Эта статья объясняет, как использовать функцию мониторинга подозрительной активности (SAM) с сервисом IPS для повышения осведомленности о потенциальных угрозах в вашей сети.
Функция SAM от Cato расширяет сервис IPS, предоставляя видимость подозрительных действий в вашей сети, которые не отслеживаются стандартными сигнатурами IPS. Этот тип трафика представляет действия, предпринятые в сети, которые требуют внимания и в зависимости от контекста могут указывать на компрометацию или утечку. Однако, поскольку трафик не является однозначно вредоносным, SAM только мониторит трафик, не блокируя его. Более широкий обзор потенциальных угроз, который предоставляет SAM, может помочь вам определить все стадии атаки и быть лучше подготовленным для обнаружения и защиты от будущих аналогичных векторов атак.
You can view and analyze suspicious activity data in the Threats Dashboard, MITRE ATT&CK® Dashboard, and XDR Stories Dashboard, and review SAM events in the Events page.
Команда по исследованию безопасности Cato создает специфические сигнатуры для необычных шаблонов поведения, которые выглядят подозрительно. Сервис SAM обнаруживает трафик, который соответствует этим сигнатурам, и сгенерировать события и данные, которые команды Центра операционного управления могут анализировать для отслеживать и исследовать угрозы. События SAM маркируются подтипом Подозрительная активность, чтобы отличать их от вредоносных событий IPS и, возможно, легитимного необычного трафика.
SAM мониторит весь WAN, входящий и исходящий трафик вашего аккаунта, настройки Области защиты IPS не влияют на SAM.
Это примеры сценариев, которые генерируют события SAM:
-
Исходящий HTTP-трафик, передающий системную информацию
-
HTTP-запросы с низкой популярностью к назначениям, использующие нестандартные HTTP-порты
-
Программный HTTP-клиент загружает бинарный или исполняемый файл
-
Передача исполняемого файла в чувствительную папку по WAN
Функция SAM классифицирует события на разные уровни риска: Высокий, Средний и Низкий. Cato рассчитывает уровень риска на основе анализа ряда факторов, например:
-
Распространенность активности во всем трафике через Cato Cloud. Чем ниже распространенность, тем более вероятно, что активность является вредоносной
-
Техники MITRE ATT&CK®, ассоциированные с активностью
Уровень риска помогает вам оценить трафик и сосредоточить свой анализ на событиях, наиболее вероятно являющимися частью атаки. Кроме того, события SAM с высоким риском автоматически создают историю XDR, которую можно исследовать в Рабочей области Историй.
-
SAM включен в лицензию IPS. Для получения дополнительной информации о покупке лицензии IPS, пожалуйста, свяжитесь с вашим представителем Cato.
-
Политика IPS должна быть включена до того, как вы сможете активировать SAM.
Примечание
Примечание: Рекомендуем включить инспекцию TLS, чтобы сервис IPS и расширение SAM обеспечили максимальную защиту вашей сети.
Чтобы получить максимальную выгоду от SAM, мы рекомендуем включить обзор событий SAM в регулярные процедуры безопасности вашей сети. Например, вы можете реализовать обзор событий SAM в следующих примерах использования:
-
Рутинный обзор событий SAM с высоким риском для выявления и предотвращения потенциальных атак
-
Анализ событий SAM после подтвержденной атаки, чтобы предоставить более широкий контекст как часть судебной экспертизы
Cato предоставляет множество способов для обнаружения и исследования подозрительной активности, обнаруженной SAM. Эти различные ресурсы можно использовать вместе для достижения полной видимости и построения контекста для подозрительной активности в вашей сети. Эти ресурсы включают:
-
Рабочая область Историй XDR - События SAM служат основой для XDR историй в Рабочей области Историй. Просмотр историй в рабочей области может предупредить вас о подозрительной активности, которая может быть частью атаки. For more about using the Stories Workbench, see Reviewing Detection & Response (XDR) Stories in the Stories Workbench.
-
Панель управления угрозами - Просмотр данных событий SAM посредством фильтрации панели для сосредоточения на событиях SAM. See below Viewing SAM Data in the Threats Dashboard
-
Панель MITRE ATT&CK - Вы можете настроить панель для отображения данных о событиях Мониторинга IPS, включая события SAM. See below Analyzing SAM Data in the MITRE ATT&CK® Dashboard
-
Events page - Filter the page to show SAM events (subtype: Suspicious Activity). Когда вы выбираете предустановленный фильтр Подозрительная активность, по умолчанию на странице отображаются только события SAM с высоким риском. Вы можете добавить фильтры, чтобы сосредоточиться на конкретных событиях SAM, таких как события с интересующим источником или пунктом назначения. For more about SAM events, see below Reviewing SAM Events.
Панель угроз, Панель MITRE ATT&CK и Рабочая область Историй позволяют вам углубляться и просматривать детали на странице Событий.
Этот раздел объясняет, как настроить сервис SAM.
По умолчанию SAM включен для вашей учетной записи. Вкладка Подозрительная активность на странице IPS позволяет изменить эту настройку.
Страница Панели угроз позволяет вам анализировать подозрительную активность в вашей сети. Вы можете настроить виджеты в разделе IPS для отображения подозрительной активности, а затем отфильтровать панель для отображения данных о конкретных типах угроз SAM, а также о соответствующих хостах и пользователях. Вы также можете просмотреть события SAM на странице Событий, предварительно отфильтрованных по типу угрозы, хосту и пользователю.
For more about how to filter the dashboard and view events from the Threats Dashboard widgets, see Using the Security Threats Dashboard.
Панель управления MITRE ATT&CK® помогает анализировать подозрительные активности, используя тактики и техники из фреймворка MITRE ATT&CK®. Вы можете настроить панель управления для отображения данных по событиям Мониторинга IPS, включая события SAM. For more about using the MITRE ATT&CK® Dashboard, see Working with the MITRE ATT&CK® Dashboard.
Если вы хотите прекратить запись событий для определенного трафика, вы можете внести этот трафик в Список разрешений IPS. Чтобы разрешить трафик подозрительной активности, создайте правило Списка разрешений IPS, используя ID подписи трафика, который вы хотите перестать отслеживать. Вы также можете разрешить подозрительный трафик, нажав на ID подписи события на странице "События". For more information, see Allowlisting IPS Signatures.
Вы можете просмотреть события Безопасности в Домашняя > События и найти необычное поведение и потенциальные угрозы, обнаруженные SAM. Эти события помечены подтипом Подозрительная активность, что позволяет отличать их от более рисковых событий, генерируемых подтипом IPS.
Вы можете выбрать предустановленный фильтр Подозрительная активность в раскрывающемся меню Выбрать пресет для отображения соответствующих событий. По умолчанию, при выборе этого пресета страница отфильтровывается для отображения событий SAM с высоким уровнем риска. Чтобы просмотреть все события SAM, удалите фильтр Уровень риска: Высокий.
The Suspicious Activity Sub-Type is limited to 2,500,000 events per hour. See Cato Cloud Thresholds and Limits.
Это пример анализа события SAM с высоким уровнем риска:
-
Название угрозы предоставляет основное объяснение произошедшего в этом событии - выполняемый файл был перемещен латерально с использованием PsExec
-
Поля Тактики атак Mitre и Подтехники атак Mitre показывают выполнение с использованием удаленного сервиса и латеральное перемещение по SMB к общей папке ADMIN$
-
Поля, детализирующие источник и назначение, помогают точно определить сетевые хосты, участвующие в данном событии. С этой информацией вы можете:
-
Подтвердить, что исходный хост события имеет необходимые привилегии для использования PsExec
-
Подтвердить, что конечный пользователь, связанный с событием, скорее всего выполнит обнаруженные действия
-
0 комментариев
Войдите в службу, чтобы оставить комментарий.