Это руководство описывает, как использовать Рабочий стол историй для расследования инцидентов на основе вредоносного поведения Адаптивной профилактики угроз.
Это руководство описывает систематический подход для инженеров SOC к исследованию потенциальных инцидентов безопасности, связанных с вредоносным поведением Адаптивной профилактики угроз. Эти индикаторы блокируют вредоносное поведение, связанное с ранними стадиями предполагаемого латерального перемещения или попытками эксфильтрации данных. Они сосредоточены на обнаружении и блокировке использования критических инструментов или техник, обычно применяемых злоумышленниками на втором этапе компрометации, таких как:
-
Удаленное исполнение инструментов (например, PsExec)
-
Неавторизованные инструменты загрузки (например, Rclone)
Используйте виджеты Детали в истории для сбора основной информации о потенциальной угрозе и первоначальной оценки необходимости дальнейшего расследования. Эта часть расследования приводит к пониманию предшествующих условий активности, которая привела к созданию истории. Просмотрите эти ключевые поля:
-
Вкладка Источник: Данные на уровне устройства, такие как IP, ОС, имя хоста и MAC-адрес.
-
Запись каталога IOA: Используйте заголовок и описание IOA для направления вашего расследования.
Этот этап фокусируется на понимании активности, которая привела к созданию истории, что было заблокировано и какие предшествующие условия требует эта активность IPS для блокировки вредоносного трафика.
-
Таблица целевых действий: Просмотрите связанные события, щелкнув на связанные события. Эти записи предоставляют более глубокое понимание природы заблокированного трафика, включая контекстные детали и ссылки на угрозы, которые могут помочь определить тип и намерения угрозы.
-
График распределения атак: Этот график помогает оценить природу обнаруженного трафика, следует ли он повторяющемуся шаблону (например, периодическое или подобное боту поведение) или является одноразовым событием. В контексте этих типов историй повторяющийся трафик наблюдается менее часто. Множественные случаи могут указывать на то, что активность была частью теста или учения, а не попыткой реальной атаки. Однако каждый случай необходимо тщательно расследовать, чтобы исключить любой злой умысел.
-
Хронология связанных событий: Поскольку истории на основе UEBA IPS запускаются только после выполнения конкретных предшествующих условий, понимание последовательности событий, приведших к блокировке, имеет важное значение.
-
Начните с фильтрации событий на основе временных рамок истории и вовлеченного IP пользователя/клиента. Затем добавьте Идентификатор подписи как видимый столбец и примените фильтры для типов событий IPS и Подозрительная активность. Это упрощает определение точных событий, которые способствовали запуску блока UEBA IPS.
-
Ключевые индикаторы, изложенные в описании IOA, помогают сосредоточить расследование на соответствующих паттернах активности. Когда события предшествующих условий идентифицированы, обратитесь к каталогу угроз, чтобы собрать больше контекста о вовлеченных техниках и лучше понять природу обнаруженной угрозы.
-
Этот шаг предоставляет важный контекст, раскрывая дополнительные обнаружения, связанные с тем же устройством или пользователем, которые могут выявить более широкую картину подозрительного поведения. Обязательно перекрёстно проверьте временные шкалы, вовлеченные IP и идентичности пользователей, чтобы обнаружить пересекающиеся индикаторы и потенциально связанные попытки взлома. Обзор связанных историй может помочь вам:
-
Определить другие активности, происходившие примерно в то же время на затронутом хосте, которые могли вызвать отдельные истории
-
Обнаружить аналогичные истории по всей организации, что помогает оценить, является ли это изолированным событием или частью более крупной, координированной попытки атаки
-
Оценить масштаб и постоянство угрозы путем идентификации повторяющихся техник или использования инструментов среди нескольких сущностей
Вот некоторые примеры соответствующих выводов:
-
Вредоносное ПО
-
Попытка эксплуатации
-
Латеральное перемещение
-
Запустите полное сканирование AV/EPP/EDR на затронутом хосте
-
Выполните сброс учетных данных для вовлеченных учётных записей, особенно если разведка была обширной
-
Если применимо, активно блокируйте инструменты или службы, отмеченные в обнаружении для затронутого хоста в межсетевых экранах Cato (LAN, WAN, Исходящий трафик и RPF) до полной нейтрализации
-
Если история является ложным положительным, вы можете классифицировать её как Доброкачественная/Информационная и также добавить её в правило Отключение историй. Если история является результатом законного сканирования или теста проникновения, рекомендуется добавить её в правило отключения историй на определённый временной диапазон.
0 комментариев
Статья закрыта для комментариев.