攻击者模型描述了攻击者为了破坏企业网络和在企业网络中运行而可能采取的操作。NSX Network Detection and Response 应用程序使用 MITRE 的对抗策略、技术和常识 (ATT&CK™, Adversarial Tactics, Techniques, and Common Knowledge) 模型以描述攻击者行为。在该模型中，攻击者可能使用的技术划分为多个策略类别，它们对应于攻击生命周期中的不同阶段。

在系统中，与每个检测到的事件关联的活动可能与特定的攻击阶段相关联，并且可能提供攻击活动在其生命周期中的进度指示。（在不同攻击阶段遇到的活动可能与特定的攻击阶段无关。）目前，使用以下攻击阶段。

由于这些关联规则在 NSX Advanced Threat Prevention 云服务中运行，因此，可以独立于 NSX-T 发行周期改进或扩展这些规则。此外，关联规则列表或规则的特定行为可能会随时间推移而发生变化。

以下是当前支持的关联规则。

异常事件

该规则将来自 NSX 可疑流量功能的检测事件与较高风险的感染类型事件相关联。例如，来自 NSX 可疑流量 功能的异常事件与同一主机的高风险网络事件同时发生。

外泄

该规则关联在感染类型事件之后发生的外泄事件。例如，我们知道在命令和控制网络事件之后发生的网络事件是外泄数据。

文件传输（基于哈希值）

该规则关联恶意文件传输。例如，如果将同一恶意文件下载到网络中的多个主机，则该规则将所有这些传输与一次入侵相关联。恶意文件传输的相似性是根据传输的文件的 SHA-1 哈希值确定的。

文件传输（基于分析标记）

该规则关联恶意文件传输。例如，如果将同一恶意文件下载到网络中的多个主机，则该规则将所有这些传输与一次入侵相关联。恶意文件传输的相似性是根据与文件分析任务关联的标记确定的。

漏洞扫描

该规则关联不同类型的网络事件，所有这些事件可能表明存在漏洞扫描。例如，观察到从单个主机向一个或多个内部目标主机发出多个出站感染类型或 NTA 事件。

攻击波

这组规则查找攻击“波”：在特定的时间范围内，在网络中的多个主机上观察到相同的攻击（即，相同威胁的事件集）。

这组规则可用于查找网络中的以下主机：已成为同一命令和控制基础架构的一部分或受到同一类型的攻击（例如，偷渡式攻击或恶意软件分发攻击）。因此，这些规则限制为命令和控制、偷渡式攻击、恶意软件分发、沉洞、伪造 AV 和加密挖掘类别的威胁。

在以下情况下，将触发该组中的规则。

• 存在威胁类别为命令和控制的网络特征码事件，从而影响多个主机。

• 存在威胁类别为恶意软件分发的网络特征码事件，从而影响多个主机。

• 存在威胁类别为偷渡式攻击的网络特征码事件，并且进行检测的条目（IP 地址或主机名）相同，从而影响多个主机。

• 存在同一条目（IP 地址或主机名）的恶意信誉事件，并且威胁类别为命令和控制，从而影响多个主机。

• 存在同一条目（IP 地址或主机名）的恶意信誉事件，并且威胁类别为恶意软件分发，从而影响多个主机。

在这种情况下，关联时间范围设置为三天。因此，如果同一威胁的两个事件集影响不同的主机，并且它们位于该有限时间范围内，则认为它们是相关的。

确认的偷渡式攻击

这组规则查找成功对内部主机进行偷渡式攻击的攻击活动。如果随后发生命令和控制、恶意软件下载、沉洞或伪造 AV 活动，则认为成功对主机进行了偷渡式攻击。在以下情况下，将触发该组中的规则。

• 紧随偷渡式攻击之后发生恶意软件下载活动：在这种情况下，关联时间范围是 10 分钟，因为我们预计成功的浏览器漏洞利用立即导致下载。

• 紧随偷渡式攻击之后发生伪造 AV 活动：在这种情况下，关联时间范围是 10 分钟，因为我们预计在偷渡式漏洞利用之后立即发生伪造 AV 活动。

• 紧随偷渡式攻击之后发生命令和控制活动：在这种情况下，关联时间范围是 4 小时，因为可能需要一些时间才能建立命令和控制通道。

• 紧随偷渡式攻击之后发生沉洞活动：在这种情况下，关联时间范围是 4 小时，因为可能需要一些时间才能通过命令和控制通道将活动发送到沉洞的恶意服务器。

已确认文件下载

这组规则查找在主机上下载并成功执行了恶意文件的攻击活动。在下载文件后不久，如果活动的网络事件与文件分析期间观察到的活动匹配，则认为在主机上成功执行了该文件。

特别是，文件分析可能会提供两条其他信息以描述在分析期间观察到的活动。

恶意软件信息

如果文件行为与已知威胁的行为匹配，则可以获取恶意软件名称。

网络 IoC 信息

如果在分析期间样本生成的网络流量与网络特征码或威胁情报匹配，则可以获取流量的指标。即，提供有关恶意信誉和网络特征码匹配的信息。

在以下两种情况下，将触发该组中的规则，具体取决于从文件分析中获取的信息类型。

• 基于恶意软件的案例

  • 在主机上下载了一个文件。

  • 文件分析将特定威胁归因于该文件（例如，Emotet 恶意软件）。

  • 稍后，为下载该文件的主机检测到同一威胁（即 Emotet）的网络事件。

• 基于网络 IoC 的案例

  • 在主机上下载了一个文件。

  • 文件分析确定该文件的网络 IoC。

  • 稍后，下载该文件的主机尝试连接到为该文件提取的恶意信誉 IoC 中包含的 IP 地址或主机名，并且该流量与一个网络特征码匹配。

在这种情况下，NSX Network Detection and Response 应用程序将关联时间范围设置为三天。

横向移动

这组规则查找以下攻击活动：攻击者破坏一些主机以在网络中建立“滩头阵地”，然后尝试在网络中横向移动以破坏其他主机。

该组包含两个规则，每个规则检测横向移动攻击活动的一个单独步骤。

向外横向移动

该规则将来自本地网络中的主机的向外横向移动活动与横向移动检测之前（但在关联时间范围内）在该主机上发生的感染相关联。

向内横向移动

该规则将发送到配置的本地网络中的主机的向内横向移动活动与横向移动检测之后在同一主机上发生的初始破坏（命令和控制、探测和凭据收集）后通常观察到的活动相关联。

请注意，仅为本地网络中的主机触发这些规则，即，只有在横向移动活动的源主机和目标主机属于本地网络时，才会创建攻击活动。如果没有配置本地网络，系统默认使用 RFC1918 范围。

INFO 事件升级

NSX Network Detection and Response 应用程序在保护的网络中检测分析人员可能感兴趣的一些活动，但这些活动可能并不是恶意的。这些检测生成 INFO 事件，可以设置相应的“事件结果”筛选器值以查看这些事件。

NSX Network Detection and Response 应用程序不会考虑将 INFO 事件用于关联目的。

这些检测的一个难题是，相同的 INFO 事件活动可能是正常的，也可能是高度可疑的，具体取决于 NSX Network Detection and Response 应用程序在哪个网络中检测到该活动。例如，在将远程桌面协议 (Remote Desktop Protocol, RDP) 用于合法管理用途的环境中，使用该工具可能是正常的，否则，这可能是高度可疑的迹象，表明攻击者可能尝试远程控制受害者主机。

对于监控的网络以及涉及的特定源主机和目标主机，异常检测逻辑能够确定某些类型的 INFO 检测何时是异常的。如果系统确定 INFO 检测是异常的，则会将该事件升级到“检测”模式，因此，该事件包括在常规事件中。该场景在横向移动的关联规则上下文中是相关的，因为横向移动活动检测通常导致创建 INFO 事件。

本地网络

本地网络配置对攻击活动关联规则具有以下影响。

• 所有攻击活动关联规则忽略在本地网络外部的主机上发生的事件。

• 如果未配置本地网络，则系统默认使用 RFC1918 范围。

本地网络是在安全 > 常规设置 > 专用 IP 范围中配置的。

主机静默

主机静默配置对攻击活动关联规则具有以下影响。

• 如果配置了主机静默，则所有攻击活动关联规则忽略在静默的主机上发生的事件。

• 如果未配置主机静默，则将在事件中检测到的所有源主机视为对关联有效。

要确保主机静默没有错误地包括应将其活动包含在攻击活动中的主机，您必须验证主机静默配置。

证据包含以下信息。

基本检测证据：Network

证据类型 REPUTATION

表示检测到发送到与已知威胁关联的 IP 或域的网络流量。

将显示 SUBJECT 字段和 IP 地址或域。例如：reputation: evil.com（参考事件）、6.6.6.6（参考事件）或 bad.org（参考事件）。

通常会阻止这些有害的域和 IP 地址。如果可用，将显示其他信誉信息。

可能会使用位置（国家/地区标记）注释 IP 地址。

证据类型 SIGNATURE

表示检测到与已知威胁的网络特征码匹配的网络流量。

将显示作为匹配的特征码的名称/唯一标识符的 Detector 字段。例如，Detector: et:2014612 或 Detector: llrules:1490720342088。

证据类型 ANOMALY

与 SIGNATURE 类似，区别在于检测基于检测某种异常的启发式方法。例如，Anomaly: anomaly:download_smb。

证据类型 FILE DOWNLOAD

下载了恶意或可疑文件。

将显示分析标识符 task_uuid（在沙箱中引爆）和分析评分 severity。例如，File download: a7ed621。

下面列出了来自参考事件的其他可选信息。

• 从中下载文件的 URL

• 文件类型（通常为可执行文件）

• 文件名

证据类型 UNUSUAL_PORT

表示正在使用的 TCP 或 UDP 端口异常，并与该特定威胁的预期端口相对应。

使用异常端口的流量中涉及的 IP 地址或域显示在 SUBJECT 字段中。

证据类型 URL_PATH_MATCH

与异常端口类似，区别在于检测基于 URL 路径。例如 http://evil.com/evil/path?evil=threat，检测是由该 URL 的 /evil/path 部分触发的。

证据类型 DGA

DGA 表示“Domain Generation Algorithm”（域生成算法），这是某种恶意软件使用的一种方法，该恶意软件并非使用少量的域进行命令和控制，而是包含一种每天生成数千个新的随机域的算法。然后，它尝试连接到每个域。为了控制他们的恶意软件，黑客只需注册其中的一个或几个域。由于尝试解析很多此类域，使用 DGA 在网络上很容易被发现。

在检测到解析的 DGA 算法中的多个有害域时，除了常规信誉证据以外，当前还会使用 DGA 证据。

来自多个事件的关联的证据

来自多个事件的关联的证据

如果主机上的多个网络事件的组合增强了已正确检测到威胁的信心，则会创建以下证据类型。例如，证据类型可能是连接到的相同恶意信誉条目或触发的相同网络特征码。

对于其中的每种情况，可以按如下方式标记威胁。

• Repeated：看到三次或更多次特定的威胁。

• Periodic：还会看到定期发生特定的威胁。

标签显示在相应的信誉/特征码证据上。

在 REPUTATION 证据示例中，如果检测到 bad.org 的重复和定期证据，则会显示 REPEATED 或 PERIODIC 标记。

证据类型 CONFIRMED_EXECUTION

这与威胁相关联，例如 MALICIOUS FILE DOWNLOAD。这意味着，从下载文件的主机中检测到的网络行为确认，已实际执行下载的文件。

即：

• 将恶意文件下载到主机 1.2.3.4 中。

• 在沙箱中执行时，该文件连接到恶意主机 evil.com。

• 不久后，观察到从主机 1.2.3.4 到 evil.com 的命令和控制流量，从而确认执行了恶意文件。

链接的参考事件指向下载该文件的位置。

其他证据可能会提供威胁确认，例如，有关该文件的以下信息。

• 任务 UUID

• 评分

• 文件名

• 从中下载该文件的 URL

证据类型 CONFIRMED_C&C

与 CONFIRMED_EXECUTION 类似，该证据添加到指定威胁的命令和控制检测中，因为主机以前下载了该威胁的文件。

证据类型 CONFIRMED_DRIVE_BY

这是在以下情况下添加的：在检测到网页木马攻击后，一些迹象表明成功完成了该攻击。例如：

• 主机 1.2.3.4 似乎是网页木马攻击的受害者。

• 不久后，主机 1.2.3.4：

  • 已下载恶意文件

  • 执行的命令和控制流量

该证据添加到初始网页木马事件的参考事件中。

证据类型 DRIVEBY_CONFIRMATION

与 CONFIRMED_DRIVEBY 证据类似，该证据作为参考事件添加到在网页木马攻击后不久发生的恶意文件下载或命令和控制检测中。