risco é Alto.
The Suspicious Activity Sub-Type is limited to 2,500,000 events per hour. See Cato Cloud Thresholds and Limits.
Este é um Exemplo de análise de um Evento SAM de Alto Risco:
-
O Nome da Ameaça fornece uma explicação básica do que ocorreu neste evento - um executável foi movido lateralmente usando PsExec
-
Os campos Mitre Attack Tactics e Mitre Attack Subtechniques mostram uma execução usando um serviço remoto e movimento lateral sobre SMB para uma pasta compartilhada ADMIN$
-
Os campos que detalham a origem e o destino ajudam a identificar os hosts de rede envolvidos. Com estas informações, você pode:
-
Confirmar que o host de origem para o evento possui os privilégios necessários para usar PsExec
-
Confirmar que o usuário final associado ao evento provavelmente realizará as ações detectadas
-
0 comentário
Por favor, entre para comentar.