XOps Playbook по безопасности - Сканеры и уязвимости

Этот плейбук описывает, как использовать Рабочую область Историй для расследования историй, основанных на уязвимостях и активности сканирования.

Обзор

Этот плейбук описывает систематический подход для инженеров SOC при расследовании потенциальных инцидентов безопасности, связанных с активностью сканирования и уязвимостями. Он предоставляет структуру для сбора начальной информации, анализа сетевого трафика и вывода о природе угрозы.

Плейбук помогает вам идентифицировать различные стадии атаки в сети для атак, основанных на активности сканирования и эксплуатации уязвимостей. Это некоторые из тактик, обычно связанных с этими атаками:

  • Разведка

  • Первоначальный доступ

  • Эскалация привилегий

  • Латеральное перемещение

  • Эксплуатация

Идентификация сканеров и историй по уязвимостям

Движки XOps идентифицируют истории сканера и уязвимостей в основном на основе сигнатур IPS, которые соответствуют определённым поведением угроз. Понимание поведения, которое вызвало историю, дает вам лучшее представление о том, как её расследовать. Следующая таблица показывает форматы для различных сигнатур IPS для этих типов историй и описывает потенциально вредоносное поведение, соответствующее сигнатуре.

Сигнатура IPS

Объяснение

cid_cve_*

Уязвимости с идентификатором CVE

cid_vuln_*

Уязвимости без идентификатора CVE

cid_scan_*

Для сетевых сканеров

cid_waf_*

Для сетевых сканеров и уязвимостей, направленных на веб-сервисы

feed_cid_cve_*

Для источников данных, связанных с уязвимостями

feed_threat_scanner*

Для входящего трафика, связанного с IP, классифицированными как Сканеры Угроз

Рабочий процесс расследования

В этом разделе объясняется процесс расследования для идентификации атаки, возникшей из активности сканирования или попытки эксплуатации уязвимостей.

Шаг 1 - Сбор начальной информации об угрозе

Используйте виджет Подробности в истории для сбора основной информации о потенциальной угрозе. Просмотрите Описание истории. Это может помочь сосредоточить расследование на основе логики, которая сгенерировала историю. Кроме того, в разделе Похожие инциденты показаны другие истории, которые имеют схожие индикаторы и наблюдаемые вещи.

Playbook.png

Чтобы решить, требуется ли дальнейшее расследование, ознакомьтесь с дополнительными данными, например:

  • Направление: Это влияет на процесс расследования, для получения дополнительной информации см. Шаг 3 - Расследование в зависимости от Направления.

  • Источник/Цель: Эта вкладка отображает данные об устройствах, на которые произведено воздействие.

    Примечание: Для входящих историй Цель относится к пораженному устройству, в то время как Источник относится к исследованному объекту, находящемуся вне Cato. Это иногда может быть вызвано устройствами или сайтами, которые не настроены как часть Cato сети, или ошибок конфигурации.

  • Каталог Индикаций: Это может помочь понять логику индикации.

Шаг 2 - Идентификация типа угрозы

В История Сканера вы можете определить тип сканера на основе сигнатуры, которая вызвала историю, и приложения, указанного в сигнатуре. Они могут быть связаны с определённым типом, таким как Nessus или Qualys, или основаны на общем сервисе/приложении и объёме трафика.

image-20240208-152524.png

В История Уязвимости ссылки в событиях помогают вам понять уязвимость и сосредоточить расследование на соответствующих IOC.

image-20240208-154338.png

Поле Ссылка на угрозу в событии предоставляет ссылку для поиска угрозы в Национальной Базе Уязвимостей.

Playbook_Scanners_and_Vulnerabilities_-_Vul_Event.png

Шаг 3 - Расследование в зависимости от Направления

Направление истории влияет на последующие шаги в расследовании:

Входящая история скан/уязвимость

Цель этого этапа расследования заключается в идентификации и проверке возможности попытки Сбора Информации/Проникновения внешним противником.

В таблице Источники исследуйте идентифицированные источники, чтобы определить их потенциальное злонамеренное намерение:

  • Анализ Параметров Таблицы для Оценки Риска: Оцените параметры, такие как оценка вредоносности, популярность, связанные категории и количество источников угроз, связанных с источником, чтобы определить вероятность того, что источник является злонамеренным.

  • Используйте Ссылки Источника для Внешнего Поиска: Выполните внешний поиск, используя ссылки источника на авторитетных сторонних поисковых системах и базах данных безопасности. Ищите любую историческую информацию, связи или индикаторы злонамеренного поведения, связанные с источником. Коррелируйте собранные данные, чтобы идентифицировать связи между источниками и другими сущностями и попытайтесь определить, есть ли какие-либо связи с известными актёрами угроз, кампаниями или техниками.

  • Потоки/События, Связанные с Атакой: Используйте назначенную таблицу для проверки необработанных образцов потоков данных, соответствующих вызванной истории. Анализируйте дополнительные данные из потоков, такие как URL, пользовательские агенты, имена файлов и другие релевантные атрибуты, сравните эти параметры с результатами предыдущих шагов расследования и получите анализ о конечном вердикте источника связи.

После понимания типа угроз на основе связанных событий истории важно углубиться в связанные события, чтобы получить дополнительную информацию о трафике. Например:

  • Проверка трафика и классификация его как истинное положительное или истинное отрицательное на основе ссылки сигнатуры, коррелирует с данными, найденными в событиях.

  • Понимание масштабов угрозы:

    • Проверьте наличие дополнительного трафика от источника связи, чтобы понять, является ли эта связь новой или ранее встречавшейся.

    • Проверьте наличие дополнительных источников с похожими характеристиками трафика (приложение, порт назначения)

      SourceIP.png

    • Проверьте наличие дополнительных целей/хостов, с которыми общался исследованный источник

      Destination.png

    • Проверьте различия между событиями, такие как разные URL, порты назначения, метод запроса и т. д.

      URL.png

    • Проверьте, был ли трафик заблокирован на основе поля Действие

      Action.png

Заключение

Для расследований сканеров существуют несколько классификаций известных сканеров и методов сканирования, такие как:

  • Nessus

  • Nmap

  • Xmas

  • Ping Sweep

Для расследований уязвимостей существуют классификации известных уязвимостей, такие как:

  • SQL Injection

  • Инъекция межсайтового скриптинга (XSS Injection)

Если конкретная уязвимость в истории отсутствует в списке классификаций, вы можете добавить её локально в свою учетную запись, нажав на Новый и заполнив соответствующие поля.

В случае если история является истинно положительной и не была заблокирована, настоятельно рекомендуется добавить исследованные источники в блок-лист RPF-политики. Для получения дополнительной информации см. Настройка удаленной переадресации портов для учетной записи.

В случае если история является ложноположительной, вы можете классифицировать её как Безвредная/Информационная и также добавить её в правило Заглушки Историй. (Если история возникает в результате легитимного сканирования/тестирования на проникновение, рекомендуется добавить в правило Заглушки Историй на определенный временной интервал.)

Исходящая история скан/уязвимость

Цель расследования - идентификация и проверка возможных случаев утечки данных, командного и управляющего трафика, активности ботнета и т. д.

В таблице Цели исследуйте идентифицированные цели, чтобы определить их потенциальное злонамеренное намерение:

  • Анализ Параметров Таблицы для Оценки Риска: Оцените параметры, такие как оценка вредоносности, популярность, связанные категории и количество источников угроз, связанных с целью, чтобы определить вероятность того, что цель является злонамеренной.

  • Используйте Ссылки Цели для Внешнего Поиска: В случаях исходящей активности сканирования цель расследования может быть сложной, так как большинство общаемых целей не распознаётся многими из движков безопасности и не имеет внешних данных.

    Однако рекомендуется использовать внешние источники, чтобы найти как можно больше контекста, используя любую историческую информацию, связи или индикаторы злонамеренного поведения, связанные с целью. Коррелируйте собранные данные, чтобы идентифицировать связи между целями и другими сущностями и попытайтесь определить, есть ли какие-либо связи с известными актёрами угроз, кампаниями или техниками.

  • Потоки/События, Связанные с Атакой: Используйте назначенную таблицу для проверки необработанных образцов потоков данных, соответствующих вызванной истории. Анализируйте дополнительные данные из потоков, такие как порты назначения, приложения, URL-адреса, пользовательские агенты, страны назначения и другие актуальные атрибуты. Сравните эти параметры с результатами предыдущего расследования и получите представление о последнем вердикте коммуницирующей цели.

После понимания типа угроз на основе связанных событий истории важно углубляться в связанные события, чтобы получить дополнительную аналитику относительно трафика. Например:

  • Проверка трафика и классификация его как истинно положительного или истинно отрицательного на основе корреляции со ссылкой сигнатуры и данными, найденными в событиях.

  • Понимание масштаба угрозы:

    • Проверьте дополнительный трафик от коммуницирующей цели, чтобы понять, является ли эта связь новой или уже виденной.

    • Проверьте дополнительные цели с похожими характеристиками трафика (приложение, порт назначения)

      Destination2.png

    • Проверьте наличие дополнительных целей/хостов, с которыми связывалась исследованная цель

    • Проверяйте различия между событиями, такие как разные URL-адреса, разные порты назначения, метод запроса и т. д.

      Destination4.png

    • Проверяйте, был ли трафик заблокирован на основе поля Действие

    Заключение

    Для расследований сканера есть несколько классификаций известных сканеров и методов сканирования, таких как:

    • ICMP Сканирование

    • SYN Сканирование

    • SMTP Сканирование

    Для расследований уязвимостей существуют классификации известных уязвимостей, таких как:

    • SQL Инъекция

    • Инъекция межсайтового скриптинга (XSS Injection)

    Если конкретная уязвимость, найденная для истории, не существует в списке классификации, вы можете добавить её локально, нажав на Новый и заполнив соответствующие поля.

    Если история - это истинно положительная и не была заблокирована, настоятельно рекомендуется добавить исследуемые цели в правило блокировки Интернет-файрвола. Кроме того, в случаях, когда сигнатура IPS находится в белом списке, рекомендуется заблокировать её с помощью правила файрвола или отредактировать правило допуска IPS, чтобы включать только известные цели.

    Если история является ложноположительной, вы можете классифицировать её как Безвредная/Информационная и также добавить в правило Mute Stories. Если история возникла в результате легитимного сканирования/теста на проникновение, рекомендуется добавить её в правило Mute Stories на определенный временной диапазон.

WAN-направленный сканирование / История уязвимостей

Цель расследования - выявление и проверка возможных случаев эксфильтрации, бокового движения, повышения привилегий и т.д.

Таблица Цели может предоставить видимость всех коммуницируемых целей.

Используйте таблицу для проверки непрерывных образцов данных, соответствующих возникшей истории. Анализируйте дополнительные точки данных из потоков, такие как URL-адреса, пользовательские агенты, имена файлов и другие актуальные атрибуты. Сравните эти параметры с результатами предыдущих этапов расследования и получите представление о последнем вердикте коммуницирующего источника.

После понимания типа угроз на основе связанных событий истории важно углубляться в связанные события, чтобы получить дополнительную аналитику относительно трафика. Например:

  • Проверка трафика и классификация его как истинно положительного или истинно отрицательного на основе корреляции со ссылкой сигнатуры и данными, найденными в событиях

  • Понимание масштаба угрозы:

    • Проверка дополнительного трафика от коммуницирующего источника, чтобы понять, является ли эта связь новой или уже виденной

    • Проверка дополнительных источников с похожими характеристиками трафика (приложение, порт назначения)

      Source_IP3.png

    • Проверка дополнительных целей/хостов, с которыми связывался исследованный источник

      Destination_IP9.png

    • Проверка различий между событиями, такие как разные URL-адреса, разные порты назначения, HTTP-метод и т. д.

      URL5.png

    • Проверка, был ли трафик заблокирован на основе поля Действие

    Для расследований сканеров есть несколько классификаций известных сканеров/методов сканирования, таких как:

    • Nessus

    • Nmap

    • Xmas

    • Ping Sweep

    Для расследований уязвимостей существуют классификации известных уязвимостей, таких как:

    • SQL Инъекция

    • Инъекция межсайтового скриптинга (XSS Injection)

    Если конкретная уязвимость, найденная для истории, не существует в списке классификации, вы можете добавить её локально, нажав на Новый и заполнив соответствующие поля.

    Если история - это истинно положительная и не была заблокирована, настоятельно рекомендуется добавить исследуемые цели в правило блокировки WAN файрвола. Кроме того, в случаях, когда сигнатура IPS находится в белом списке, рекомендуется заблокировать её с помощью правила файрвола или отредактировать правило допуска IPS, чтобы включать только известные цели.

    Если история является ложноположительной, вы можете классифицировать её как Безвредная/Информационная и также добавить в правило Mute Stories. Если история возникла в результате легитимного сканирования или теста на проникновение, рекомендуется добавить её в правило Mute Stories на определенный интервал времени.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев