Ein Angreifermodell beschreibt die Aktionen, die ein Angreifer ausführen kann, um in ein Unternehmensnetzwerk einzudringen und darin zu agieren. Die NSX Network Detection and Response-Anwendung verwendet das ATT&CK™-Modell (Adversarial Tactics, Techniques, and Common Knowledge) von MITRE zur Beschreibung des Angreiferverhaltens. In diesem Modell werden die Techniken, die ein Angreifer einsetzen könnte, in eine Reihe von Taktikkategorien eingeteilt, die verschiedenen Phasen im Lebenszyklus eines Angriffs entsprechen.

Im System kann die Aktivität, die mit jedem erkannten Ereignis verbunden ist, einer bestimmten Angriffsphase zugeordnet werden und einen Hinweis auf den Fortschritt der Angriffsaktivität während ihres Lebenszyklus liefern. (Aktivitäten, die in verschiedenen Angriffsphasen auftreten, werden möglicherweise nicht einer bestimmten Angriffsphase zugeordnet.) Derzeit werden die folgenden Angriffsphasen verwendet.

Da diese Korrelationsregeln im NSX Advanced Threat Prevention Cloud Service ausgeführt werden, können sie unabhängig von den NSX-T-Versionszyklen verbessert oder erweitert werden. Darüber hinaus kann sich die Liste der Korrelationsregeln oder das spezifische Verhalten einer Regel im Laufe der Zeit ändern.

Im Folgenden finden Sie die aktuell unterstützten Korrelationsregeln.

Anomalie-Ereignis

Diese Regel korreliert die Erkennungsereignisse der NSX Suspicious Traffic-Funktion mit Ereignissen vom Typ „Infektion“, die eine größere Auswirkung haben. So fällt beispielsweise ein anormales Ereignis der NSX Suspicious Traffic-Funktion mit einem Netzwerkereignis mit großer Auswirkung für dieselben Hosts zusammen.

Exfiltration

Diese Regel korreliert Exfiltrationsereignisse, denen Ereignisse vom Typ „Infektion“ vorausgehen. Zum Beispiel folgt auf ein Befehls- und Steuerungs-Netzwerkereignis ein Netzwerkereignis, von dem wir wissen, dass es Daten exfiltriert.

Dateiübermittlung (hashbasiert)

Diese Regel korreliert schädliche Dateiübermittlungen. Wenn beispielsweise dieselbe bösartige Datei auf mehrere Hosts im Netzwerk heruntergeladen wird, ordnet die Regel alle diese Übertragungen einem Eindringling zu. Die Ähnlichkeit schädlicher Dateiübertragungen wird auf der Grundlage des SHA-1-Hash der übertragenen Datei bestimmt.

Dateiübermittlung (Analyse-Tag-basiert)

Diese Regel korreliert schädliche Dateiübermittlungen. Wenn beispielsweise dieselbe bösartige Datei auf mehrere Hosts im Netzwerk heruntergeladen wird, ordnet die Regel alle diese Übertragungen einem Eindringling zu. Die Ähnlichkeit schädlicher Dateiübermittlungen wird auf der Grundlage der Tags bestimmt, die den Analyseaufgaben der Dateien zugeordnet sind.

Schwachstellenprüfung

Diese Regel korreliert verschiedene Arten von Netzwerkereignissen, die alle potenziell auf einen Schwachstellenprüfung hindeuten. Beispielsweise werden mehrere ausgehende Infektions- oder NTA-Ereignisse von einem einzelnen Host zu einem oder mehreren internen Zielhosts beobachtet.

Welle

Diese Regelgruppe identifiziert „Angriffswellen“, bei denen derselbe Angriff (d. h. Vorfälle für dieselbe Bedrohung) auf mehreren Hosts im gesamten Netzwerk innerhalb eines bestimmten Zeitfensters beobachtet wird.

Diese Gruppe von Regeln ist nützlich, um Hosts im Netzwerk zu identifizieren, die in dieselbe Befehls- und Steuerungsinfrastruktur eingebunden sind oder demselben Angriffsvektor ausgesetzt waren (z. B. Drive-by-Angriff oder Malwareverteilung). Daher sind diese Regeln auf Bedrohungen der Klassen Befehl und Steuerung, Drive-by, Malwareverteilung, Sinkhole, Fake-AV und Crypto Mining beschränkt.

Die Regeln in dieser Gruppe werden in den folgenden Fällen ausgelöst.

• Es liegen Netzwerksignaturereignisse vor, bei denen die Bedrohungsklasse „Befehl und Steuerung“ lautet und die sich auf mehrere Hosts auswirken.

• Es liegen Netzwerksignaturereignisse vor, bei denen die Bedrohungsklasse „Malwareverteilung“ lautet und die sich auf mehrere Hosts auswirken.

• Für den gleichen Eintrag (IP-Adresse oder Hostname) liegen Netzwerksignaturereignisse vor, bei denen die Bedrohungsklasse „Drive-by“ lautet und mehrere Hosts betroffen sind.

• Für den gleichen Eintrag (IP-Adresse oder Hostname) liegen Reputationsereignisse vor, wobei die Bedrohungsklasse „Befehl und Steuerung“ lautet und mehrere Hosts betroffen sind.

• Für den gleichen Eintrag (IP-Adresse oder Hostname) liegen Reputationsereignisse vor, wobei die Bedrohungsklasse „Malwareverteilung“ lautet und mehrere Hosts betroffen sind.

In diesem Fall ist das Korrelationsfenster auf drei Tage festgelegt. Daher werden zwei Vorfälle für dieselbe Bedrohung, die verschiedene Hosts betreffen, als zusammenhängend betrachtet, wenn sie innerhalb dieses begrenzten Zeitbereichs auftreten.

Bestätigter Drive-by-Angriff

Diese Regelgruppe identifiziert Aktionen, bei denen ein interner Host einem erfolgreichen Drive-by-Angriff ausgesetzt ist. Ein Drive-by-Angriff auf einen Host gilt als erfolgreich, wenn darauf ein Befehls- und Steuerungsdatenverkehr (C&C), ein Malware-Download, ein Sinkhole oder eine gefälschte AV-Aktivität folgt. Die Regeln in dieser Gruppe werden in den folgenden Fällen ausgelöst.

• Drive-by-Angriff dicht gefolgt von Malware-Download-Aktivität: In diesem Fall beträgt das Korrelationsfenster 10 Minuten, da wir davon ausgehen, dass der Download unmittelbar durch einen erfolgreichen Browser-Exploit ausgelöst wurde.

• Drive-by-Angriff dicht gefolgt von einer gefälschten AV-Aktivität: In diesem Fall beträgt das Korrelationsfenster 10 Minuten, da wir erwarten, dass die gefälschte AV-Aktivität unmittelbar auf einen Drive-by-Exploit folgt.

• Drive-by-Angriff mit anschließender Befehls- und Steuerungsaktivität: In diesem Fall beträgt das Korrelationsfenster vier Stunden, da die Einrichtung des Befehls- und Steuerungskanals einige Zeit dauern kann.

• Drive-by-Angriff mit anschließender Sinkhole-Aktivität: In diesem Fall beträgt das Korrelationsfenster vier Stunden, da die Aktivität in Richtung eines bösartigen Sinkhole-Servers über einen Befehl- und Steuerungskanal einige Zeit in Anspruch nehmen kann.

Bestätigter Dateidownload

Diese Gruppe von Regeln identifiziert Aktivitäten, bei denen eine bösartige Datei heruntergeladen und erfolgreich auf einem Host ausgeführt wird. Eine heruntergeladene Datei gilt als erfolgreich auf einem Host ausgeführt, wenn kurz nach dem Download Netzwerkereignisse für Aktivitäten auftreten, die mit den bei der Dateianalyse beobachteten Aktivitäten übereinstimmen.

Insbesondere kann die Dateianalyse zwei weitere Informationen zur Charakterisierung der während der Analyse beobachteten Aktivität liefern.

Malware-Informationen

Wenn das Dateiverhalten mit dem Verhalten einer bekannten Bedrohung übereinstimmt, wird der Malware-Name verfügbar.

Informationen zum Netzwerk-IoC

Wenn die Probe während der Analyse Netzwerkdatenverkehr erzeugt, der mit Netzwerksignaturen oder Threat Intelligence übereinstimmt, werden Indikatoren für diesen Datenverkehr zur Verfügung gestellt. Das heißt, es werden Informationen über bösartige Reputationen und Netzwerksignaturübereinstimmungen bereitgestellt.

Die Regeln in dieser Gruppe werden in den folgenden beiden Fällen ausgelöst, je nach Art der aus der Dateianalyse abgeleiteten Informationen.

• Malware-basierter Fall

  • Eine Datei wird auf einen Host heruntergeladen.

  • Die Dateianalyse weist der Datei eine bestimmte Bedrohung zu (z. B. Emotet-Malware).

  • Zu einem späteren Zeitpunkt wird für den Host, der die Datei heruntergeladen hat, ein Netzwerkereignis für dieselbe Bedrohung (d. h. Emotet) erkannt.

• Netzwerk IoC-basierter Fall

  • Eine Datei wird auf einen Host heruntergeladen.

  • Die Dateianalyse identifiziert das Netzwerk-IoC für die Datei.

  • Zu einem späteren Zeitpunkt versucht der Host, der die Datei heruntergeladen hat, eine IP-Adresse oder einen Hostnamen zu kontaktieren, der in der für die Datei extrahierten Reputations-IoC enthalten ist. Dieser Datenverkehr stimmt mit einer Netzwerksignatur überein.

Die NSX Network Detection and Response-Anwendung legt das Korrelationsfenster in diesem Fall auf drei Tage fest.

Lateral Movement

Diese Regelgruppe identifiziert Aktivitäten, bei denen die Angreifer einen „Brückenkopf“ im Netz geschaffen haben, indem sie nach dem Eindringen in einige Hosts versuchen, sich seitlich im Netz zu bewegen, um weitere Hosts zu kompromittieren.

Diese Gruppe umfasst zwei Regeln, von denen jede einen separaten Schritt des Lateral Movement-Angriffs erfasst.

Ausgehende laterale Bewegung

Diese Regel korreliert ausgehende Lateral Movement-Aktivitäten von einem Host im Home-Netzwerk mit Infektionen auf diesem Host, die vor den Lateral Movement-Erkennungen (aber innerhalb des Korrelationsfensters) stattfanden.

Eingehende laterale Bewegung

Diese Regel korreliert eingehende Lateral Movement-Aktivitäten in Richtung eines Hosts im konfigurierten Home-Netzwerk mit Aktivitäten, die üblicherweise nach einer anfänglichen Kompromittierung beobachtet werden (Befehl und Kontrolle, Sondierung und Auslesen von Anmeldedaten) und die auf demselben Host nach den Lateral Movement-Erkennungen auftreten.

Diese Regeln werden nur für Hosts innerhalb des Home-Netzwerks ausgelöst, d. h. die Aktivität wird nur erstellt, wenn sowohl Quell- als auch Zielhosts, auf denen die Lateral Movement-Aktionen stattfinden, dem Home-Netzwerk angehören. Wenn das Home-Netzwerk nicht konfiguriert ist, verwendet das System standardmäßig RFC1918-Bereiche.

Heraufstufung der INFO-Ereignisse

Die NSX Network Detection and Response-Anwendung erkennt mehrere Aktivitäten in einem geschützten Netzwerk, die für einen Analysten von Interesse sein könnten, aber wahrscheinlich nicht böswillig sind. Diese Erkennungen erzeugen INFO-Ereignisse, die durch Einstellen eines geeigneten Werts für den Filter „Ereignisergebnis“ angezeigt werden können.

Die NSX Network Detection and Response-Anwendung berücksichtigt INFO-Ereignisse nicht für Korrelationszwecke.

Eine Herausforderung bei diesen Erkennungen besteht darin, dass ein und dieselbe INFO-Ereignisaktivität normal oder höchst verdächtig sein kann, je nachdem, in welchem Netzwerk die NSX Network Detection and Response-Anwendung sie entdeckt hat. So kann beispielsweise die Verwendung des Remote-Desktop-Protokolls (RDP) in einer Umgebung, in der dieses Tool für legitime Verwaltungszwecke verwendet wird, normal sein. Ansonsten ist dies jedoch ein höchst verdächtiger Hinweis darauf, dass ein Angreifer versucht, einen Opfer-Host remote zu steuern.

Die Anomalieerkennungslogik kann ermitteln, wann bestimmte Arten von INFO-Erkennungen für das überwachte Netzwerk und für die jeweiligen betroffenen Quellhosts und Zielhosts ungewöhnlich sind. Wenn das System feststellt, dass eine INFO-Erkennung ungewöhnlich ist, wird das Ereignis zum Modus „Erkennung“ heraufgestuft und infolgedessen unter den regulären Ereignissen angezeigt. Dieses Szenario ist im Kontext von Korrelationsregeln für laterale Bewegungen relevant, da die Erkennung von Lateral Movement-Aktivitäten häufig zur Erstellung von INFO-Ereignissen führt.

Home-Netzwerk

Die Konfiguration des Home-Netzwerks hat folgende Auswirkungen auf die Aktivitätenkorrelationsregeln.

• Alle Aktivitätenkorrelationsregeln ignorieren Ereignisse, die auf Hosts außerhalb des Home-Netzwerks aufgetreten sind.

• Wenn kein Home-Netzwerk konfiguriert ist, verwendet das System standardmäßig die RFC1918-Bereiche.

Das Home-Netzwerk wird unter Sicherheit > Allgemeine Einstellungen > Private IP-Bereiche konfiguriert.

Stilllegung von Hosts (Host Silencing)

Die Konfiguration von Host Silencing hat die folgenden Auswirkungen auf die Aktivitätenkorrelationsregeln.

• Wenn Host Silencing konfiguriert ist, ignorieren alle Aktivitätenkorrelationsregeln Ereignisse, die auf stillgelegten Hosts stattgefunden haben.

• Wenn kein Host Silencing konfiguriert ist, werden alle Quellhosts, die in einem Ereignis erkannt werden, als gültig für die Korrelation betrachtet.

Um sicherzustellen, dass Host Silencing nicht fälschlicherweise Hosts einschließt, deren Aktionen in Aktivitäten berücksichtigt werden sollten, müssen Sie Ihre Host Silencing-Konfiguration überprüfen.

Der Nachweis enthält die folgenden Informationen.

Basiserkennungsnachweis: Netzwerk

Nachweistyp: REPUTATION

Gibt an, dass Netzwerkdatenverkehr zu einer IP oder Domäne erkannt wurde, die mit einer bekannten Bedrohung verknüpft ist.

Ein SUBJEKT-Feld und eine IP-Adresse oder Domäne werden angezeigt. Beispiel: Reputation: evil.com (Referenzereignis), 6.6.6.6 (Referenzereignis) oder bad.org (Referenzereignis).

Diese fehlerhaften Domänen und IP-Adressen werden in der Regel blockiert. Wenn verfügbar, werden zusätzliche Reputationsinformationen angezeigt.

IP-Adressen können mit einer Ortsangabe (Landesflagge) versehen werden.

Nachweistyp: SIGNATUR

Gibt an, dass Netzwerkdatenverkehr erkannt wurde, der einer Netzwerksignatur für eine bekannte Bedrohung entspricht.

Es wird ein Detector-Feld angezeigt, das den Namen bzw. den eindeutigen Bezeichner der übereinstimmenden Signatur enthält. Beispiel: Detector: et:2014612 oder Detector: llrules:1490720342088.

Nachweistyp: ANOMALIE

Ähnlich wie bei SIGNATUR, mit dem Unterschied, dass die Erkennung auf einer Heuristik basiert, die eine Anomalie entdeckt hat. Beispiel: Anomaly: anomaly:download_smb.

Nachweistyp: DATEIDOWNLOAD

Eine bösartige oder verdächtige Datei wurde heruntergeladen.

Eine task_uuid, der Bezeichner einer Analyse (Detonation in der Sandbox), und der severity, die Bewertung dieser Analyse, werden angezeigt. Beispiel: File download: a7ed621.

Im Folgenden sind zusätzliche optionale Informationen aus dem Referenzereignis aufgeführt.

• Die URL, von der die Datei heruntergeladen wurde

• Der Dateityp (in der Regel ausführbare Datei)

• Der Dateiname

Nachweistyp: UNUSUAL_PORT

Gibt an, dass ein TCP- oder UDP-Port verwendet wird, der ein ungewöhnlicher Port ist und dem entspricht, was von dieser spezifischen Bedrohung erwartet wird.

Die IP-Adresse oder Domäne, die an dem Datenverkehr beteiligt ist, der den ungewöhnlichen Port verwendet hat, wird im SUBJEKT-Feld angezeigt.

Nachweistyp URL_PATH_MATCH

Ähnlich wie „Unusual Port“, mit dem Unterschied, dass die Erkennung auf einem URL-Pfad basiert. Zum Beispiel http://evil.com/evil/path?evil=threat, die Erkennung wird durch den /evil/path-Teil der URL ausgelöst.

Nachweistyp DGA

DGA steht für „Algorithmus zur Domänengenerierung“, ein Ansatz, der von einigen Malware-Programmen verwendet wird. Anstatt eine kleine Anzahl von Domänen für den Command-and-Control-Angriff zu verwenden, enthält die Malware einen Algorithmus, der jeden Tag Tausende von neuen, zufällig aussehenden Domänen erzeugt. Anschließend versucht sie, jede von ihnen zu erreichen. Um die Malware zu steuern, registriert der Hacker einfach eine oder einige dieser Domänen. Der Einsatz von DGA ist im Netz aufgrund der Auflösungsversuche vieler solcher Domänen deutlich zu erkennen.

Die DGA-Nachweise werden zurzeit zusätzlich zu regulären Reputationsnachweisen verwendet, wenn mehrere ungültige Domänen von einem DGA-Algorithmus erkannt werden, der aufgelöst wird.

Nachweis aus Korrelation mehrerer Ereignisse

Nachweis aus Korrelation mehrerer Ereignisse

Die folgenden Nachweistypen werden erstellt, wenn die Kombination mehrerer Netzwerkereignisse auf einem Host das Vertrauen erhöht, dass eine Bedrohung korrekt erkannt wurde. Bei den Nachweistypen kann es sich z. B. um denselben Reputationseintrag handeln, der kontaktiert wurde, oder um dieselbe Netzwerksignatur, die ausgelöst wurde.

Für jeden dieser Fälle kann die Bedrohung wie folgt gekennzeichnet werden.

• Repeated: Die konkrete Bedrohung wurde drei oder mehr Mal beobachtet.

• Periodic: Die konkrete Bedrohung trat auch in regelmäßigen Abständen auf.

Die entsprechenden Reputations-/Signaturnachweise werden mit einer Kennzeichnung versehen.

Im Beispiel des REPUTATION-Nachweises wird ein REPEATED- oder PERIODIC-Tag angezeigt, wenn wiederholte und periodische Nachweise für bad.org erkannt werden.

Nachweistyp: CONFIRMED_EXECUTION

Dies steht im Zusammenhang mit Bedrohungen, wie z. B. SCHÄDLICHER DATEIDOWNLOAD. Das bedeutet, dass von dem Host, der die Datei heruntergeladen hat, ein Netzwerkverhalten erkannt wurde, das bestätigt, dass die heruntergeladene Datei tatsächlich ausgeführt wurde.

Das bedeutet:

• Eine bösartige Datei wurde auf den Host 1.2.3.4 heruntergeladen.

• Wenn sie in einer Sandbox ausgeführt wurde, kontaktierte diese Datei den bösartigen Host evil.com.

• Kurz danach wird der Befehls- und Steuerungsdatenverkehr vom Host 1.2.3.4 zu evil.com beobachtet, der bestätigt, dass die schädliche Datei ausgeführt wurde.

Das verknüpfte Referenzereignis ist der Ort, an dem die Datei heruntergeladen wurde.

Zusätzliche Nachweise können die Bedrohung bestätigen, z. B. die folgenden Informationen über die Datei.

• Aufgaben-UUID

• Bewertung

• Dateiname

• URL, von der sie heruntergeladen wurde

Nachweistyp: CONFIRMED_C&C

Ähnlich wie der Nachweis CONFIRMED_EXECUTION wird dieser Nachweis zur Erkennung von Befehls- und Steuerungsdatenverkehr für die angegebene Bedrohung hinzugefügt, da der Host zuvor eine Datei für diese Bedrohung heruntergeladen hat.

Nachweistyp: CONFIRMED_DRIVE_BY

Dies wird hinzugefügt, wenn ein Drive-By-Angriff erkannt wurde, gefolgt von einem Hinweis, dass der Angriff erfolgreich war. Beispiel:

• Host 1.2.3.4 scheint Opfer eines Drive-by-Angriffs zu sein.

• Kurze Zeit später wird Host 1.2.3.4 ebenfalls zum Opfer:

  • Eine schädliche Datei wurde heruntergeladen.

  • Befehls- und Steuerungsdatenverkehr wurde ausgeführt

Dieser Nachweis wird dem Referenzereignis des anfänglichen Drive-by-Ereignisses hinzugefügt.

Nachweistyp: DRIVEBY_CONFIRMATION

Ähnlich wie der Nachweis CONFIRMED_DRIVEBY wird dieser Nachweis als Referenzereignis zu den Erkennungen des Herunterladens einer schädlichen Datei oder der Ausführung der Befehls- und Steuerungsdatenverkehrs hinzugefügt, die kurz nach einem Drive-by-Angriff erfolgten.