В умовах постійно зростаючої кількості кіберзагроз, ефективне виявлення та реагування на інциденти стає критично важливим завданням для будь-якої організації. New-Scale SIEM та Fusion надають аналітикам SOC потужні інструменти для оперативного виявлення, розслідування та усунення загроз.
Отримання та первинний розгляд сповіщення
Після входу в систему, перше, що бачить аналітик – це консоль з актуальними сповіщеннями. Ці сповіщення генеруються на основі різних джерел даних, таких як логи, мережевий трафік та дані про активність користувачів. Важливо розуміти, як інтерпретувати цю інформацію для пріоритезації зусиль.
Приклад інтерфейсу New-Scale SIEM зі сповіщенням
Аналіз параметрів сповіщення
Кожне сповіщення містить ряд ключових параметрів, які допомагають аналітику зрозуміти контекст та потенційний вплив інциденту. До них відносяться:
- Серйозність: Визначає рівень загрози (наприклад, критичний, високий, середній, низький).
- Тип: Описує характер атаки (наприклад, фішинг, malware, brute-force).
- Задіяні активи: Вказує на системи, пристрої або дані, які можуть бути скомпрометовані.
- Користувачі: Визначає облікові записи, які могли бути залучені до інциденту.
Аналітик повинен негайно оцінити терміновість та потенційний вплив інциденту, ґрунтуючись на цих параметрах. Наприклад, критичне сповіщення про фішинг, націлений на облікові записи адміністраторів, вимагає негайного реагування.
Поглиблене розслідування з використанням New-Scale SIEM та Fusion
Після первинної оцінки сповіщення, наступним кроком є поглиблене розслідування. New-Scale SIEM та Fusion надають потужні інструменти для візуалізації та аналізу даних, що дозволяють аналітикам відстежувати ланцюжок подій та виявляти корінну причину інциденту.
Тимчасова шкала подій у New-Scale SIEM
Використання тимчасової шкали подій
Тимчасова шкала подій дозволяє візуалізувати активність, пов’язану з інцидентом, у хронологічному порядку. Це допомагає аналітикам зрозуміти послідовність дій, вжитих зловмисником, та виявити аномалії.
Приклади запитів для отримання додаткової інформації
Для отримання додаткової інформації про актив, користувача або тип активності можна використовувати запити. Ось декілька прикладів:
- Пошук всіх подій, пов’язаних з конкретним користувачем: user.username == “john.doe”
- Пошук всіх спроб входу в систему на конкретному хості: event.category == “authentication” AND host.hostname == “server1”
- Пошук всіх подій, пов’язаних з конкретною IP-адресою: source.ip == “192.168.1.100” OR destination.ip == “192.168.1.100”
Ці запити можуть бути адаптовані для конкретних сценаріїв та потреб аналітика.
Аналіз поведінки для виявлення аномалій
Аналіз поведінки дозволяє виявляти аномалії та відхилення від нормальної активності. New-Scale SIEM та Fusion використовують машинне навчання для створення базових профілів поведінки користувачів та активів, і автоматично генерують сповіщення про аномалії.
Наприклад, система може виявити, що користувач, який зазвичай працює з 9:00 до 18:00, раптово починає активно працювати о 3:00 ночі. Це може вказувати на компрометацію облікового запису.
Автоматизоване розслідування
New-Scale SIEM та Fusion пропонують функціонал автоматичного розслідування, який дозволяє системі автоматично збирати та аналізувати дані, пов’язані з інцидентом. Це значно прискорює процес розслідування та дозволяє аналітикам зосередитися на найбільш важливих аспектах.
Відстеження ланцюжка вбивства (kill chain)
New-Scale SIEM та Fusion дозволяють відстежувати ланцюжок вбивства, тобто послідовність дій, вжитих зловмисником для досягнення своєї мети. Це допомагає аналітикам зрозуміти тактику, техніку та процедури (TTP) зловмисника та запобігти подальшим атакам.
Візуалізація зв’язків між подіями та сутностями
Візуалізація зв’язків між подіями та сутностями дозволяє аналітикам побачити повну картину інциденту та виявити приховані зв’язки. New-Scale SIEM та Fusion надають інструменти для створення графів зв’язків, які відображають взаємозв’язки між користувачами, активами, подіями та іншими сутностями.
Реагування на інцидент та усунення загрози
Після завершення розслідування, наступним кроком є реагування на інцидент та усунення загрози. New-Scale SIEM та Fusion надають можливості для автоматизації реагування на інциденти (TDIR), що дозволяють аналітикам швидко та ефективно нейтралізувати загрози.
Інтерфейс управління інцидентами в New-Scale SIEM
Приклади дій з реагування
На основі зібраної інформації, аналітик може вжити наступні дії з реагування:
- Блокування користувача: Запобігає подальшому доступу зловмисника до системи.
- Ізоляція хоста: Відключає скомпрометований хост від мережі, щоб запобігти поширенню загрози.
- Зміна пароля: Запобігає використанню скомпрометованого пароля.
- Запуск сканування на віруси: Виявляє та видаляє шкідливе ПЗ.
Автоматизація реагування на інциденти (TDIR)
New-Scale SIEM та Fusion дозволяють автоматизувати багато з цих дій, що значно скорочує час реагування та підвищує ефективність. Наприклад, система може автоматично блокувати користувача, якщо виявить декілька невдалих спроб входу в систему з різних IP-адрес.
Підтвердження усунення загрози
Після виконання дій з реагування, аналітик повинен переконатися, що загроза усунена і що система знаходиться в безпечному стані. Це може включати в себе перевірку журналів, сканування на віруси та тестування системи на вразливості.
Завершення розслідування
Після підтвердження усунення загрози, аналітик повинен зафіксувати завершення розслідування в системі. Це включає в себе документування всіх дій, вжитих в ході розслідування, а також висновки та рекомендації щодо запобігання повторенню інциденту.
Мінімізація хибних спрацювань
Хибні спрацювання можуть значно знизити ефективність SOC, відволікаючи аналітиків від реальних загроз. New-Scale SIEM та Fusion надають інструменти для мінімізації хибних спрацювань, такі як правила кореляції та навчання моделі поведінки.
Налаштування правил кореляції та порогів
Правила кореляції дозволяють об’єднувати декілька подій в одне сповіщення, що зменшує кількість хибних спрацювань. Пороги дозволяють фільтрувати сповіщення на основі їх серйозності або частоти.
Наприклад, можна налаштувати правило кореляції, яке буде генерувати сповіщення тільки в тому випадку, якщо користувач зробить декілька невдалих спроб входу в систему протягом короткого періоду часу.
Навчання моделі поведінки
Навчання моделі поведінки дозволяє системі вивчати нормальну поведінку користувачів та активів, і автоматично фільтрувати сповіщення, які не відповідають цій поведінці. Це значно зменшує кількість хибних спрацювань і дозволяє аналітикам зосередитися на найбільш підозрілій активності.
Висновок
New-Scale SIEM та Fusion надають SOC-аналітикам потужні інструменти для оперативного та ефективного розслідування інцидентів. Це покрокове керівництво є відправною точкою і може бути адаптоване під конкретні сценарії та потреби вашої організації.
Щоб дізнатися більше про те, як New-Scale SIEM та Fusion можуть допомогти вашій організації захиститися від кіберзагроз, зв’яжіться з нами для отримання демо-версії або консультації.
Часті запитання на тему Розслідування інцидентів за допомогою New-Scale SIEM та Fusion
Що таке New-Scale SIEM та Fusion і яку роль вони відіграють у кібербезпеці?
New-Scale SIEM та Fusion - це потужні інструменти, призначені для оперативного виявлення, розслідування та усунення кіберзагроз. Вони надають аналітикам SOC необхідні можливості для ефективного реагування на інциденти та захисту організації.
Як аналітик отримує та розглядає сповіщення в New-Scale SIEM?
Після входу в систему аналітик бачить консоль з актуальними сповіщеннями, які генеруються на основі різних джерел даних. Важливо правильно інтерпретувати цю інформацію для пріоритизації зусиль при розслідуванні інцидентів.
Які ключові параметри містить сповіщення про інцидент і як їх оцінювати?
Сповіщення про інцидент містить інформацію про серйозність, тип атаки, зачеплені активи та користувачів. Аналітик повинен оцінити терміновість та потенційну шкоду на основі цих параметрів для визначення пріоритетів.
Як використовувати часову шкалу подій при розслідуванні інцидентів?
Часова шкала подій дозволяє візуалізувати активність, пов'язану з інцидентом, в хронологічному порядку. Це допомагає зрозуміти послідовність дій зловмисника та виявити аномалії.
Які типи запитів можна використовувати для отримання додаткової інформації про інцидент?
Можна використовувати запити для пошуку подій, пов'язаних з конкретним користувачем, хостом або IP-адресою. Приклади запитів: user.username == "john.doe", event.category == "authentication" AND host.hostname == "server1", source.ip == "192.168.1.100" OR destination.ip == "192.168.1.100".
Як аналіз поведінки допомагає виявляти аномалії в New-Scale SIEM та Fusion?
Аналіз поведінки дозволяє виявляти відхилення від нормальної активності. Система використовує машинне навчання для створення базових профілів поведінки користувачів та активів, і генерує сповіщення про аномалії, наприклад, про несподівану активність користувача в нічний час.
Які дії можна вжити для реагування на інцидент та усунення загрози?
Дії з реагування включають блокування користувача, ізоляцію хоста, зміну пароля та запуск сканування на віруси. New-Scale SIEM та Fusion дозволяють автоматизувати багато з цих дій.
Як мінімізувати помилкові спрацювання в New-Scale SIEM та Fusion?
Для мінімізації помилкових спрацювань використовуються правила кореляції, які об'єднують декілька подій в одне сповіщення, та навчання моделі поведінки, яке дозволяє системі вивчати нормальну поведінку користувачів та активів.
