El objetivo principal de la función NSX Network Detection and Response es recopilar actividades anómalas clave o eventos malintencionados de cada origen de evento activado en el entorno de NSX. Siguiendo el modelo de MITRE ATT&CK®, NSX Network Detection and Response procesa los eventos de detección que se generan desde una red administrada por NSX. NSX Network Detection and Response agrega y correlaciona estos eventos relacionados con la seguridad para presentar a los usuarios una visualización de las amenazas específicas en función de las tácticas y técnicas descritas en el marco de MITRE ATT&CK.

NSX Network Detection and Response correlaciona los eventos relacionados en campañas. Organiza los eventos de amenazas de una campaña en una cronología que está disponible para que un analista de seguridad puede ver y clasificar campañas de amenazas mediante la correlación de señales de amenaza.

Terminología y conceptos clave de NSX Network Detection and Response

En la siguiente tabla se incluyen la terminología clave que se utiliza en NSX Network Detection and Response.

Término / Concepto de clave Definición
Campaña

Una campaña hace referencia a una serie de eventos relacionados con la seguridad de la red supervisada que el servicio NSX Network Detection and Response detecta y correlaciona. Estos eventos de seguridad pueden incluir coincidencias de firma de IDS, eventos de tráfico sospechoso o eventos de transferencia de archivos malintencionados.

NSX Network Detection and Response usa el aprendizaje automático y los análisis avanzados para identificar amenazas de seguridad y generar automáticamente campañas que proporcionan a los equipos de seguridad una visión completa de las posibles amenazas. A cada campaña se le asigna una puntuación de impacto en función del riesgo que representan los eventos de seguridad que componen la campaña.

Una vez que se detecta una campaña, NSX Network Detection and Response muestra información detallada sobre los eventos que conforman la campaña, incluidas las cargas de trabajo involucradas, la naturaleza de las actividades y el posible impacto en la red. Esta información permite investigar y responder rápidamente a las amenazas de seguridad, lo que ayuda a evitar vulneraciones de datos y otros incidentes de seguridad.

Puntuación de impacto de la campaña

La puntuación de impacto de la campaña es una métrica que puede ayudarle a evaluar rápidamente la urgencia de una posible amenaza de seguridad y a priorizar la clasificación y la resolución en consecuencia. Al poder centrarse en las campañas con puntuaciones de impacto más altas, podrá responder rápidamente a las amenazas más críticas y minimizar así el riesgo de incidentes de seguridad.

La puntuación de impacto de campaña se calcula a partir del conjunto de eventos de detección que hay en la campaña usando diferentes factores, como la confianza, la gravedad y el impacto del evento.

La puntuación se muestra en una escala de 0 a 100, siendo las puntuaciones más altas las que indican un mayor impacto potencial. Una puntuación de 0 indica que la campaña no tiene ningún impacto, mientras que una puntuación de 100 indica que la campaña representa una amenaza inmediata y grave.

Para obtener más información, consulte Campañas.

Destino Un destino hace referencia al destino de un flujo, más comúnmente denominado el servidor.
Detección o evento de detección

Las detecciones o eventos de detección representan la actividad relevante para la seguridad producida en la red y detectada por NSX Network Detection and Response. Cuando se reciben nuevos datos de detección de los sitios, esos datos se agregan a eventos ya recibidos para determinar si hacen referencia a la misma detección de amenazas. De lo contrario, se creará un nuevo evento de detección.

A cada detección se le asigna una clasificación basada en el marco de MITRE ATT&CK, una amenaza y una puntuación de impacto.

Un evento de detección se puede correlacionar con una campaña si se considera que está relacionado con las detecciones de la campaña. El evento no se incluirá en una campaña si no se considera que está relacionado con el evento actual.

Puntuación de impacto de detección

La puntuación de impacto de detección es una métrica que combina la gravedad o la "seriedad" de la amenaza y la confianza en la precisión de la detección.

La puntuación de impacto de la detección se calcula combinando la gravedad y la confianza.

La puntuación oscila entre 0 y 100, siendo 100 la detección más peligrosa.

Para obtener más información, consulte Detecciones en NSX Network Detection and Response.

MITRE ATT&CK®

MITRE ATT&CK es una base de conocimientos accesible en todo el mundo sobre tácticas y técnicas de adversarios basadas en observaciones del mundo real. La base de conocimientos de MITRE ATT&CK se utiliza para el desarrollo de metodologías y modelos de amenazas específicos en el sector privado, en el sector gubernamental y en la comunidad de servicios y productos de ciberseguridad.

NSX Network Detection and Response asigna los eventos de detección a las tácticas y técnicas del marco de MITRE ATT&CK.

Para obtener más información sobre la base de conocimientos de MITRE ATT&CK, consulte el sitio oficial.

Táctica de MITRE ATT&CK Las tácticas representan el "por qué" de una técnica o subtécnica de ATT&CK. Es el objetivo táctico del adversario: la razón para realizar una acción. Por ejemplo, un adversario puede intentar acceder a las credenciales. Los eventos de NSX Network Detection and Response se asignan a las tácticas de MITRE ATT&CK para conocer la finalidad de la actividad detectada.

Además de las tácticas de MITRE ATT&CK, el sistema de NSX Network Detection and Response utiliza dos categorías de tácticas personalizadas, como se indica a continuación:

  • Vulnerabilidad: se asocia con la detección de posibles vulnerabilidades o problemas de postura de seguridad en una red, incluidas infracciones de directivas. El marco de MITRE ATT&CK, por diseño, no cubre este caso, ya que se centra en ataques, no en vulnerabilidades.
  • Indeterminado: asociado con detecciones para las que el sistema de NSX Network Detection and Response no pudo determinar una táctica de MITRE ATT&CK.

Consulte https://attack.mitre.org/tactics/enterprise/ para obtener más información sobre las tácticas de MITRE ATT&CK.

Técnica de MITRE ATT&CK Las técnicas representan el "cómo", es decir, cómo los atacantes llevan a cabo una táctica en la práctica.

Consulte https://attack.mitre.org/techniques/enterprise/ para obtener más información sobre las tácticas y técnicas de MITRE ATT&CK.

SIEM SIEM (Administración de eventos e información de seguridad) es un producto o servicio de seguridad que recopila, administra y analiza datos de seguridad y otros eventos. SIEM proporciona análisis y supervisión de seguridad en tiempo real.
Firma

Una firma es una expresión de coincidencia de patrones que se compara con el tráfico para detectar actividad potencialmente malintencionada, como intentos de explotación de vulnerabilidades de seguridad, tráfico de comando y control, movimientos laterales y exfiltraciones.

Origen Un "origen" hace referencia al origen del flujo de red, más comúnmente denominado el cliente.
Amenaza En general, una amenaza hace referencia a actividades o comportamientos sospechosos que podrían indicar una infracción de seguridad o un ataque a la red.

En NSX Network Detection and Response, a cada evento de detección se le asigna una "amenaza". Además de MITRE ATT&CK, las amenazas son otra forma de clasificar las detecciones. Las amenazas suelen ser un sistema de categorización más específico de la gravedad detectada, como un nombre de malware o un identificador de CVE concreto. Cuando estas categorizaciones específicas no están disponibles, las amenazas pueden ser una categorización más genérica.

Tipo de detección en NSX Network Detection and Response

Las detecciones en NSX Network Detection and Response son de diferentes tipos según la tecnología de detección que se utilice para detectarlas. Los tipos de detección admitidos actualmente son:

  • Eventos del sistema de detección de intrusiones (IDS): son coincidencias de firmas IDS detectadas mediante la comparación de firmas IDS con el tráfico de red en la red protegida.
  • Eventos de anomalías de tráfico de red (Network Traffic Anomaly, NTA): la función NSX Suspicious Traffic genera análisis de amenazas de red en los datos de flujo de tráfico de red de este-oeste que NSX Intelligence recopila de las cargas de trabajo de NSX aptas (hosts o clústeres de hosts).
  • Eventos de transferencia de archivos malintencionados: la función NSX Malware Prevention envía eventos de archivos malintencionados que se produjeron en la puerta de enlace a NSX Network Detection and Response para su análisis. Los eventos de archivos sospechosos o malintencionados (con una puntuación de al menos 30) se envían a NSX Network Detection and Response.
  • Eventos de detección de archivos malintencionados: la función NSX Malware Prevention envía archivos malintencionados detectados en una carga de trabajo. Los archivos creados en el sistema de archivos de la carga de trabajo se analizan, y esos eventos de archivo (con una puntuación de al menos 30) se envían a NSX Network Detection and Response.

Tipos de eventos y orígenes de eventos

En la siguiente tabla se enumeran los tipos de eventos que NSX Network Detection and Response puede recopilar y los orígenes que generan esos eventos. Para que cualquiera de los orígenes de eventos envíe los eventos a NSX Network Detection and Response, debe activar la función de NSX correspondiente mencionada para el tipo de evento.
Tipo de evento Origen del evento
eventos de IDS IDS distribuido y Edge, si activa la función NSX IDS/IPS distribuido.
Eventos de anomalías de tráfico de red (NTA) Si activa los detectores de NSX Suspicious Traffic.
Eventos de transferencia de archivos malintencionados Eventos de transferencia de archivos malintencionados detectados en una carga de trabajo, si activa la función NSX Malware Prevention.
Eventos de detección de archivos malintencionados Eventos de archivos malintencionados detectados en el host, si activa la función NSX Malware Prevention.
Importante: Para maximizar la función NSX Network Detection and Response, active una o varias de las funciones de NSX cuyos eventos consume. Aunque puede activar la función NSX Network Detection and Response por su cuenta, si no activa ninguna de las funciones de NSX mencionadas en la tabla anterior, NSX Network Detection and Response no tendrá ningún evento para analizar y, por tanto, no podrá ofrecer ninguno de los beneficios que ofrece.