XOps 安全操作手册 - 事件异常

本操作手册描述了如何使用问题工作台来调查由事件异常检测器检测到的异常行为相关问题。

有关使用问题工作台分析事件异常的更多信息,请参见分析使用与事件异常相关的 XOps UEBA 故事

概览

本操作手册概述了一种系统方法,供 SOC 工程师调查与异常行为相关的安全事件。 它提供了收集初步信息、分析网络流量和了解威胁性质的框架。

适用于引擎检测到流量异常激增(短时间内大量事件)或首次出现的行为(以前从未观测到的事件或应用程序)的情况。 这两种迹象均来自相同的行为分析模型;以下工作流程涵盖了它们,并指出可能需要收集额外的上下文。

寻找目标

事件异常故事可以帮助识别产生异常流量模式的威胁以及可能构成安全风险的网络配置错误。 以下是这些潜在威胁类型的示例:

与异常流量模式相关的威胁活动:

  • 数据窃取尝试

  • 网络内横向移动

  • 恶意感染尝试

可能带来安全风险的网络配置错误

  • 政策违规 - 例如:未经授权的访问尝试、意外的数据传输或绕过既定安全控制的连接

  • 开放端口和协议误用 - 与特定端口或协议相关的异常流量激增通常表明这些设置未符合最佳实践,可能表示错误配置

  • 网络分段失败 - 错误配置的网络分段可能允许未经授权的访问或在分段之间移动,这可以被检测为异常

步骤1 - 收集关于威胁的初步信息

使用故事中的详细信息小工具收集有关潜在威胁的基本信息,并初步评估是否需要进一步调查。 检查这些关键字段:

  • 描述 - 理解异常的类型(包括特定应用程序、引擎或行为),以及关注点是否在特定站点或用户上

  • 训练周期 - 显示引擎收集异常基线数据的时间长度。 较长的训练周期可能表明基线已经建立,而较短的周期可能表示数据有限

  • 来源标签 - 列出产生流量的站点或用户。 当范围是整个站点时,预计会涉及多个主机。

注意

提示:如果异常影响一个站点,识别单一来源主机可能会很困难,并且异常可能跨多个主机。

source.png

步骤2 - 分析异常事件的来源

异常分布

异常分布图可以帮助识别生成触发异常故事的事件的防火墙规则、IPS 签名或反恶意软件规则。 如果涉及多个规则,优先考虑导致事件激增的规则。

基于事件的异常故事可起源于任何 Cato 日志来源、Firewall、IPS、DNS 保护、CASB、DLP、应用程序安全性、NGAM 等,因此可能的攻击路径和您的调查方法应根据具体事件类型进行调整。

注意异常的确切时间戳。 这对于在调查的后续步骤中分析相关事件至关重要。

Scanner_Playbook_-_Anomaly_Distribution.png

步骤3 - 查看额外的小工具

查看这些小工具以获得更多上下文。 小工具会显示参与异常的顶级应用程序、服务器、主机和目标。 数据在通往异常故事的14天期间进行了汇总。

  • 顶级应用程序 - 显示事件计数最高的应用程序。

    Events_Anomaly_Playbook_-_Top_Apps.png

  • 顶级服务器/目标 - 显示访问最多的服务器或网络。

    Events_Anomaly_Playbook_-_Top_Servers.png

  • 顶级主机 - 显示生成流量的顶级源 IP 地址。

  • 目标 - 显示异常流量的目标。

注意

注意:这些小工具提供的只是一个总览,并不总是能显示异常的确切原因。 例如,小工具显示异常涉及 TOR 流量,但没有特定目标 IP。 这可能表明更广泛的 TOR 活动,而不仅仅是单一的恶意目标。

步骤4 - 分析相关的故事

此步骤通过识别与相同行为或观察到的主机/站点相关的附加检测提供有价值的上下文。 审查类似的故事可以帮助确定网络中其他主机是否触发了相同的检测,从而可能揭示影响环境的更广泛现象。

image-20250710-122158.png

步骤5 - 调查应用程序分析和事件

分析单个事件是调查中最关键的一步。 它让您能够深入了解异常,理解根本原因。

审查相关事件以关联与故事相关的数据。 寻找重复出现的元素,如特定的源 IP、域名和应用程序,以集中调查。 例如,如果异常是由 TOR 流量引起的,并且特定的源 IP 或域名显示出重复活动,进一步调查该实体。

以下是分析与事件异常故事相关事件的示例步骤。 有关过滤和使用事件页面的更多信息,请参见分析网络中的事件

  1. 通过在故事页面点击查看全部来显示预过滤的事件页面,以查看与故事相关的事件。

    Events_Anomaly_Playbook_-_View_All.png

  2. 在事件页面上,配置时间范围过滤器或使用鼠标选择清晰显示异常事件的时间范围。

    Events_Anomaly_Playbook_-_time_range.png

  3. 向事件页面添加相关字段。 这将提供一个更好的视角来查看参与异常的事件。 在下面的示例中,这些事件字段已添加到页面:签名 ID应用程序域名源 IP

    检查添加的字段并尝试识别异常原因。 在此示例中,添加的事件字段清楚地显示异常的原因是特定域。

    Events_Anomaly_Playbook_-_Add_Fields.png

  4. 检查添加的字段并尝试识别异常原因。 寻找重复出现的元素:

    • 重复的源 IP/用户

    • 跨多个事件的相同域或目标

    • 突然出现的不熟悉的应用程序或国家。

    将流量与组织流量进行比较:

    • 是否其他用户存在类似的流量模式?

    • 如果这是可疑行为的首次出现,那么它在组织中是否常见? 在组织内的其他主机中是否触发了此行为?

  5. 在此示例的下一步中,在基于小工具和事件识别出 Tor 网络是最常用的应用程序,并且有两个主要 IPS 威胁导致事件激增后,为特定的应用程序和威胁名称添加了过滤器。

    Events_Anomaly_Playbook_-_More_filters.png

    添加的过滤器显示此异常流量与一个特定的源 IP 地址相关。

  6. 现在可以采取进一步的调查步骤:

    1. 检查与此活动相关的设备名称或用户名。

    2. 调查目标以查看其是否与恶意活动有关。

    3. 检查其他用户在相同站点或网络中具有相同特征的流量以获取更广泛的上下文。

文件共享 vs SMB 异常

XOps 引擎将文件传输事件归为一类,但云文件共享应用程序(例如:Dropbox、SharePoint、S3)和基于 SMB 的文件访问显示不同的调查数据:

  • 云应用程序 – 事件仅显示应用程序和体积;对象级详细信息位于云平台本身

  • SMB 流量 – 事件包括详细的元数据,如文件名和路径,从而能够进行更深入的法医审查。

调查提示和用例

  • 在基于站点的异常中,可能存在没有特定主机或目标的情况,异常是全站的普遍现象。

  • 可能存在导致异常的应用程序不是生成异常事件的前五个应用程序之一的情况。

  • 有时异常基于威胁情报(声誉)IPS 事件。 在这种情况下,调查应更加注重目标,因此您应该使用以下操作手册:XOps 安全操作手册 - 可疑目标通信

  • 如果您不确定特定异常是否构成安全威胁,请尝试观察该流量在过去是否发生在相同站点或不同站点。 这可以帮助识别异常是否只是由新设备引起的。

调查结论

以下是事件异常故事的相关结论示例:

  • 异常流量

  • 阻止文件异常

  • 阻止 IPS 流量异常

  • 使用 {app name} 应用程序的窃取尝试

  • 恶意目标流量异常

推荐的行动

  1. 执行完整的终端保护扫描(包括反病毒、EPP、EDR等),并删除受感染机器上任何未知的程序和浏览器扩展。

    • 确保删除过程彻底,并识别和删除所有相关组件。

  2. 如果确定特定主机或用户是异常的来源,立即将其与网络隔离,以防止进一步的潜在损害或数据窃取。

  3. 如有必要,更新或创建更严格的安全策略规则,尤其是当异常由不应被允许的应用程序或流量引起时。

  4. 如果故事是误报,您可以将其分类为良性/信息性,并将其添加到静音故事规则中。 如果故事是合法扫描或渗透测试的结果,建议将其添加到静音故事规则,以供特定时间范围。

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论