NSX Network Detection and Response 功能的主要目标是,从您的 NSX 环境中激活的每个事件源收集重要异常活动或恶意事件。NSX Network Detection and Response 依照 MITRE ATT&CK® 模型,处理从 NSX 管理的网络生成的检测事件。NSX Network Detection and Response 会汇总和关联这些安全相关事件,根据 MITRE ATT&CK 框架中所述的策略和技术向用户直观显示特定威胁。
NSX Network Detection and Response 会将相关事件与攻击活动相关联。它可以将攻击活动中的威胁事件划分为一个时间线,安全分析师可以查看该时间线,并通过关联威胁信号对威胁攻击活动进行分类。
NSX Network Detection and Response 术语和重要概念
下表提供了 NSX Network Detection and Response 中使用的重要术语。
| 术语/重要概念 | 定义 |
|---|---|
| 攻击活动 | 攻击活动是指 NSX Network Detection and Response 服务在受监控网络中检测到并关联的一系列安全相关事件。这些安全事件可能包括 IDS 特征码匹配、可疑流量事件或恶意文件传输事件。 NSX Network Detection and Response 使用机器学习和高级分析功能来识别安全威胁并自动生成攻击活动,以便安全团队全面了解潜在威胁。根据构成攻击活动的安全事件产生的风险,每个攻击活动会分配到一个影响评分。 检测到攻击活动后,NSX Network Detection and Response 会提供有关构成攻击活动的检测事件的详细信息,包括涉及的工作负载、活动的性质,以及对网络的潜在影响。利用这些信息,您可以快速调查和响应安全威胁,从而帮助阻止数据泄露和其他安全事件。 |
| 攻击活动影响评分 | “攻击活动影响评分”是一个衡量指标,有助于您快速评估潜在安全威胁的紧急程度,并相应地确定分类和解决方案的优先级。通过关注影响评分较高的攻击活动,您可以快速解决最严重的威胁,并将安全事件的风险降至最低。 “攻击活动影响评分”是根据攻击活动中的一组检测事件,综合使用事件的置信度、严重性和影响等因素计算得出。 评分的范围在 0-100 之间,评分越高表示潜在影响越大。评分为 0 表示攻击活动不会产生任何影响,而评分为 100 表示攻击活动会造成直接的严重威胁。 有关更多详细信息,请参见攻击活动。 |
| 目标 | 目标是指流量的目标,通常称为 server。 |
| 检测或检测事件 | 检测或检测事件表示在网络中发生并由 NSX Network Detection and Response 检测出的安全相关活动。从站点接收到新的检测数据时,会将该数据与已收到的事件进行汇总,以确定该事件是否引用相同的威胁检测。否则,将会创建新的检测事件。 每个检测都会分配一个基于 MITRE ATT&CK 框架的分类、一个威胁和一个影响评分。 如果认为检测事件与攻击活动中的检测相关,则可以将其与攻击活动相关联。如果不认为检测事件与当前事件相关,则检测事件将不会包含在攻击活动中。 |
| 检测影响评分 | “检测影响评分”是一个衡量指标,它是代表威胁不良程度的“严重性”与代表检测正确程度的“置信度”的组合。 “检测影响评分”是通过组合严重性和置信度进行计算的。 评分范围是 0-100,其中 100 是最危险的检测。 有关更多详细信息,请参见NSX Network Detection and Response 中的检测。 |
| MITRE ATT&CK® | MITRE ATT&CK 是包含基于实际观察结果的对抗策略和技术的知识库,可供全球访问。ATT&CK 知识库可用作在私营部门、政府以及网络安全产品和服务社区开发特定威胁模型和方法的基础。 NSX Network Detection and Response 使用 MITRE ATT&CK 框架,因为检测事件会映射到 MITRE ATT&CK 策略和技术。 有关 MITRE ATT&CK 知识库的详细信息,请参见官方站点。 |
| MITRE ATT&CK 策略 | 策略表示使用 ATT&CK 技术或子技术的“原因”。这是攻击者的策略目标:执行操作的原因。例如,攻击者可能希望实现凭据访问。NSX Network Detection and Response 中的事件将映射到 MITRE ATT&CK 策略,以帮助了解所检测到的活动的意图。 除了 MITRE ATT&CK 策略之外,NSX Network Detection and Response 系统还将使用两个自定义策略类别,如下所示:
有关 MITRE ATT&CK 策略的详细信息,请参见 https://attack.mitre.org/tactics/enterprise/。 |
| MITRE ATT&CK 技术 | 技术表示“方式”,即攻击者在攻击实践中实施策略的方式。 有关 MITRE ATT&CK 策略和技术的详细信息,请参见 https://attack.mitre.org/techniques/enterprise/。 |
| SIEM | 安全信息和事件管理 (Security Information and Event Management, SIEM) 是一种安全产品或服务,用于收集、管理和分析安全事件数据及其他事件数据。SIEM 提供了实时安全监控和分析功能。 |
| 特征码 | 特征码是一种模式匹配表达式,可与流量进行比较,目的是检测潜在的恶意活动,例如漏洞利用尝试、命令和控制流量、横向移动和外泄。 |
| 源 | 源是指网络流量的源,通常称为客户端。 |
| 威胁 | 威胁通常是指可能表明网络存在安全漏洞或攻击的任何可疑活动或行为。 在 NSX Network Detection and Response 中,每个检测事件都会分配一个“威胁”。除了 MITRE ATT&CK 之外,威胁是对检测进行分类的另一种方法;威胁往往是对所检测到的不良性进行更具体的分类,例如特定的恶意软件名称或 CVE ID。当这些特定的分类不可用时,威胁可能是一种更为通用的分类方法。 |
NSX Network Detection and Response 中的检测类型
NSX Network Detection and Response 中的检测具有不同的类型,具体取决于检测时所涉及的检测技术。当前支持的检测类型包括:
- 入侵检测系统 (IDS) 事件:这些是 IDS 特征码匹配项,它们是通过将 IDS 特征码与受保护网络中的网络流量进行匹配来检测的。
- 网络流量异常 (Network Traffic Anomaly, NTA) 事件:NSX 可疑流量功能可为 NSX Intelligence 收集的东西向网络流量数据生成网络威胁分析,这些数据是从符合条件的 NSX 工作负载(主机或主机集群)收集的。
- 恶意文件传输事件:NSX 恶意软件防护功能会将网关上发生的恶意文件事件发送到 NSX Network Detection and Response 以进行分析。可疑或恶意文件事件(评分为 30 或更高)都会发送到 NSX Network Detection and Response。
恶意文件检测事件:NSX 恶意软件防护功能将发送在工作负载中检测到的恶意文件。将会对在工作负载文件系统中创建的文件进行分析,并将这些文件事件(评分为 30 分或更高)发送到 NSX Network Detection and Response。
事件类型和事件源
| 事件类型 | 事件源 |
|---|---|
| IDS 事件 | 分布式 IDS 和 Edge(如果激活了分布式 NSX IDS/IPS 功能)。 |
| 网络流量异常 (NTA) 事件 | 如果打开 NSX 可疑流量检测器。 |
| 恶意文件传输事件 | 工作负载中检测到的恶意文件传输事件(如果激活了 NSX 恶意软件防护功能)。 |
| 恶意文件检测事件 | 主机上检测到的恶意文件事件(如果激活了 NSX 恶意软件防护功能)。 |
