XOps План действий по безопасности - Аномалии событий

Этот план действий описывает, как использовать Рабочая панель историй для расследования историй, связанных с аномальным поведением, обнаруженным производителем аномалий событий.

Чтобы узнать больше об использовании Рабочей панели историй для анализа Аномалий событий, см. Анализ историй XOps UEBA для использования и аномалий событий.

Обзор

Этот план действий описывает систематический подход для инженеров SOC в расследовании потенциальных инцидентов безопасности, связанных с аномальным поведением, которое приводит к необычному количеству событий. Он предоставляет структуру для сбора начальной информации, анализа сетевого трафика и выяснения природы угрозы.

Он применим к ситуациям, когда движок выявляет либо всплеск объема (множество событий за короткий период), либо более первое замеченное поведение (событие или приложение, которого ранее не наблюдалось). Обе индикации исходят из той же основной модели поведенческой аналитики; рабочий процесс ниже охватывает их совместно и указывает, где может потребоваться дополнительный сбор контекста.

На что обратить внимание

Истории аномалий событий могут помочь выявить угрозы, которые создают аномальные шаблоны трафика, а также ошибки конфигурации сети, которые могут представлять угрозы безопасности. Следующие примеры показывают такие потенциальные угрозы:

Активность угроз, связанная с аномальными шаблонами трафика:

  • Попытки эксфильтрации данных

  • Боковое перемещение внутри сети

  • Попытки вредоносного заражения

Ошибки конфигурации сети, которые могут представлять угрозы безопасности

  • Нарушения политики - например: несанкционированные попытки доступа, неожиданные передачи данных или подключения, которые обходят установленные средства безопасности

  • Открытые порты и неправильное использование протокола - всплески аномального трафика, связанные с определенными портами или протоколами, часто указывают на то, что эти настройки не соответствуют передовой практике и могут указывать на неправильную конфигурацию

  • Неудачи сегментации сети - неправильно настроенная сегментация сети может позволить несанкционированный доступ или перемещение между сегментами, что может быть обнаружено как аномалии

Шаг 1 - Сбор начальной информации об угрозе

Используйте виджеты Детали в истории, чтобы собрать основную информацию о потенциальной угрозе и сделать предварительную оценку необходимости дальнейшего расследования. Просмотрите эти ключевые поля:

  • Описание - Поймите тип аномалии (включая конкретное приложение, движок или поведение) и выясните, сосредоточено ли внимание на конкретном сайте или пользователе

  • Период обучения - Показывает, как долго движок собирает базовые данные для аномалии. Более длительный период обучения может указывать на хорошо установленную базу, в то время как более короткий может указывать на ограниченные данные

  • Вкладка источника -Перечисляет сайт или пользователя, который сгенерировал трафик. Когда область охватывает весь сайт, ожидать участие нескольких хостов.

Заметка

Совет: Если аномалия касается сайта, идентификация единственного источника может быть сложной, а аномалия может охватывать несколько хостов.

source.png

Шаг 2 - Анализ происхождения аномальных событий

Распределение аномалий

График Распределение аномалий может помочь определить, какое правило межсетевого экрана, сигнатура IPS или правило антивирусной защиты сгенерировало события, которые вызвали историю аномалии. Если задействовано несколько правил, приоритетнее те, которые вызвали наибольшие всплески событий.

Истории аномалий на основе событий могут исходить из любого журнала Cato, межсетевого экрана, IPS, защиты DNS, CASB, DLP, защиты приложений, NGAM и других, поэтому вероятный вектор атаки и ваш подход к расследованию должны быть адаптированы под конкретный тип события.

Отметьте точное время аномалии. Это критично для анализа связанных событий на более поздних этапах расследования.

Scanner_Playbook_-_Anomaly_Distribution.png

Шаг 3 - Обзор дополнительных виджетов

Проанализируйте эти виджеты для дополнительного контекста. Виджеты показывают самые популярные приложения, серверы, хосты и цели, задействованные в аномалии. Данные агрегируются за 14-дневный период, предшествующий истории аномалии.

  • Топ Приложения - Показывает приложения с наибольшими количествами событий.

    Events_Anomaly_Playbook_-_Top_Apps.png

  • Топ Серверы/Назначения - Показывает самые посещаемые серверы или сети.

    Events_Anomaly_Playbook_-_Top_Servers.png

  • Топ Хосты - Показывает IP-адреса источников, которые сгенерировали наибольший трафик.

  • Цели - Показывает целевые назначение для аномального трафика.

Заметка

Замечание: Эти виджеты предоставляют общий обзор и не всегда указывают на точную причину аномалии. Например, виджеты указывают на то, что аномалия связана с трафиком TOR, но без конкретного IP-адреса назначения. Это может указывать на более широкую активность TOR, а не на одиночную злонамеренную цель.

Шаг 4 - Анализ связанных историй

Этот шаг предоставляет ценный контекст, идентифицируя дополнительные обнаружения, связанные с тем же поведением или хостом/сайтом, где это наблюдалось. Анализ похожих историй может помочь определить, не были ли другие хосты в сети вызваны тем же обнаружением, что потенциально может раскрыть более широкое явление, влияющее на среду.

image-20250710-122158.png

Шаг 5 - Исследование аналитики приложений и событий

Анализ отдельных событий - самый важный шаг в расследовании. Это позволяет вам углубиться в аномалию, чтобы понять её коренную причину.

Просмотрите соответствующие события, чтобы коррелировать данные, связанные с историей. Ищите повторяющиеся элементы, такие как конкретные IP-источники, домены и приложения, чтобы сосредоточить ваше расследование. Например, если аномалия вызвана трафиком TOR, и конкретный IP-источник или домен показывают повторяющуюся активность, исследуйте этот объект более подробно.

Следующие шаги - это примеры анализа событий, связанных с историей Аномалий событий. Чтобы узнать больше о фильтрации и работе с страницей Событий, см. Анализ событий в вашей сети.

  1. Показать страницу Событий, предварительно отфильтрованную по событиям, связанным с историей, кликнув «Посмотреть все» на странице истории.

    Events_Anomaly_Playbook_-_View_All.png

  2. На странице Событий настройте фильтр временного диапазона или используйте мышь, чтобы выбрать временной диапазон, который явно показывает аномальное количество событий.

    Events_Anomaly_Playbook_-_time_range.png

  3. Добавьте соответствующие поля на страницу Событий. Это предоставляет лучший обзор событий, участвующих в аномалии. В приведенном ниже примере, эти поля событий были добавлены на страницу: Идентификатор сигнатуры, Приложение, Имя домена, IP-Источник.

    Проверьте добавленные поля и попытайтесь определить причину аномалии. В этом примере добавленные поля событий ясно показывают, что причиной аномалии является конкретный домен.

    Events_Anomaly_Playbook_-_Add_Fields.png

  4. Проверьте добавленные поля и попытайтесь определить причину аномалии. Ищите повторяющиеся элементы:

    • Повторяющиеся IP-источники / пользователи

    • Тот же домен или назначение в нескольких событиях

    • Внезапное появление незнакомого приложения или страны.

    Сравните трафик с организационным трафиком:

    • У других пользователей похожие шаблоны трафика?

    • В случае, если это первое возникновение подозрительного поведения, является ли это чем-то общим в рамках организации? Было ли это поведение вызвано для других хостов в рамках организации?

  5. На следующем этапе в этом примере, после идентификации на основе виджетов и событий, что Тор Сети являются наиболее используемым приложением, и что есть две основные IPS угрозы, которые испытали всплеск событий, добавляются фильтры для конкретного приложения и имен угроз.

    Events_Anomaly_Playbook_-_More_filters.png

    Добавленные фильтры показывают, что этот аномальный трафик связан с одним конкретным IP-адресом источника.

  6. Теперь можно предпринять дальнейшие шаги расследования:

    1. Проверьте Имя устройства или Имя пользователя, связанные с этой активностью.

    2. Исследуйте цель и посмотрите, связана ли она со злонамеренной активностью.

    3. Проверьте трафик с такими же характеристиками для других пользователей на том же сайте или сети для более широкой контекстной информации.

Обмен файлами vs Аномалии SMB

Движок XOps группирует события передачи файлов под одним общим знаменателем, но облачные приложения для обмена файлами (например, Dropbox, SharePoint, S3) и доступ к файлам через SMB предоставляют различные данные для расследования:

  • Облачные приложения – события показывают только приложение и объем; информация на уровне объекта содержится на самой облачной платформе

  • SMB трафик – события включают подробные метаданные, такие как имя файла и путь, позволяя провести более глубокий криминалистический анализ.

Советы и случаи использования расследования

  • В аномалиях на основе сайтов могут быть случаи, когда нет конкретного хоста или цели и аномалия является широким явлением по всему сайту.

  • Могут быть случаи, когда приложение, вызвавшее аномалию, не является одним из топ-5 приложений, генерирующих аномальные события.

  • Бывают случаи, когда аномалия основана на событиях IPS угрозы (Репутация). В таком случае расследование должно быть более ориентированным на цель, поэтому стоит использовать следующий план действий: XOps План действий по безопасности - подозрительная коммуникация с целью.

  • Если вы не уверены, представляет ли конкретная аномалия угрозу безопасности, попробуйте понаблюдать, происходил ли этот трафик на том же или на других сайтах в прошлом. Это может помочь идентифицировать, вызвана ли аномалия просто новым устройством.

Выводы из расследования

Вот несколько примеров соответствующих выводов для историй об аномалиях событий:

  • Аномальный трафик

  • Аномалия заблокированных файлов

  • Аномалия заблокированного трафика IPS

  • Попытка эксфильтрации с использованием Приложения {app name}

  • Аномалия трафика злонамеренной цели

Рекомендованные действия

  1. Выполните полное сканирование защиты конечной точки (включая антивирус, EPP, EDR и т. д.) и удалите все неизвестные программы и расширения браузера с зараженного устройства.

    • Убедитесь, что процесс удаления полностью завершён и все связанные компоненты идентифицированы и удалены.

  2. Если вы идентифицируете конкретный хост или пользователя как источник аномалии, немедленно изолируйте их от сети, чтобы предотвратить дальнейшее возможное повреждение или эксфильтрацию данных.

  3. При необходимости обновите или создайте правила для более строгой политики безопасности, особенно если аномалия вызвана приложением или трафиком, который не должен был быть разрешен.

  4. Если история является ложноположительной, вы можете классифицировать её как безвредную/информационную и также добавить в правило Погашение Историй. Если история является результатом законного сканирования или теста на проникновение, рекомендуется добавить её в правило Погашение Историй на определённый временной период.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев