Das Hauptziel der NSX Network Detection and Response-Funktion besteht darin, wichtige abnormale Aktivitäten oder bösartige Ereignisse aus jeder Ereignisquelle zu erfassen, die in Ihrer NSX-Umgebung aktiviert ist. Gemäß dem MITRE ATT&CK®-Modell verarbeitet NSX Network Detection and Response die Erkennungsereignisse, die von einem NSX-verwalteten Netzwerk generiert werden. NSX Network Detection and Response aggregiert und korreliert diese sicherheitsrelevanten Ereignisse und präsentiert Benutzern eine Visualisierung der spezifischen Bedrohungen auf Basis der im MITRE ATT&CK-Framework beschriebenen Taktiken und Techniken.
NSX Network Detection and Response korreliert zugehörige Ereignisse in Aktivitäten. Bedrohungsereignisse in einer Aktivität werden in einer Zeitleiste organisiert, die Sicherheitsanalysten über die -Benutzeroberfläche anzeigen und einordnen können, um Bedrohungsaktivitäten durch das Korrelieren von Bedrohungssignalen zu selektieren.
Terminologie und Schlüsselkonzepte in NSX Network Detection and Response
Die folgende Tabelle enthält die wichtigsten Begriffe, die in NSX Network Detection and Response verwendet werden.
Begriff/Schlüsselkonzept | Definition |
---|---|
Aktivität | Eine Aktivität bezieht sich auf eine Reihe sicherheitsbezogener Ereignisse im überwachten Netzwerk, die vom NSX Network Detection and Response-Dienst erkannt und in Zusammenhang gebracht werden. Diese Sicherheitsereignisse können übereinstimmende IDS-Signaturen, verdächtige Datenverkehrsereignisse oder bösartige Dateiübertragungsereignisse umfassen. NSX Network Detection and Response verwendet maschinelles Lernen und erweiterte Analysen, um Sicherheitsbedrohungen zu erkennen und automatisch Aktivitäten zu erzeugen, die Sicherheitsteams einen umfassenden Überblick über potenzielle Bedrohungen bieten. Jeder Aktivität wird eine Auswirkungsbewertung basierend auf dem Risiko zugewiesen, das von den Sicherheitsereignissen ausgeht, aus denen die Aktivität besteht. Nach der Erkennung einer Aktivität stellt NSX Network Detection and Response detaillierte Informationen zu den Erkennungsereignissen bereit, aus denen sich die Aktivität zusammensetzt, einschließlich der betroffenen Arbeitslasten, der Art der Aktivitäten und der potenziellen Auswirkungen auf das Netzwerk. Mithilfe dieser Informationen können Sie Sicherheitsbedrohungen schnell untersuchen und darauf reagieren, um Datenschutzverletzungen und andere Sicherheitsvorfälle zu verhindern. |
Auswirkungsbewertung für eine Aktivität | Die Auswirkungsbewertung für eine Aktivität ist eine Metrik, mit der Sie die Dringlichkeit einer potenziellen Sicherheitsbedrohung schnell einschätzen und die Triage und die Lösung entsprechend priorisieren können. Indem Sie sich auf Aktivitäten mit höheren Auswirkungsbewertungen konzentrieren, können Sie schnell auf die kritischsten Bedrohungen eingehen und das Risiko von Sicherheitsvorfällen minimieren. Die Auswirkungsbewertung für eine Aktivität wird anhand der in der Aktivität enthaltenen Erkennungsereignisse berechnet, indem eine Kombination aus Faktoren wie Vertrauen, Schweregrad und Auswirkungen des Ereignisses verwendet wird. Die Auswertung wird auf einer Skala von 0 bis 100 angezeigt, wobei höhere Punktzahlen auf eine größere potenzielle Auswirkung hindeuten. Eine Punktzahl von 0 gibt an, dass die Aktivität keine Auswirkungen hat, während eine Punktzahl von 100 bedeutet, dass die Aktivität eine unmittelbare und schwerwiegende Bedrohung darstellt. Weitere Informationen finden Sie unter Aktivitäten. |
Ziel | Ziel bezieht sich auf das Ziel eines Flows, das meist als Server bezeichnet wird. |
Erkennung oder Erkennungsereignis | Erkennungen, auch als Erkennungsereignisse bezeichnet, sind sicherheitsrelevante Aktivitäten, die im Netzwerk aufgetreten sind und von NSX Network Detection and Response erkannt wurden. Wenn von Sites neue Erkennungsdaten empfangen werden, werden diese Daten mit bereits empfangenen Ereignissen aggregiert, um festzustellen, ob sie sich auf dieselbe Bedrohungserkennung beziehen. Andernfalls wird ein neues Erkennungsereignis erstellt. Allen Erkennungen wird eine auf dem MITRE ATT&CK-Framework basierende Klassifizierung, eine Bedrohungs- und eine Auswirkungsbewertung zugewiesen. Ein Erkennungsereignis kann mit einer Aktivität korreliert werden, wenn es als mit den Erkennungen in der Aktivität verbunden erachtet wird. Das Ereignis wird nicht in eine Aktivität aufgenommen, wenn Ereignisse nicht als im Zusammenhang mit dem aktuellen Ereignis stehend erachtet werden. |
Auswirkungsbewertung für die Erkennung | Bei der Auswirkungsbewertung für eine Erkennung handelt es sich um eine Metrik, die eine Kombination aus dem Schweregrad und der „Bösartigkeit“ der Bedrohung und dem Vertrauen in die Genauigkeit der Erkennung darstellt. Die Auswirkungsbewertung für eine Erkennung wird berechnet, indem der Schweregrad und die Konfidenz kombiniert werden. Die Punktzahl reicht von 0-100, wobei 100 die gefährlichste Erkennung darstellt. Weitere Informationen finden Sie unter Erkennungen in NSX Network Detection and Response. |
MITRE ATT&CK® | MITRE ATT&CK ist eine weltweit zugängliche Wissensdatenbank für Angriffstaktiken und -techniken auf Basis von beobachteten tatsächlichen Ereignissen. Die ATT&CK-Wissensdatenbank dient als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten wie staatlichen Sektor sowie für Cybersicherheitsprodukte und -dienste. NSX Network Detection and Response nutzt das MITRE ATT&CK-Framework, indem die Erkennungsereignisse den MITRE ATT&CK-Taktiken und -Techniken zugeordnet werden. Weitere Informationen zur MITRE ATT&CK-Wissensdatenbank finden Sie auf der offiziellen Website. |
MITRE ATT&CK-Taktik | Die Beweggründe für eine ATT&CK-Technik oder Teiltechnik werden als „Taktik“ bezeichnet. Es geht um das taktische Ziel des Angreifers, den Grund für eine Aktion. Ein Angreifer möchte beispielsweise Zugriff auf Anmeldedaten erhalten. Die Ereignisse in NSX Network Detection and Response werden den MITRE ATT&CK-Taktiken zugeordnet, um die Absicht der erkannten Aktivität nachzuvollziehen. Zusätzlich zu den MITRE ATT&CK-Taktiken verwendet das NSX Network Detection and Response-System zwei benutzerdefinierte Taktikkategorien:
Weitere Informationen zu MITRE ATT&CK-Taktiken finden Sie unter https://attack.mitre.org/tactics/enterprise/. |
MITRE ATT&CK-Technik | Techniken geben die Vorgehensweise an: Wie Angreifer eine Taktik in der Praxis ausführen. Weitere Informationen zu MITRE ATT&CK-Taktiken und -Techniken finden Sie unter https://attack.mitre.org/techniques/enterprise/. |
SIEM | Security Information and Event Management (SIEM) ist ein Sicherheitsprodukt oder -dienst zur Erfassung, Verwaltung und Analyse von Sicherheits- und anderen Ereignisdaten. SIEM bietet Sicherheitsüberwachung und -analyse in Echtzeit. |
Signatur | Eine Signatur ist ein mit einem Muster übereinstimmender Ausdruck, der mit dem Datenverkehr verglichen wird, um potenziell bösartige Aktivitäten wie Exploit-Versuche, Command and Control-Datenverkehr, laterale Bewegungen und Exfiltrationen zu erkennen. |
Quelle | Quelle bezeichnet die Quelle des Netzwerkflows, der meist als Client bezeichnet wird. |
Bedrohung | Eine Bedrohung bezieht sich in der Regel auf verdächtige Aktivitäten oder Verhaltensweisen, die potenziell auf eine Sicherheitsverletzung oder einen Angriff auf das Netzwerk hinweisen können. In NSX Network Detection and Response wird jedem Erkennungsereignis eine „Bedrohung“ zugewiesen. Zusätzlich zu MITRE ATT&CK sind Bedrohungen eine andere Möglichkeit, Erkennungen zu klassifizieren. Eine Bedrohung ist in der Regel eine spezifischere Kategorisierung der erkannten „Bösartigkeit“, beispielsweise ein bestimmter Malware-Name oder eine CVE-ID. Wenn diese spezifischen Kategorisierungen nicht verfügbar sind, kann die Bedrohung eine allgemeinere Kategorisierung sein. |
Erkennungstyp in NSX Network Detection and Response
Erkennungen in NSX Network Detection and Response unterscheiden sich je nach der für die Erkennung verwendeten Detektionstechnologie. Aktuell werden die folgenden Erkennungstypen unterstützt:
- Durch System zur Erkennung von Eindringversuchen erkannte Ereignisse (Intrusion Detection System Events, IDS): Dabei handelt es sich um Erkennungen durch Abgleiche von IDS-Signaturen mit dem Netzwerkdatenverkehr im geschützten Netzwerk.
- NTA (Network Traffic Anomaly)-Ereignisse: Die Funktion NSX Suspicious Traffic generiert Netzwerkbedrohungsanalysen für die Daten des horizontalen Netzwerkdatenverkehrs, die NSX Intelligence in Ihren berechtigten NSX-Arbeitslasten (Hosts oder Hostcluster) erfasst.
- Schädliche Dateiübertragungsereignisse: Die Funktion NSX Malware Prevention sendet schädliche Dateiereignisse, die am Gateway aufgetreten sind, zur Analyse an NSX Network Detection and Response. Verdächtige oder schädliche Dateiereignisse (30 oder mehr Punkte) werden an NSX Network Detection and Response gesendet.
Schädliche Dateierkennungsereignisse: Die Funktion NSX Malware Prevention sendet schädliche Dateien, die innerhalb einer Arbeitslast erkannt wurden. Dateien, die im Dateisystem der Arbeitslast erstellt werden, werden analysiert. Diese Dateiereignisse (30 oder mehr Punkte) werden an NSX Network Detection and Response gesendet.
Ereignistypen und Ereignisquellen
Ereignistyp | Ereignisquelle |
---|---|
IDS-Ereignisse | Verteiltes IDS und Edge, wenn Sie die Funktion für verteiltes NSX IDS/IPS aktivieren. |
Anomale Ereignisse im Netzwerkdatenverkehr (NTA) | Wenn Sie die NSX Suspicious Traffic-Detektoren einschalten. |
Schädliche Dateiereignisse | Schädliche Dateiereignisse innerhalb einer Arbeitslast werden erkannt, wenn Sie die Funktion NSX Malware Prevention aktivieren. |
Schädliche Dateierkennungsereignisse | Schädliche Dateierkennungsereignisse auf dem Host werden erkannt, wenn Sie die Funktion NSX Malware Prevention aktivieren. |