Spis treści
Etapy reakcji na incydent
Każdy system klasy NDR powinien obejmować funkcjonalności wspierające proces obsługi incydentów – od wykrycia po reakcję i zebranie dowodów. Sycope został zaprojektowany, aby obejmować wszystkie etapy procesu obsługi incydentu bezpieczeństwa.
Analiza anomalii sieciowych w Sycope może być przeprowadzana na wiele sposobów:
Analiza oparta na zdefiniowanych dashboardach (siła dashboardów)
Analiza oparta na kategoriach zagrożeń (ATT&CK MITRE)
Analiza kontekstu danych
Analiza tabeli alertów
Analiza oparta na zdefiniowanych dashboardach (siła dashboardów)
Ten typ analizy rozpoczyna się od skupienia na wyróżniających się wskaźnikach (piki, wysokie wartości, duże odchylenia, nietypowe kombinacje itp.) – na podstawie dashboardu Threats Analysis jesteśmy w stanie analizować korelacje między adresami IP związanymi z wykrytymi anomaliami lub zagrożeniami. Pozwala to skoncentrować się na hostach będących źródłem lub celem wielu anomalii – więc wyzwalacze analityczne w tym przypadku krążą wokół odchyleń danych na wykresach.
Innym przykładem są dashboardy, które uwypuklają korelacje pomiędzy adresami IP, grupami lub krajami – gdzie możemy skupić się na nietypowej charakterystyce ruchu w kontekście tych parametrów.
Szybka i efektywna analiza możliwa jest dzięki możliwości szybkiego przechodzenia między dashboardami (1), możliwości filtrowania po krytycznych polach (2) lub przejściu do tabeli ze zdarzeniami (3).
Najbardziej wyrazistym przypadkiem analizy typu top-down są dashboardy dedykowane dla menedżerów, np. SOC & KPIs. W ramach tych widoków możliwa jest analiza drill down po kliknięciu w konkretne wartości, co ułatwia analizę danych.
Analiza oparta na kategoriach zagrożeń (ATT&CK MITRE)
Alerty Sycope są powiązane z ATT&CK (baza wiedzy o taktykach i technikach), co sprawia, że szeroki zakres zagrożeń wykrywanych w Sycope jest zgodny z nazewnictwem najpopularniejszego słownika zagrożeń i zmniejsza ryzyko błędnej interpretacji zagrożeń.
Tego typu analiza pozwala skupić się na konkretnych taktykach lub technikach, np. exfiltration. Dzięki temu analityk może odfiltrować pozostałe zagrożenia, co skutkuje bardziej czytelną analizą danych.
Analiza kontekstu danych
Analiza kontekstu danych możliwa jest dzięki funkcjom filtrowania danych, w tym ulubionym filtrom i tagom. Ulubione filtry pozwalają na szybką analizę zagrożeń w kontekście, ale także wspierają proces polowania na zagrożenia. Na przykład, spośród wielu zagrożeń można nadać priorytet zagrożeniom zewnętrznym lub wewnętrznym.
Innym przykładem analizy kontekstowej może być wyszukiwanie zagrożeń oznaczonych tagiem CTI (Cyber Threat Intelligence). Tego typu zdarzenia korelują z zagrożeniami wykrytymi na podstawie IoC (Indicators of Compromise), takimi jak IP, Hostname’y czy Hash’e z kategorii Malware, Spam, Scanner, Phishing, TOR, Proxy i Cryptomining. Threat Intelligence to bardzo istotny element architektury mechanizmu wykrywania zagrożeń w systemie monitoringu bezpieczeństwa Sycope.
Filtrowanie alertów po tagach umożliwia analitykom bezpieczeństwa i threat hunterom szybkie dotarcie do konkretnych zdarzeń.
Analiza tabeli alertów
Analiza zdarzeń w tabeli alertów oprócz obsługi alertów za pomocą flag ACK lub False Positive pozwala na podgląd wszystkich oryginalnych danych (raw), które spowodowały wygenerowanie danego alertu.
Podsumowanie
Możliwość śledzenia podejrzanej aktywności za pomocą elastycznych dashboardów z wieloma funkcjami wspierającymi analizę danych sprawia, że praca z systemem jest efektywna, szybka i przyjemna dla każdego użytkownika systemu, niezależnie od tego, czy jest to doświadczony inżynier bezpieczeństwa, czy początkujący analityk SOC.
Dzięki przemyślanej architekturze systemu Sycope obsługa incydentów jest prosta, a jednocześnie możliwości głębokiej analizy są bardzo szerokie, co czyni go kluczowym systemem dla każdego SOC.
