NSX Network Detection and Response verwendet eine Reihe von Korrelationsregeln, um Aktivitäten zu erstellen, zu aktualisieren und zusammenzuführen.
Die Korrelationsregeln für die Aktivität basieren auf den Taktiken und Techniken, die im MITRE ATT&CK-Framework beschrieben sind. Diese Regeln korrelieren Ereignisse basierend auf der folgenden Aktivität:
| Korrelationsregel für Aktivitäten | Beschreibung |
|---|---|
| Exfiltration | Exfiltrationsereignisse werden auf einer Arbeitslast korreliert, der infektionsartige Ereignisse vom Typ vorausgehen, die auf derselben Arbeitslast beobachtet werden, also Ereignisse, die eine potenziell kompromittierte Arbeitslast aufzeigen, durch die ein Angreifer beliebige Aktionen ausführen kann. Zum Beispiel folgt auf ein Befehl-und-Steuerung- oder Drive-by-Ereignis ein Netzwerkereignis, von dem wir wissen, dass es Daten exfiltriert. Weitere Informationen zu dieser Exfiltrationstaktik finden Sie unter MITRE ATT&CK → Taktiken → Enterprise → Exfiltration. |
| Ereignis mit hoher Auswirkung auf infizierten Host | Infektionsereignisse mit hoher Auswirkung werden korreliert, wenn sie auf einem Host auftreten, der in jüngster Zeit andere Aktivitäten aufweist, die auf eine Infektion hindeuten. |
| Ausgehende laterale Bewegung | Es wird eine Korrelation hergestellt, wenn laterale Bewegungsereignisse von einer Berechnungseinheit ausgehen, auf der frühere eingehende laterale Bewegungsereignisse oder infektionsartige Ereignisse beobachtet wurden. Auf ein Befehl-und-Steuerung-Ereignis auf einer Berechnungseinheit folgt beispielsweise eine laterale Bewegung zu einer anderen Berechnungseinheit im privaten Netzwerk. Weitere Informationen zur Taktik „Laterale Bewegungen“ finden Sie unter MITRE ATT&CK → Taktiken → Enterprise → Laterale Bewegung. |
| Eingehende laterale Bewegung | Laterale Bewegungsereignisse, auf die infektionsartige Ereignisse folgen, werden korreliert. Es werden beispielsweise RDP-Aktivitäten von Arbeitslast A in Richtung Arbeitslast B erkannt und die nachfolgenden Befehl-und-Steuerung-Aktivitäten werden beobachtet, die von Arbeitslast B stammen. Weitere Informationen zur Taktik „Laterale Bewegungen“ finden Sie unter MITRE ATT&CK → Taktiken → Enterprise → Laterale Bewegung. |
| Drive-by, bestätigt durch ein Befehl-und-Steuerung-Ereignis | Eine Korrelation wird hergestellt, wenn auf ein Drive-by-Infektionsereignis ein Befehl-und-Steuerung-Ereignis folgt. Beispiel: Eine Arbeitslast besucht eine bösartige Website und ein Drive-by-Ereignis wird erstellt, anschließend tritt ein Befehl-und-Steuerung-Ereignis auf derselben Arbeitslast auf. Weitere Informationen zur Drive-by-Technik finden Sie unter MITRE ATT&CK → Techniken → Enterprise → Drive-by-Angriff. |
| Durch ein bösartiges Dateiereignis bestätigter Drive-by-Angriff | Eine Korrelation wird hergestellt, wenn auf ein Drive-by-Infektionsereignis die Übertragung einer schädlichen Datei folgt, die den Erfolg des Drive-by-Angriffs und die Infektion des Clients bestätigt. Weitere Informationen zur Drive-by-Technik finden Sie unter MITRE ATT&CK → Techniken → Enterprise → Drive-by-Angriff |
| IDS-Wellenregel für Befehl und Steuerung | Für IDS-Ereignisse vom Typ „Befehl und Steuerung“, die dieselbe Bedrohung teilen, wird eine Korrelation erstellt. Beispiel: Mehrere Hosts erstellen alle innerhalb eines kleinen Zeitraums IDS-Netzwerkereignisse für eine bestimmte Befehl-und-Steuerung-Bedrohung. Weitere Informationen zur Taktik „Befehl und Steuerung“ finden Sie unter MITRE ATT&CK → Taktiken → Enterprise → Befehl und Steuerung. |
| Welle schädlicher Dateien | Eine Korrelation wird für schädliche Dateiereignisse hergestellt, die denselben Datei-Hash nutzen. Beispiel: Mehrere Hosts laden in einem kurzen Zeitraum die gleiche Ransomware herunter. |
| Gleiche Bedrohung für Arbeitslast | Erkennungen derselben Bedrohung für dieselbe Arbeitslast werden korreliert. Basierend auf dieser Regel werden Erkennungen nur in vorhandenen Aktivitäten berücksichtigt. |
| Mehrere Anomalieereignisse der Arbeitslast | Erkennungen mehrerer Anomalieereignisse derselben Arbeitslast werden korreliert. Basierend auf dieser Regel wird eine Kombination aus Erkennungen mit niedrigerem Schweregrad eskaliert. |
