通过入侵防御系统 (IPS) 的可疑活动监控 (SAM)

本文说明如何使用可疑活动监控 (SAM) 功能与入侵防御系统 (IPS) 服务配合,以提高对网络潜在威胁的意识。

SAM服务概览

Cato 的 SAM 功能扩展了入侵防御系统 (IPS) 服务,提供对网络中未被标准 IPS 签名监控的可疑活动的可见性。 这种类型的流量代表了需要注意的网络行为,可能根据上下文指向一个安全问题或漏洞。 然而,由于该流量并非明确恶意,SAM 只监控而不阻止该流量。 SAM 提供的潜在威胁的更全面视图可以帮助您识别攻击的所有阶段,并更好地为检测和防御未来的类似攻击准备。

You can view and analyze suspicious activity data in the Threats Dashboard, MITRE ATT&CK® Dashboard, and XDR Stories Dashboard, and review SAM events in the Events page.

什么是SAM?

Cato 安全研究团队为看似可疑的异常行为模式创建特定签名。 SAM 服务检测与这些签名匹配的流量,并生成可以被安全运营中心 (SOC) 团队用来跟踪和调查威胁的事件和数据。 SAM 事件标记为可疑活动子类型,以区分恶意的 IPS 事件和可能合法的异常流量。

SAM 监控您帐户的所有 WAN、入站和出站流量,入侵防御系统 (IPS) 的保护范围设置不影响 SAM。

以下是生成 SAM 事件的场景示例:

  • 出站超文本传输协议 (HTTP) 流量泄露系统信息

  • 使用非标准超文本传输协议 (HTTP) 端口进行低受欢迎程度目的地的 HTTP 请求

  • 程序化 HTTP 客户端下载二进制或可执行文件

  • 通过 WAN 将可执行文件传输到敏感文件夹

理解SAM风险等级

SAM 功能将事件分类为不同的风险级别:高风险中等风险低风险。 Cato 根据多种因素的分析计算风险级别,例如:

  • 在 Cato Cloud 所有流量中的活动普遍性。 普遍性越低,活动越可能是恶意的。

  • 与活动相关的 MITRE ATT&CK® 技术

风险级别帮助您评估流量,并将分析重点放在最有可能成为攻击一部分的事件上。 此外,高风险 Sam 事件会自动生成 XDR 故事,可以在发现事件中进行调查。

前提条件

  • SAM 包含在 IPS 许可证中。 有关购买 IPS 许可证的更多信息,请联系您的 Cato 代表。

  • 必须启用 IPS 策略,才能启用 SAM。

注意

注意: 我们建议启用 TLS 检查,以便入侵防御系统 (IPS) 服务和 SAM 增强功能为您的网络提供最大保护。

了解SAM的使用案例

为了从 SAM 中获得最大利益,我们建议将 SAM 事件回顾纳入您的网络常规安全程序中。 例如,您可以在以下使用案例中实施对 SAM 事件的回顾:

  • 常规审查高风险 SAM 事件以检测和防止潜在攻击

  • 在确认攻击后分析 SAM 事件,以作为法证调查的一部分提供更广泛的背景

审查SAM的可疑活动

Cato 提供了一些方法来发现和调查由 SAM 检测到的可疑活动。 这些不同的资源可以结合使用,以获得全面的可见性并为您网络中的可疑活动构建上下文。 这些资源包括:

  • 事件仪表板 - SAM 事件在事件仪表板中用作 XDR 事件的基础。 审查工作台中的事件可以提醒您注意可能属于攻击的可疑活动。 For more about using the Stories Workbench, see Reviewing Detection & Response (XDR) Stories in the Stories Workbench.

    SAM_Stories_Dashboard.png

  • 威胁仪表板 - 通过将仪表板过滤以专注于 SAM 事件来检视 SAM 事件数据。 See below Viewing SAM Data in the Threats Dashboard

    SAM_Threat_Dashboard.png

  • MITRE ATT&CK 仪表板 - 您可以将仪表板设置为显示包括 SAM 时间在内的 IPS 监控事件的数据。 See below Analyzing SAM Data in the MITRE ATT&CK® Dashboard

    SAM_MITRE_Dashboard.png

  • Events page - Filter the page to show SAM events (subtype: Suspicious Activity). 当您选择可疑活动预设过滤器时,默认情况下页面仅显示高风险 SAM 事件。 您可以添加过滤器以专注于特定 SAM 事件,例如具有感兴趣的来源或目的地的事件。 For more about SAM events, see below Reviewing SAM Events.

威胁仪表板、MITRE ATT&CK仪表板和XDR发现事件允许您在事件页面深入查看详细信息。

使用SAM

本节解释如何配置SAM服务。

Suspicous_Activity_Tab.png

启用和禁用SAM

默认情况下,您的帐户已启用SAM。 IPS页面上的可疑活动标签页允许您更改此设置。

要为您的帐户启用或禁用SAM:

  1. 从导航菜单中,点击安全 > IPS

  2. 选择可疑活动标签页。

  3. 单击以启用或禁用该帐户的可疑活动监控

  4. 点击保存

在威胁仪表板中查看SAM数据

威胁仪表板页面让您分析网络中的可疑活动。 您可以在IPS部分设置小部件以显示可疑活动,然后过滤仪表板以显示特定SAM威胁类型以及相关主机和用户的数据。 您还可以在事件页面查看SAM事件,该页面已预过滤为威胁类型、主机和用户。

For more about how to filter the dashboard and view events from the Threats Dashboard widgets, see Using the Security Threats Dashboard.

要在威胁仪表板中查看可疑活动数据:

  1. 从导航菜单中,选择安全 > 安全威胁

  2. IPS部分的事件类型下拉菜单中,选择可疑活动

    小部件现在显示SAM数据。

在MITRE ATT&CK®仪表板中分析SAM数据

MITRE ATT&CK®仪表板帮助您通过MITRE ATT&CK®策略和技术框架分析可疑活动。 您可以设置仪表板以显示IPS监控事件的数据,包括SAM事件。 For more about using the MITRE ATT&CK® Dashboard, see Working with the MITRE ATT&CK® Dashboard.

白名单可疑活动流量

如果您想停止记录特定流量的事件,可以在IPS允许列表页面中将其列入允许列表。 要将可疑活动流量列入允许列表,请使用您要停止监控的流量的签名ID创建IPS允许列表规则。 您还可以通过单击事件页面上的事件的签名ID来将可疑流量列入允许列表。 For more information, see Allowlisting IPS Signatures.

审查SAM事件

您可以在主页 > 事件中查看安全事件,找出SAM检测到的不寻常行为和潜在威胁。 这些事件标有子类型可疑活动,可以让您将其与生成的IPS子类型的高风险事件区分开来。

您可以从选择预设下拉菜单中选择可疑活动预设过滤器以显示相关事件。 默认情况下,选择此预设后,页面将过滤以显示高风险的SAM事件。 要查看所有SAM事件,请删除风险等级是高风险过滤器。

The Suspicious Activity Sub-Type is limited to 2,500,000 events per hour. See Cato Cloud Thresholds and Limits.

这是对高风险SAM事件的分析示例:

SAM_Event_update.png

  • 威胁名称提供了一个基本解释,说明此事件中发生了什么 - 使用PsExec横向移动了一个可执行文件

  • Mitre Attack TacticsMitre Attack Subtechniques字段显示使用远程服务和通过SMB横向移动到ADMIN$共享文件夹的执行

  • 详细显示源和目标的字段帮助您找出相关的网络主机。 通过这些信息,您可以:

    • 确认事件的源主机是否具有使用PsExec所需的权限

    • 确认与该事件关联的终端用户是否可能执行检测到的操作

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论