NSX Network Detection and Response使用多个关联规则创建、更新和合并攻击活动。
攻击活动关联规则基于 MITRE ATT&CK 框架中所述的策略和技术。这些规则根据以下活动关联事件:
| 攻击活动关联规则 | 描述 |
|---|---|
| 外泄 | 外泄事件与之前在同一工作负载上观察到的感染类型事件(即,出卖工作负载的事件)相关联,这些事件可能会受到影响,从而为攻击者提供运行任意操作的能力。 例如,命令和命令或网页木马事件后跟已知会泄露数据的网络事件。 有关外泄策略的详细信息,请参见 MITRE ATT&CK →策略 → 企业 → 外泄。 |
| 受感染主机上的高风险事件 | 高影响感染类型事件在主机上发生时相关,该主机上的最新活动表明该主机可能受到感染。 |
| 出站横向移动 | 当横向移动事件从观察到先前的横向移动事件或感染类型事件的计算中传出时,将建立相关性。 例如,在计算资源上执行命令和控制事件后,横向移到专用网络中的其他计算资源。 有关横向移动策略的详细信息,请参见 MITRE ATT&CK →策略 → 企业 → 横向移动。 |
| 入站横向移动 | 随后的横向移动事件与感染类型事件相关联。 例如,从工作负载 A 检测到到工作负载 B 的 RDP 活动,然后观察到来自工作负载 B 的后续命令和控制活动。 有关横向移动策略的详细信息,请参见 MITRE ATT&CK →策略 → 企业 → 横向移动。 |
| 由命令和控制事件确认的网页木马 | 当网页木马感染事件后又发生命令和控制事件时,将建立相关性。 例如,工作负载访问恶意网站并生成网页木马事件,随后在同一工作负载上发生命令和控制事件。 有关网页木马技术的详细信息,请参见 MITRE ATT&CK → 技术 → 企业 → 网页木马。 |
| 由恶意文件事件确认的网页木马 | 在发生网页木马感染事件后进行恶意文件传输时,将建立相关性,从而确认网页木马尝试成功并感染了客户端。 有关网页木马技术的详细信息,请参见 MITRE ATT&CK → 技术 → 企业 → 网页木马 |
| IDS 命令和控制波规则 | 已为共享相同威胁的 IDS 命令和控制事件建立关联。 例如,多个主机都会为特定命令创建 IDS 网络事件,并在一小段时间内控制威胁。 有关命令和控制策略的详细信息,请参见 MITRE ATT&CK → 策略 → 企业 → 命令和控制。 |
| 恶意文件攻击波 | 已为共享相同文件哈希的恶意文件事件建立相关性。 例如,多个主机在一小段时间内全部下载同一个勒索软件。 |
| 对工作负载的威胁相同 | 对同一工作负载上的相同威胁的检测是关联的。根据此规则,检测仅包含在现有攻击活动中。 |
| 工作负载上的多个异常事件 | 对同一工作负载上的多个异常事件检测是关联的。根据此规则,将升级具有较低严重性的检测组合。 |
