NSX Network Detection and Response utiliza varias reglas de correlación para crear, actualizar y combinar campañas.

Las reglas de correlación de campañas se basan en las tácticas y las técnicas descritas en el marco de MITRE ATT&CK. Estas reglas correlacionan eventos en función de la siguiente actividad:

Regla de correlación de campañas Descripción
Exfiltración

Los eventos de exfiltración se correlacionan con una carga de trabajo precedida por eventos de tipo infección observados en la misma carga de trabajo, es decir, eventos que traicionan una carga de trabajo potencialmente comprometida de tal forma que ofrecen al atacante la capacidad de ejecutar acciones arbitrarias.

Por ejemplo, un evento de comando y comando o drive-by va seguido de un evento de red que sabemos que está exfiltrando datos.

Para obtener más información sobre la táctica de exfiltración, consulte MITRE ATT&CK → Tactics → Enterprise → Exfiltration.

Evento de impacto alto en host infectado Los eventos de tipo infectado de alto impacto se correlacionan cuando se producen en un host que tiene otra actividad reciente que sugiere que el host puede estar infectado.
Movimiento lateral saliente

La correlación se establece cuando los eventos de movimiento lateral pasan de un recurso informático en el que se observaron eventos de tipo infección o eventos de movimiento lateral entrantes anteriores.

Por ejemplo, un evento de comando y control en un recurso informático va seguido de un movimiento lateral hacia otro recurso informático en la red privada.

Para obtener más información sobre la táctica de movimiento lateral, consulte MITRE ATT&CK → Tactics → Enterprise → Lateral Movement.

Movimiento lateral entrante

Los eventos de movimiento lateral que van seguidos por eventos de tipo infección están correlacionados.

Por ejemplo, se detecta actividad de RDP desde la carga de trabajo A hacia la carga de trabajo B y, después, se observa actividad de comando y control originada en la carga de trabajo B.

Para obtener más información sobre la táctica de movimiento lateral, consulte MITRE ATT&CK → Tactics → Enterprise → Lateral Movement.

Drive-by confirmado por un evento de comando y control

La correlación se establece cuando un evento de infección drive-by es seguido por un evento de comando y control.

Por ejemplo, una carga de trabajo visita un sitio web malintencionado, se genera un evento drive-by y, a continuación, se produce un evento de comando y control en la misma carga de trabajo.

Para obtener más información sobre la técnica drive-by, consulte MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise.

Drive-by confirmado por un evento de archivo malintencionado

La correlación se establece cuando un evento de infección drive-by es seguido de una transferencia de archivos malintencionados que confirma el éxito del intento drive-by y la infección del cliente.

Para obtener más información sobre la técnica drive-by, consulte MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise.

Regla de onda de comando y control de IDS

Se establece una correlación para los eventos de comando y control de IDS que comparten la misma amenaza.

Por ejemplo, varios hosts crean eventos de red de IDS para una amenaza específica de comando y control en un pequeño período de tiempo.

Para obtener más información sobre la táctica de comando y control, consulte MITRE ATT&CK → Tactics → Enterprise → Command and Control.

Oleada de archivos malintencionados

Se establece una correlación para los eventos de archivos malintencionados que comparten el mismo hash de archivo.

Por ejemplo, varios hosts descargan el mismo ransomware en un corto periodo de tiempo.

Misma amenaza en la carga de trabajo

Las detecciones de la misma amenaza en la misma carga de trabajo están correlacionadas. Según esta regla, solo se incluyen las detecciones en las campañas existentes.

Varios eventos de anomalías en la carga de trabajo Las detecciones de varios eventos de anomalía en la misma carga de trabajo están correlacionadas. En función de esta regla, se escala una combinación de detecciones con menor gravedad.