Threat Hunting с New-Scale Fusion: Руководство для SOC-аналитиков
В умовах зростаючої складності кіберзагроз, Threat Hunting стає критично важливим для виявлення та нейтралізації атак, які обходять традиційні системи безпеки. New-Scale Fusion надає потужні інструменти для виявлення аномалій, кореляції даних та автоматизації процесів полювання на загрози, дозволяючи SOC-аналітикам ефективно протистояти сучасним кіберзагрозам.

Підготовка до Threat Hunting з New-Scale Fusion

Ефективний Threat Hunting неможливий без належної підготовки. Цей етап включає збір та інтеграцію необхідних даних, конфігурацію платформи та визначення пріоритетів для полювання.

Необхідні дані та інтеграції

Для успішного Threat Hunting в New-Scale Fusion необхідно забезпечити надходження наступних типів даних:
  • Логи: Системні, програми, логи безпеки (брандмауери, IDS/IPS, антивіруси і т.д.).
  • Мережевий трафік: Дані про мережеві з'єднання, протоколи, обсяги трафіку між системами. Аналіз мережевого трафіку дозволяє виявляти підозрілі комунікації та аномальну активність.
  • Кінцеві точки: Інформація про процеси, запущені на кінцевих точках, встановлене програмне забезпечення, зміни у файловій системі та реєстрі.
  • Кіберрозвідка (Threat Intelligence): Дані про відомі загрози, індикатори компрометації (IOC), шкідливі IP-адреси та домени.
Інтеграція з різними джерелами даних є ключовим аспектом. New-Scale Fusion підтримує інтеграцію з широким спектром рішень безпеки та IT-інфраструктури. Забезпечте правильне налаштування інтеграцій та перевірте коректність даних, що надходять.

Конфігурація платформи для Threat Hunting

Для оптимальної роботи з даними Threat Hunting в New-Scale Fusion необхідно виконати наступні кроки:
  • Правила кореляції: Налаштуйте правила кореляції для виявлення взаємозв'язків між подіями з різних джерел даних. Це дозволяє виявляти складні атаки, що складаються з декількох етапів.
  • Нормалізація даних: Забезпечте нормалізацію даних для спрощення аналізу та пошуку. Нормалізація приводить дані з різних джерел до єдиного формату, що полегшує створення запитів та правил кореляції.
  • Налаштування сповіщень: Створіть сповіщення для автоматичного повідомлення про підозрілу активність. Сповіщення повинні бути досить точними, щоб уникнути хибних спрацювань.
Важливо регулярно переглядати та оновлювати конфігурацію платформи, щоб адаптуватися до загроз, що змінюються, та нових джерел даних.

Визначення пріоритетів для Threat Hunting

Визначте, які активи та сценарії атак найбільш важливі для вашої організації. Враховуйте наступні фактори:
  • Критичні активи: Визначте системи та дані, які є найбільш важливими для бізнесу.
  • Найбільш вірогідні загрози: Оцініть ризики, пов'язані з різними типами атак, та визначте найбільш вірогідні сценарії.
  • Регуляторні вимоги: Враховуйте вимоги регуляторів та стандартів безпеки.
Визначення пріоритетів дозволить вам зосередитися на найбільш важливих областях та ефективно використовувати ресурси Threat Hunting.

Методології Threat Hunting з New-Scale Fusion

Існують різні методології Threat Hunting. New-Scale Fusion надає інструменти та можливості для підтримки будь-якого з них, але найбільш поширеними є Hypothesis-Driven Hunting, Data-Driven Hunting та Intelligence-Driven Hunting.

Hypothesis-Driven Hunting

Hypothesis-Driven Hunting - це метод, заснований на формулюванні гіпотез про можливі атаки та подальшій перевірці цих гіпотез шляхом аналізу даних. Проактивний пошук загроз починається з припущення про те, як зловмисник може діяти у вашій мережі. Приклади гіпотез:
  • "Припустимо, що зловмисник намагається встановити сталість в системі через додавання служб Windows."
  • "Припустимо, що зловмисник використовує PowerShell для завантаження та виконання шкідливого коду."
  • "Припустимо, що зловмисник здійснює латеральне переміщення, використовуючи скомпрометовані облікові дані."
Ці гіпотези часто пов'язані з Tactics, Techniques, and Procedures (TTP) з фреймворку MITRE ATT&CK.

Приклад перевірки гіпотези

Розглянемо гіпотезу: "Припустимо, що зловмисник намагається встановити сталість в системі через додавання служб Windows." Для перевірки цієї гіпотези в New-Scale Fusion можна використовувати наступний запит (приклад синтаксису може відрізнятися в залежності від використовуваних джерел даних та конфігурації платформи): event_type=windows_event AND event_id=4697 AND process_name!="services.exe" | table timestamp, user, host, service_name, process_name, image_path Цей запит шукає події створення служб Windows (event_id=4697), де процес-батько не є "services.exe" (звичайний процес для створення служб). Незвичайний процес-батько може вказувати на спробу зловмисника встановити сталість в системі. Результати запиту необхідно проаналізувати, щоб визначити, які сервіси були створені, яким користувачем та з якого хоста. Слід звернути особливу увагу на сервіси з незвичайними іменами або шляхами до виконуваних файлів. Також корисно зіставити ці події з іншими даними, такими як мережевий трафік та логи аутентифікації, щоб отримати більш повну картину.

Data-Driven Hunting

Data-Driven Hunting ґрунтується на аналізі даних для виявлення аномалій та відхилень від нормальної поведінки. Виявлення прихованих атак вимагає глибокого розуміння нормальної активності у вашій мережі. New-Scale Fusion надає можливості поведінкового аналізу для виявлення аномалій. Платформа автоматично вивчає поведінку користувачів, систем та мережевих пристроїв, створюючи базові профілі нормальної активності.

Приклад виявлення аномалій

Розглянемо приклад: Виявлення незвично великої кількості невдалих спроб входу в систему для конкретного облікового запису або IP-адреси. Це може свідчити про спробу підбору пароля (brute-force attack). Для пошуку таких подій в New-Scale Fusion можна використовувати наступний запит: event_type=authentication AND status=failure | stats count by user, src_ip | where count > 100 | table user, src_ip, count Цей запит шукає події аутентифікації з невдалим статусом. Потім він групує події за користувачем та IP-адресою та підраховує кількість невдалих спроб. Якщо кількість невдалих спроб перевищує задане значення (в даному випадку 100), результати відображаються в таблиці. Важливо розуміти, що не всі аномалії є зловмисними. Необхідно ретельно розслідувати кожну аномалію, щоб визначити її причину та потенційну загрозу. Threat Hunting з New-Scale Fusion: Руководство для SOC-аналитиков

Intelligence-Driven Hunting

Intelligence-Driven Hunting використовує дані кіберрозвідки (Threat Intelligence) для пошуку відомих загроз у вашій мережі. Ці дані можуть включати індикатори компрометації (IOC), інформацію про шкідливі кампанії та TTP. New-Scale Fusion дозволяє інтегрувати дані кіберрозвідки з різних джерел, таких як:
  • Комерційні фіди Threat Intelligence
  • Відкриті джерела Threat Intelligence (наприклад, VirusTotal, AlienVault OTX)
  • Внутрішні дані про інциденти безпеки

Приклад використання даних кіберрозвідки

Розглянемо приклад: Пошук індикаторів компрометації (IOC) з отриманих фідів кіберрозвідки в даних New-Scale Fusion. Припустимо, що ви отримали фід кіберрозвідки, що містить список шкідливих IP-адрес. Ви можете створити правило в New-Scale Fusion, яке буде сповіщати про будь-які спроби підключення до цих IP-адрес. Приклад правила: event_type=network_traffic AND dest_ip IN ( "1.2.3.4", "5.6.7.8", "9.10.11.12" ) | alert "Виявлено підключення до відомої шкідливої IP-адреси" Це правило шукає події мережевого трафіку, де IP-адреса призначення збігається з однією з IP-адрес, вказаних у фіді кіберрозвідки. Якщо така подія виявлена, генерується сповіщення. Важливо регулярно оновлювати дані кіберрозвідки, щоб забезпечити актуальність правил та сповіщень. Також корисно зіставляти дані кіберрозвідки з іншими даними, такими як логи аутентифікації та журнали кінцевих точок, щоб отримати більш повну картину.

Приклади сценаріїв Threat Hunting з New-Scale Fusion

Розглянемо декілька конкретних сценаріїв Threat Hunting, які можна реалізувати за допомогою New-Scale Fusion.

Сценарій 1: Пошук латерального переміщення (Lateral Movement)

Латеральне переміщення - це техніка, що використовується зловмисниками для переміщення між системами всередині мережі після початкової компрометації. Мета латерального переміщення - отримати доступ до критичних активів та даних. Ознаки латерального переміщення:
  • Аномалії аутентифікації: Незвичайні облікові записи, що використовуються для входу в систему, вхід в систему з незвичайних IP-адрес або в незвичайний час.
  • Підозрілий мережевий трафік: Незвичайні мережеві з'єднання між системами, використання протоколів, які зазвичай не використовуються для міжсистемної комунікації.
  • Запуск незвичайних процесів: Запуск процесів на хостах, де ці процеси зазвичай не запускаються, або запуск процесів з незвичайними параметрами командного рядка.
Кроки з пошуку латерального переміщення з використанням New-Scale Fusion:
  1. Аналіз аутентифікації: Шукайте аномалії в логах аутентифікації. Наприклад, можна використовувати наступний запит: event_type=authentication AND ( user!="domainadministrator" AND user!="SYSTEM" ) | stats count by user, dest_host | where count > 5 | table user, dest_host, count Цей запит шукає користувачів, які увійшли в систему на декількох різних хостах.
  2. Аналіз мережевого трафіку: Шукайте незвичайні мережеві з'єднання між системами. Наприклад, можна використовувати наступний запит: event_type=network_traffic AND bytes > 1000000 AND dest_port IN (135, 445) | stats sum(bytes) by src_host, dest_host, dest_port | table src_host, dest_host, dest_port, sum Цей запит шукає мережевий трафік з великим обсягом даних, що передаються на порти, які часто використовуються для латерального переміщення (135 та 445).
  3. Пошук незвичайних процесів: Шукайте процеси, запущені на різних системах. Наприклад, можна використовувати наступний запит: event_type=process_creation AND ( process_name="psexec.exe" OR process_name="wmiprvse.exe" ) | table timestamp, user, host, process_name, command_line Цей запит шукає запуск процесів, які часто використовуються для латерального переміщення (psexec.exe та wmiprvse.exe).

Сценарій 2: Виявлення атак на ланцюжок поставок (Supply Chain Attacks)

Атаки на ланцюжок поставок - це атаки, націлені на компрометацію програмного забезпечення або обладнання, що використовується вашою організацією. Зловмисники можуть вбудувати шкідливий код в легітимне програмне забезпечення або обладнання, яке потім поширюється серед користувачів. Ознаки атаки на ланцюжок поставок:
  • Запуск нових процесів: Після встановлення оновлення програмного забезпечення запускаються нові, неочікувані процеси.
  • Мережеві підключення до незвичайних доменів: Програмне забезпечення встановлює мережеві з'єднання з доменами, які раніше не використовувалися.
  • Зміни в конфігурації системи: Оновлення програмного забезпечення змінює конфігурацію системи, додаючи нові служби або змінюючи існуючі налаштування.
Кроки з пошуку ознак атаки на ланцюжок поставок з використанням New-Scale Fusion:
  1. Моніторинг нових процесів: Шукайте нові процеси, запущені після встановлення оновлення програмного забезпечення. Наприклад, можна використовувати наступний запит: event_type=process_creation AND timestamp > last_software_update_time | table timestamp, user, host, process_name, command_line Цей запит шукає всі процеси, запущені після останнього оновлення програмного забезпечення.
  2. Аналіз мережевих підключень: Шукайте мережеві підключення до незвичайних доменів. Наприклад, можна використовувати наступний запит: event_type=network_traffic AND dest_domain NOT IN (known_domains) | table timestamp, src_host, dest_domain, dest_port Цей запит шукає мережеві підключення до доменів, які не входять до списку відомих та довірених доменів.
  3. Аналіз змін в конфігурації системи: Шукайте зміни в конфігурації системи, такі як додавання нових служб або зміна існуючих налаштувань. Наприклад, для Windows можна шукати події з event_id = 4702 (A scheduled task was updated).

Сценарій 3: Виявлення компрометації облікових записів (Account Compromise)

Компрометація облікових записів - це використання скомпрометованих облікових даних для несанкціонованого доступу до систем та даних. Зловмисники можуть отримати доступ до облікових даних шляхом фішингу, підбору пароля або використання вразливостей в програмному забезпеченні. Ознаки компрометації облікового запису:
  • Незвичайний час входу: Обліковий запис використовується для входу в систему в незвичайний час, наприклад, вночі або у вихідні дні.
  • Незвичайна географія входу: Обліковий запис використовується для входу в систему з незвичайного географічного розташування.
  • Використання незвичайних пристроїв або програм: Обліковий запис використовується для входу в систему з пристроїв або програм, які зазвичай не використовуються.
Кроки з пошуку ознак компрометації облікових записів з використанням New-Scale Fusion:
  1. Аналіз часу входу: Шукайте unusual час входу в систему. Наприклад, можна використовувати наступний запит: event_type=authentication AND ( hour < 8 OR hour > 18 ) AND weekday IN ("Saturday", "Sunday") | table timestamp, user, host, src_ip Цей запит шукає входи в систему в неробочий час (до 8 ранку та після 6 вечора) та у вихідні дні.
  2. Аналіз географії входу: Шукайте входи в систему з unusual географічного розташування. Для цього необхідно підключити enrichment з гео-даними. Наприклад: event_type=authentication | geoip src_ip | where country != user_home_country | table timestamp, user, host, src_ip, country Цей запит вимагає наявності даних про домашню країну користувача.
  3. Аналіз використаних пристроїв та програм: Шукайте використання unusual пристроїв та програм. Для цього необхідно збирати інформацію про user agent. event_type=authentication | stats count by user, user_agent | where count < 2 | table timestamp, user, host, src_ip, user_agent Цей запит покаже облікові записи, що використовують рідкісні user agent'и.

Інструменти та запити для Threat Hunting в New-Scale Fusion

New-Scale Fusion надає широкий спектр інструментів та можливостей для Threat Hunting, включаючи пошук, фільтрацію, кореляцію та візуалізацію даних. Приклади часто використовуваних запитів:
  • Пошук подій за ключовим словом: event_type=* AND keyword="malware" | table timestamp, event_type, host, message
  • Фільтрація подій за типом та джерелом: event_type=windows_event AND source="Security" | table timestamp, event_id, user, host, message
  • Кореляція подій з різних джерел: event_type=authentication AND status=failure | correlate event_type=firewall AND action=deny ip=src_ip | table timestamp, user, src_ip, dest_ip, dest_port
Рекомендації щодо оптимізації запитів:
  • Використовуйте конкретні фільтри: Чим більш конкретний запит, тим швидше він буде виконуватися і тим менше буде хибних спрацювань.
  • Використовуйте індексовані поля: Запити, що використовують індексовані поля, виконуються швидше.
  • Обмежуйте часовий інтервал: Обмежте часовий інтервал запиту до необхідного мінімуму.

Документування та реагування на результати Threat Hunting

Важливо документувати процес Threat Hunting та отримані результати. Це дозволяє відстежувати прогрес, обмінюватися знаннями та покращувати методики Threat Hunting. Рекомендації щодо документування:
  • Описуйте мету Threat Hunting та гіпотези.
  • Перелічуйте використовувані джерела даних та запити.
  • Описуйте результати аналізу та висновки.
  • Вказуйте вжиті заходи та рекомендації.
Інтегруйте Threat Hunting з процесами реагування на інциденти (Incident Response). Якщо в результаті Threat Hunting виявлено загрозу, необхідно вжити заходів щодо її нейтралізації та запобігання повторним атакам. Створіть playbook'и для автоматизації реагування на виявлені загрози. Playbook'и описують кроки, які необхідно виконати для нейтралізації загрози, і можуть бути автоматизовані за допомогою New-Scale Fusion.

Висновок

Threat Hunting - це важлива складова сучасної стратегії кібербезпеки. New-Scale Fusion надає потужні інструменти та можливості для проактивного пошуку загроз, виявлення аномалій та реагування на інциденти. Регулярно вдосконалюйте свої навички Threat Hunting та адаптуйте методики до загроз, що змінюються.

Часті запитання на тему Threat Hunting з New-Scale Fusion

Що таке Threat Hunting і чому це важливо?

Threat Hunting - це проактивний пошук загроз в мережі організації, які могли обійти традиційні системи безпеки. Це важливо, оскільки дозволяє виявити та нейтралізувати приховані атаки до того, як вони завдадуть значної шкоди.

Які типи даних необхідні для ефективного Threat Hunting в New-Scale Fusion?

Для ефективного Threat Hunting необхідні логи систем та додатків, дані про мережевий трафік, інформація про процеси, запущені на кінцевих точках, та дані кіберрозвідки (Threat Intelligence).

Які три основні методології Threat Hunting можна використовувати з New-Scale Fusion?

З New-Scale Fusion можна використовувати Hypothesis-Driven Hunting (заснований на гіпотезах), Data-Driven Hunting (заснований на аналізі даних) та Intelligence-Driven Hunting (заснований на даних кіберрозвідки).

Як Hypothesis-Driven Hunting допомагає в пошуку загроз?

Hypothesis-Driven Hunting дозволяє аналітикам формулювати гіпотези про можливі атаки та перевіряти їх, аналізуючи дані в New-Scale Fusion. Це допомагає зосередитися на конкретних сценаріях загроз та виявляти підозрілу активність.

Що таке Data-Driven Hunting і як New-Scale Fusion допомагає в його реалізації?

Data-Driven Hunting - це аналіз даних для виявлення аномалій та відхилень від нормальної поведінки. New-Scale Fusion надає можливості поведінкового аналізу та дозволяє виявляти аномалії, автоматично вивчаючи поведінку користувачів, систем та мережевих пристроїв.

Як можна використовувати дані кіберрозвідки (Threat Intelligence) в New-Scale Fusion для Threat Hunting?

New-Scale Fusion дозволяє інтегрувати дані кіберрозвідки з різних джерел та використовувати їх для пошуку відомих загроз в мережі. Наприклад, можна створити правила, які будуть сповіщати про спроби підключення до шкідливих IP-адрес, вказаних у фідах кіберрозвідки.

Які ознаки латерального переміщення можна шукати за допомогою New-Scale Fusion?

За допомогою New-Scale Fusion можна шукати аномалії аутентифікації, підозрілий мережевий трафік та запуск незвичайних процесів, які можуть вказувати на латеральне переміщення зловмисників в мережі.

Чому важливо документувати процес Threat Hunting і реагувати на його результати?

Документування Threat Hunting дозволяє відстежувати прогрес, обмінюватися знаннями та покращувати методики. Реагування на результати необхідно для нейтралізації виявлених загроз та запобігання повторних атак. Важливо інтегрувати Threat Hunting з процесами реагування на інциденти.