В условиях постоянно растущего числа киберугроз,эффективное обнаружение и реагирование на инциденты становится критически важной задачей для любой организации.New-Scale SIEM и Fusion предоставляют аналитикам SOC мощные инструменты для оперативного выявления, расследования и устранения угроз.
Получение и первичное рассмотрение оповещения
После входа в систему, первое, что видит аналитик – это консоль сактуальными оповещениями. Эти оповещения генерируются на основе различных источников данных, таких как логи, сетевой трафик и данные об активности пользователей. Важно понимать, как интерпретировать эту информацию дляприоритизации усилий.
Пример интерфейса New-Scale SIEM с оповещением
Анализ параметров оповещения
Каждоеоповещение содержит ряд ключевых параметров, которые помогают аналитику понять контекст и потенциальное влияние инцидента. К ним относятся:
- Серьезность: Определяет уровень угрозы (например, критический, высокий, средний, низкий).
- Тип: Описывает характер атаки (например, фишинг, malware, brute-force).
- Затронутые активы: Указывает на системы, устройства или данные, которые могут быть скомпрометированы.
- Пользователи: Определяет учетные записи, которые могли быть вовлечены в инцидент.
Аналитик должен незамедлительно оценитьсрочность ипотенциальное влияние инцидента, основываясь на этих параметрах. Например,критическое оповещение о фишинге, нацеленном на учетные записи администраторов, требует немедленного реагирования.
Углубленное расследование с использованием New-Scale SIEM и Fusion
После первичной оценкиоповещения, следующим шагом является углубленное расследование.New-Scale SIEM и Fusion предоставляют мощные инструменты для визуализации и анализа данных, позволяющие аналитикам отслеживатьцепочку событий и выявлятькорневую причину инцидента.
Временная шкала событий в New-Scale SIEM
Использование временной шкалы событий
Временная шкала событий позволяет визуализировать активность, связанную с инцидентом, в хронологическом порядке. Это помогает аналитикам понять последовательность действий, предпринятых злоумышленником, и выявить аномалии.
Примеры запросов для получения дополнительной информации
Для получения дополнительной информации об активе, пользователе или типе активности можно использовать запросы. Вот несколько примеров:
- Поиск всех событий, связанных с конкретным пользователем: user.username == “john.doe”
- Поиск всех попыток входа в систему на конкретном хосте: event.category == “authentication” AND host.hostname == “server1”
- Поиск всех событий, связанных с конкретным IP-адресом: source.ip == “192.168.1.100” OR destination.ip == “192.168.1.100”
Эти запросы могут быть адаптированы для конкретных сценариев и потребностей аналитика.
Анализ поведения для выявления аномалий
Анализ поведения позволяет выявлять аномалии и отклонения от нормальной активности.New-Scale SIEM и Fusion используют машинное обучение для создания базовых профилей поведения пользователей и активов, и автоматически генерируютоповещения об аномалиях.
Например, система может обнаружить, что пользователь, обычно работающий с 9:00 до 18:00, внезапно начинает активно работать в 3:00 ночи. Это может указывать на компрометацию учетной записи.
Автоматизированное расследование
New-Scale SIEM и Fusion предлагают функционалавтоматического расследования, который позволяет системе автоматически собирать и анализировать данные, связанные с инцидентом. Это значительно ускоряет процесс расследования и позволяет аналитикам сосредоточиться на наиболее важных аспектах.
Отслеживание цепочки убийства (kill chain)
New-Scale SIEM и Fusion позволяют отслеживатьцепочку убийства, т.е. последовательность действий, предпринятых злоумышленником для достижения своей цели. Это помогает аналитикам понять тактику, технику и процедуры (TTP) злоумышленника и предотвратить дальнейшие атаки.
Визуализация связей между событиями и сущностями
Визуализация связей между событиями и сущностями позволяет аналитикам увидеть полную картину инцидента и выявить скрытые связи.New-Scale SIEM и Fusion предоставляют инструменты для создания графов связей, которые отображают взаимосвязи между пользователями, активами, событиями и другими сущностями.
Реагирование на инцидент и устранение угрозы
После завершения расследования, следующим шагом является реагирование на инцидент и устранение угрозы.New-Scale SIEM и Fusion предоставляют возможности для автоматизации реагирования на инциденты (TDIR), позволяющие аналитикам быстро и эффективно нейтрализовать угрозы.
Интерфейс управления инцидентами в New-Scale SIEM
Примеры действий по реагированию
На основе собранной информации, аналитик может предпринять следующие действия по реагированию:
- Блокировка пользователя: Предотвращает дальнейший доступ злоумышленника к системе.
- Изоляция хоста: Отключает скомпрометированный хост от сети, чтобы предотвратить распространение угрозы.
- Изменение пароля: Предотвращает использование скомпрометированного пароля.
- Запуск сканирования на вирусы: Обнаруживает и удаляет вредоносное ПО.
Автоматизация реагирования на инциденты (TDIR)
New-Scale SIEM и Fusion позволяют автоматизировать многие из этих действий, что значительно сокращает время реагирования и повышает эффективность. Например, система может автоматически блокировать пользователя, если обнаружит несколько неудачных попыток входа в систему с разных IP-адресов.
Подтверждение устранения угрозы
После выполнения действий по реагированию, аналитик должен убедиться, что угроза устранена и что система находится в безопасном состоянии. Это может включать в себя проверку журналов, сканирование на вирусы и тестирование системы на уязвимости.
Завершение расследования
После подтверждения устранения угрозы, аналитик должен зафиксироватьзавершение расследования в системе. Это включает в себя документирование всех действий, предпринятых в ходе расследования, а также выводы и рекомендации по предотвращению повторения инцидента.
Минимизация ложных срабатываний
Ложные срабатывания могут значительно снизить эффективность SOC, отвлекая аналитиков от реальных угроз.New-Scale SIEM и Fusion предоставляют инструменты для минимизацииложных срабатываний, такие как правила корреляции и обучение модели поведения.
Настройка правил корреляции и порогов
Правила корреляции позволяют объединять несколько событий в однооповещение, что уменьшает количестволожных срабатываний. Пороги позволяют фильтроватьоповещения на основе их серьезности или частоты.
Например, можно настроить правило корреляции, которое будет генерироватьоповещение только в том случае, если пользователь предпримет несколько неудачных попыток входа в систему в течение короткого периода времени.
Обучение модели поведения
Обучение модели поведения позволяет системе изучать нормальное поведение пользователей и активов, и автоматически фильтроватьоповещения, которые не соответствуют этому поведению. Это значительно уменьшает количестволожных срабатываний и позволяет аналитикам сосредоточиться на наиболее подозрительной активности.
Заключение
New-Scale SIEM и Fusion предоставляют SOC-аналитикам мощные инструменты для оперативного и эффективного расследования инцидентов. Этопошаговое руководство является отправной точкой и может быть адаптировано под конкретные сценарии и потребности вашей организации.
Чтобы узнать больше о том, какNew-Scale SIEM и Fusion могут помочь вашей организации защититься от киберугроз, свяжитесь с нами для получения демо-версии или консультации.
Часто задаваемые вопросы на тему Расследование инцидентов с помощью New-Scale SIEM и Fusion
Что такое New-Scale SIEM и Fusion и какую роль они играют в кибербезопасности?
New-Scale SIEM и Fusion - это мощные инструменты, предназначенные для оперативного обнаружения, расследования и устранения киберугроз. Они предоставляют аналитикам SOC необходимые возможности для эффективного реагирования на инциденты и защиты организации.
Как аналитик получает и рассматривает оповещения в New-Scale SIEM?
После входа в систему аналитик видит консоль с актуальными оповещениями, которые гененируются на основе различных источников данных. Важно правильно интерпретировать эту информацию для приоритизации усилий при расследовании инцидентов.
Какие ключевые параметры содержит оповещение об инциденте и как их оценивать?
Оповещение об инциденте содержит информацию о серьезности, типе атаки, затронутых активах и пользователях. Аналитик должен оценить срочность и потенциальный ущерб на основе этих параметров для определения приоритетов.
Как использовать временную шкалу событий при расследовании инцидентов?
Временная шкала событий позволяет визуализировать активность, связанную с инцидентом, в хронологическом порядке. Это помогает понять последовательность действий злоумышленника и выявить аномалии.
Какие типы запросов можно использовать для получения дополнительной информации об инциденте?
Можно использовать запросы для поиска событий, связанных с конкретным пользователем, хостом или IP-адресом. Примеры запросов: user.username == "john.doe", event.category == "authentication" AND host.hostname == "server1", source.ip == "192.168.1.100" OR destination.ip == "192.168.1.100".
Как анализ поведения помогает выявлять аномалии в New-Scale SIEM и Fusion?
Анализ поведения позволяет обнаруживать отклонения от нормальной активности. Система использует машинное обучение для создания базовых профилей поведения пользователей и активов, и генерирует оповещения об аномалиях, например, о неожиданной активности пользователя в ночное время.
Какие действия можно предпринять для реагирования на инцидент и устранения угрозы?
Действия по реагированию включают блокировку пользователя, изоляцию хоста, изменение пароля и запуск сканирования на вирусы. New-Scale SIEM и Fusion позволяют автоматизировать многие из этих действий.
Как минимизировать ложные срабатывания в New-Scale SIEM и Fusion?
Для минимизации ложных срабатываний используются правила корреляции, которые объединяют несколько событий в одно оповещение, и обучение модели поведения, которое позволяет системе изучать нормальное поведение пользователей и активов.
