XOps Security Playbook - Подозрительная Цель Связь

Этот плейбук описывает, как использовать Рабочую область Историй для исследования историй, связанных с подозрительной целью связи.

Обзор

Этот плейбук излагает систематический подход для инженеров СОЦ, чтобы расследовать потенциальные инциденты безопасности, связанные с подозрительной целью связи. Он предоставляет фреймворк для сбора начальной информации, анализа сетевого трафика и формирования выводов о характере угрозы.

Сбор начальной информации об угрозе

Используйте виджет Подробности в истории, чтобы собрать основную информацию о потенциальной угрозе. Ознакомьтесь с Описание истории и другими данными, чтобы решить, требуется ли дальнейшее расследование. Кроме того, в разделе Похожие инциденты показываются другие истории, которые имеют аналогичные индикаторы и наблюдаемые.

gathering-info.png

Используйте виджет Источник для обзора данных об устройстве, на которое влияет этот подозрительный трафик.

source.png

Вы также можете использовать Каталог Индикаций для получения дополнительной информации (такой как Идентификатор Индикации) и сосредоточить расследование на основе вашего запроса.

Анализ сетевого трафика

Распределение атак

График Распределение атак может помочь понять природу трафика, периодические атаки, напоминающие поведение ботов, одноразовое событие или другие характеристики.

attack_distribution.png

Цели

Раздел Цели позволяет вам изучить выявленные цели, чтобы узнать больше о их потенциальных намерениях и вероятности вредоносности цели:

  • Оценить оценку вредоносности Cato

  • Изучите популярность Cato

  • Рассмотрите связанные категории Cato

  • Просмотрите количество информационных потоков угроз, связанных с целью

Использование ссылок на цели для поиска внешних источников

Теперь у вас должно быть четкое представление о деятельности, зафиксированной в этой истории, ссылки на цель помогают вам проводить внешний поиск в авторитетных источниках для исторического контекста и признаков вредоносного поведения. Сопоставьте эти данные, чтобы выявить связи с другими сущностями и возможные ссылки на известных нам угрожающих акторов, кампании или техники.

Действия по объекту

Раздел Действия по объекту можно использовать, чтобы проверить, приняли ли движки безопасности ответные действия на выявленный трафик.

target_actions.png

  1. Используйте Связанные события, чтобы открыть страницу События и просмотреть соответствующие события для каждой цели.

  2. В данных события ищите дополнительные детали касательно конкретного события IPS и собирайте информацию о характере сигнатуры IPS, классификации клиента, типе угрозы и прочем.

Потоки, связанные с атакой

Используйте раздел Потоки, связанные с атакой, чтобы исследовать необработанные потоки данных, связанные с историей.

  1. Оцените распределение трафика, чтобы выявить закономерности и колебания объема.

  2. Анализируйте дополнительные точки данных из этих потоков, включая URL, пользовательские агенты, имена файлов и другие релевантные характеристики, и сравнивайте их с результатами предыдущего этапа расследования, чтобы раскрыть потенциальные корреляции.

Выводы из расследования

Для расследований, которые сосредоточены на цели, вот некоторые примеры типов угроз, которые являются подозрительными сообщениями в истории:

  • Реклама

  • Вредоносные программы

  • Расширение браузера

  • Потенциально нежелательная программа (PuP)

  • Несанкционированная Сетевая Активность (Подозрительная)

  • Нарушение политики (Подозрительное)

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев