XOps 安全性操作手册 - 可疑目标通信

本操作手册描述了如何使用XDR 发现事件工作台调查与可疑目标通信相关的事件。

概览

本操作手册概述了 SOC 工程师调查与可疑目标通信相关的潜在安全事件的系统方法。 它提供了一个收集初始信息、分析网络流量并得出关于威胁性质的结论的框架。

收集有关威胁的初始信息

使用事件中的详细信息部件来收集潜在威胁的基本信息。 查看事件的描述和其他数据,以决定是否需要进一步调查。 此外,相似事件部分显示其他具有相似指标和可观测的事件。

gathering-info.png

使用来源部件查看受此可疑流量影响的设备数据。

source.png

您还可以使用指示目录获取更多信息(例如指示 ID),并根据查询集中调查。

分析网络流量

攻击分布

攻击分布图可以帮助理解流量的性质、周期性攻击类似的机器人行为、一次性事件或其他特征。

attack_distribution.png

目标

目标部分让您检查已识别的目标,以深入了解其潜在意图以及目标是否具有恶意的可能性:

  • 评估 Cato 的恶意评分

  • 检查 Cato 的受欢迎程度

  • 考虑关联的 Cato 类别

  • 查看与目标链接的威胁情报源的数量

使用目标链接搜索外部来源

此时,您应该已经掌握了故事中捕获的活动,目标链接帮助您在信誉良好的来源上进行外部搜索,以获取历史背景和恶意行为的迹象。 关联此数据以识别与其他实体的联系以及可能与已有的威胁行为者、攻击活动或技术的联系。

目标操作

目标操作部分可用于验证安全引擎是否对识别的流量采取了响应措施。

target_actions.png

  1. 使用相关事件打开事件页面并查看每个目标的相应事件。

  2. 在事件数据中,查找有关特定 IPS 事件的更多细节,并收集有关 IPS 签名性质、客户端分类、威胁类型等的信息。

攻击相关流

使用攻击相关流部分检查与事件相关的未处理数据流。

  1. 评估流量分布以识别模式和体积波动。

  2. 分析这些流量的补充数据点,包括 URL、用户代理、文件名和其他相关属性,并将其与先前调查步骤的发现进行比较以揭示潜在关联。

调查结论

对于专注于目标的调查,以下是一些威胁类型的示例,体现了故事中的可疑通信:

  • 广告软件

  • 恶意软件

  • 浏览器扩展

  • PuP(潜在不需要程序)

  • 不安全的网络活动(可疑)

  • 策略违反(可疑)

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论