L'objectif principal de la fonctionnalité NSX Network Detection and Response est de collecter des activités anormales clés ou des événements malveillants à partir de chaque source d'événement activée dans votre environnement NSX. Suivant le modèle MITRE ATT&CK®, NSX Network Detection and Response traite les événements de détection générés à partir d'un réseau géré par NSX. NSX Network Detection and Response agrège et met en corrélation ces événements liés à la sécurité pour présenter aux utilisateurs une visualisation des menaces spécifiques en fonction des tactiques et techniques décrites dans l'infrastructure MITRE ATT&CK.
NSX Network Detection and Response met en corrélation les événements associés dans des campagnes. Il organise des événements liés à des menaces dans une campagne en une chronologie accessible à un analyste en sécurité qui peut afficher et trier les campagnes de menace en mettant en corrélation des signaux de menace.
Terminologie et concepts clés de NSX Network Detection and Response
Le tableau suivant fournit la terminologie clé utilisée dans NSX Network Detection and Response.
Terme/Concept clé | Définition |
---|---|
Campagne | Une campagne fait référence à une série d'événements liés à la sécurité dans le réseau surveillé qui sont détectés et reliés par le service NSX Network Detection and Response. Ces événements de sécurité peuvent inclure des correspondances de signature IDS, des événements de trafic suspects ou des événements de transfert de fichiers malveillants. NSX Network Detection and Response utilise l'apprentissage automatique et les analyses avancées pour identifier les menaces de sécurité et générer automatiquement des campagnes qui fournissent aux équipes de sécurité une vue complète des menaces. Un score d'impact est attribué à chaque campagne en fonction du risque présenté par les événements de sécurité qui constituent la campagne. Lorsqu'une campagne est détectée, NSX Network Detection and Response fournit des informations détaillées sur les événements de détection qui composent la campagne, y compris la charge de travail impliquée, la nature des activités et l'incidence potentielle sur le réseau. Ces informations vous permettent de rechercher rapidement les menaces de sécurité et d'y répondre, ce qui vous permet d'éviter les violations de données et d'autres incidents de sécurité. |
Score d'impact de campagne | La mesure Score d'impact de campagne est une mesure qui peut vous aider à évaluer rapidement l'urgence d'une menace potentielle pour la sécurité et à hiérarchiser le triage et la résolution en conséquence. En ciblant les campagnes avec des scores d'impact plus élevés, vous pouvez rapidement résoudre les menaces les plus critiques et réduire le risque d'incidents de sécurité. Le score d'impact de campagne est calculé à partir de l'ensemble des événements de détection qui se trouvent dans la campagne à l'aide d'une combinaison de facteurs, tels que la confiance, la gravité et l'incidence de l'événement. Le score est présenté sur une échelle de 0 à 100, les scores plus élevés indiquant une incidence potentielle plus importante. Un score de 0 indique que la campagne n'a aucune incidence, tandis qu'un score de 100 indique que la campagne présente une menace immédiate et grave. Pour plus de détails, reportez-vous à la section Campagnes. |
Destination | Une destination fait référence à la destination du flux, plus communément appelée serveur. |
Événement de détection ou de détection | Les détections ou événements de détection représentent l'activité pertinente pour la sécurité qui s'est produite dans le réseau et qui a été détectée par NSX Network Detection and Response. Lorsque de nouvelles données de détection sont reçues à partir des sites, elles sont agrégées avec des événements déjà reçus afin de déterminer si elles font référence à la même détection de menace. Sinon, un nouvel événement de détection est créé. Chaque détection se voit attribuer une classification basée sur l'infrastructure MITRE ATT&CK, une menace et un score d'impact. Un événement de détection peut être corrélé dans une campagne s'il est considéré comme lié aux détections de la campagne. L'événement ne sera pas inclus dans une campagne si des événements ne sont pas considérés comme liés à l'événement actuel. |
Score d'impact de détection | Le score d'impact de détection est une mesure qui combine la gravité ou le « niveau de malveillance » de la menace et de la confiance dans la précision de la détection. Le score d'impact de détection est calculé en combinant la gravité et la confiance. Un score est compris entre 0 et 100, 100 constituant la détection la plus dangereuse. Pour plus de détails, reportez-vous à la section Détections dans NSX Network Detection and Response. |
MITRE ATT&CK® | S'appuyant sur des observations du monde réel, MITRE ATT&CK est une base de connaissances accessible dans le monde entier sur les tactiques et techniques d'adversaires. La base de connaissances ATT&CK sert de base au développement de modèles et de méthodologies spécifiques liés aux menaces dans le secteur privé, le secteur public et la communauté des produits et services de cybersécurité. NSX Network Detection and Response utilise l'infrastructure MITRE ATT&CK, car les événements de détection sont mappés aux tactiques et techniques MITRE ATT&CK. Pour plus d'informations sur la base de connaissances MITRE ATT&CK, reportez-vous au site officiel. |
Tactiques MITRE ATT&CK | Les tactiques représentent le « pourquoi » d'une technique ou sous-technique ATT&CK. C'est l'objectif tactique de l'adversaire : la raison le poussant à accomplir une action. Par exemple, un adversaire peut vouloir obtenir l'accès aux informations d'identification. Les événements dans NSX Network Detection and Response sont mappés aux tactiques MITRE ATT&CK pour aider à comprendre l'intention de l'activité détectée. Outre les tactiques MITRE ATT&CK, le système NSX Network Detection and Response utilise les deux catégories de tactiques personnalisées suivantes :
Pour plus d'informations sur les tactiques MITRE ATT&CK, reportez-vous à la section https://attack.mitre.org/tactics/enterprise/. |
Technique MITRE ATT&CK | Les techniques représentent le « comment », c'est-à-dire la façon dont les attaquants effectuent une tactique dans la pratique. Pour plus d'informations sur les tactiques et techniques de MITRE ATT&CK, reportez-vous à la section https://attack.mitre.org/techniques/enterprise/. |
SIEM | Un système de gestion des événements et des informations de sécurité (SIEM, Security Information and Event Management) est un produit ou service de sécurité qui collecte, gère et analyse des données liées à la sécurité et à d'autres événements. Un SIEM surveille et analyse la sécurité en temps réel. |
Signature | Une signature est une expression de correspondance de modèle qui est comparée au trafic dans le but de détecter une activité potentiellement malveillante, telle que les tentatives d'exploitation, le trafic de commande et contrôle, le déplacement latéral et l'exfiltration. |
Source | Une source fait référence à la source du flux réseau, qui est plus communément appelée client. |
Menace | Une menace, en général, fait référence à toute activité ou tout comportement suspect pouvant indiquer une faille de sécurité ou une attaque sur le réseau. Dans NSX Network Detection and Response, une « menace » est attribuée à chaque événement de détection. Outre la classification MITRE ATT&CK, l'attribution d'une menace est une autre manière de classer les détections. Une menace permet une catégorisation plus spécifique de l'événement malveillant détecté, tel qu'un nom de programme malveillant ou un ID CVE spécifique. Lorsque ces catégorisations spécifiques ne sont pas disponibles, la menace peut être une catégorisation plus générique. |
Type de détection dans NSX Network Detection and Response
Les détections dans NSX Network Detection and Response sont de différents types, selon la technologie de détection impliquée. Les types de détection actuellement pris en charge sont les suivants :
- Événements du système de détection des intrusions (IDS) : il s'agit de correspondances avec des signatures IDS qui sont détectées en comparant les signatures IDS au trafic réseau dans le réseau protégé.
- Événements d'anomalies de trafic réseau (NTA) : fonctionnalité de Trafic NSX suspect qui génère une analyse des menaces réseau sur les données de flux de trafic réseau est-ouest que NSX Intelligence collecte à partir de vos charges de travail NSX éligibles (hôtes ou clusters d'hôtes).
- Événements de transfert de fichiers malveillants : fonctionnalité Prévention des logiciels malveillants de NSX qui envoie les événements de fichiers malveillants qui se sont produits au niveau de la passerelle à NSX Network Detection and Response à des fins d'analyse. Les événements de fichiers suspects ou malveillants (score de 30 ou plus) sont envoyés à NSX Network Detection and Response.
Événements de détection de fichiers malveillants : fonctionnalité Prévention des logiciels malveillants de NSX qui envoie un fichier malveillant détecté dans une charge de travail. Les fichiers créés dans le système de fichiers de la charge de travail sont analysés et ces événements de fichiers (score de 30 ou plus) sont envoyés à NSX Network Detection and Response.
Types et sources d’événements
Type d'événement | Source de l'événement |
---|---|
Événements IDS | IDS distribué et Edge, si vous activez la fonctionnalité Distributed NSX IDS/IPS. |
Événements d'anomalie de trafic réseau (NTA) | Si vous activez les détecteurs Trafic NSX suspect. |
Événements de transfert de fichiers malveillants | Événements de transfert de fichiers malveillants détectés dans une charge de travail, si vous activez la fonctionnalité Prévention des logiciels malveillants de NSX. |
Événements de détection de fichiers malveillants | Événements de fichiers malveillants détectés sur l'hôte, si vous activez la fonctionnalité Prévention des logiciels malveillants de NSX. |