本操作手册描述了如何使用故事工作台去调查基于自适应威胁防御的恶意行为。
本操作手册为 SOC 工程师提供了调查与自适应威胁防御恶意行为相关的潜在安全事件的系统方法。 这些指标阻止与可疑横向移动或数据外泄尝试早期阶段相关的恶意行为。 它们专注于检测和阻止攻击者在妥协第二阶段中通常使用的重要工具或技术,例如:
-
远程工具执行(例如,PsExec)
-
未经授权的下载工具(例如,Rclone)
在故事中使用详细信息小工具收集有关潜在威胁的基本信息,并初步评估是否需要进一步调查。 调查的这一部分有助于了解触发活动的前提条件,这导致了故事的创建。 查看这些关键字段:
-
来源标签页:设备级别的数据,如 IP、操作系统、主机名和 MAC 地址。
-
IOA 目录条目:使用 IOA 标题和描述指导调查。
此阶段专注于了解触发故事创建的活动、被阻止的内容以及此 IPS 活动为了阻止恶意流量所需的前提条件。
-
目标动作表:通过单击相关事件审查相关事件。 这些条目提供关于被阻止流量性质的更深入见解,包括上下文细节和威胁参考,可帮助识别威胁的类型和意图。
-
攻击分布图:该图有助于评估检测事件的性质,是否符合重复模式(例如,周期性或类 bot 行为)或是一次性事件。 在这些类型的故事背景中,反复出现的流量较少见。 多次发生可能表明该活动是测试或演习的一部分,而不是实际攻击尝试。 然而,必须彻底调查每一个案例,以排除任何恶意意图。
-
相关事件时间线:由于基于 UEBA IPS 的故事仅在满足特定前提条件后触发,了解导致阻止的事件顺序至关重要。
-
首先基于故事的时间框架和所涉及的用户/客户端 IP 过滤事件。 接下来,添加签名 ID 作为可见列并应用 IPS 和可疑活动事件类型的过滤器。 这使得更容易准确定位促成 UEBA IPS 阻止的确切事件。
-
IOA 描述中概述的关键指标有助于将调查重点放在相关活动模式上。 一旦识别出前提条件事件,参考威胁目录以收集有关所涉及技术的更多背景信息并更好地理解检测到的威胁的性质。
-
此步骤通过揭示与相同设备或用户相关的附加检测,提供有价值的上下文,有助于揭示更广泛的可疑行为模式。 务必交叉参考时间线、涉及的 IP 和用户身份,以发现重叠的指标和可能关联的入侵尝试。 审查相关故事可以帮助您:
-
识别在受影响主机上发生在相同时间附近的其他活动,这些活动可能触发了单独的故事
-
检测组织中的类似故事,有助于评估这是孤立事件还是更大、协调攻击尝试的一部分
-
通过识别多个实体的重复技术或工具使用情况,评估威胁的范围和持久性
-
在受影响的主机上运行完整的 AV/EPP/EDR 扫描
-
对涉及的用户账户执行凭据重置,尤其是在侦察范围广泛的情况下
-
如果适用,在 Cato 防火墙(LAN、WAN、出站和 RPF)中主动阻止检测到的工具或服务,直到完全修复
-
如果故事是误报,您可以将其分类为良性/信息性,并将其加入静音故事规则中。 如果故事源自合法扫描或渗透测试,建议将其添加到特定时间范围内的静音故事规则中。
0 条评论
文章评论已关闭。