NSX Network Detection and Response utilise plusieurs règles de corrélation pour créer, mettre à jour et fusionner des campagnes.

Les règles de corrélation de campagne sont basées sur les tactiques et les techniques décrites dans l'infrastructure MITRE ATT&CK. Ces règles mettent en corrélation les événements en fonction de l'activité suivante :

Règle de corrélation de campagne Description
Exfiltration

Les événements d'exfiltration d'une charge de travail sont mis en corrélation lorsqu'ils sont précédés d'événements de type infection observés sur la même charge de travail, c'est-à-dire des événements qui révèlent une charge de travail potentiellement compromise offrant au pirate la possibilité d'exécuter des actions arbitraires.

Par exemple, un événement Commande et contrôle ou un événement furtif sont suivis d'un événement réseau connu pour exfiltrer des données.

Pour plus d'informations sur la tactique d'exfiltration, reportez-vous à MITRE ATT&CK → Tactics → Enterprise → Exfiltration.

Événement à impact élevé sur l'hôte infecté Les événements de type infection à incidence élevée sont mis en corrélation lorsqu'ils se produisent sur un hôte dont une activité récente suggère qu'il peut être infecté.
Déplacement latéral sortant

Une corrélation est établie lorsque des événements de déplacement latéral sortent d'un calcul sur lequel des événements de déplacement latéral entrants précédents ou des événements de type infection ont été observés.

Par exemple, un événement Commande et contrôle sur un calcul est suivi d'un déplacement latéral vers un autre calcul dans le réseau privé.

Pour plus d'informations sur la tactique de déplacement latéral, reportez-vous à MITRE ATT&CK → Tactics → Enterprise → Lateral Movement.

Déplacement latéral entrant

Les événements de déplacement latéral qui sont suivis d'événements de type infection sont mis en corrélation.

Par exemple, si une activité RDP est détectée à partir de la charge de travail A vers la charge de travail B, l'activité Commande et contrôle qui s'ensuit est observée en provenance de la charge de travail B.

Pour plus d'informations sur la tactique de déplacement latéral, reportez-vous à MITRE ATT&CK → Tactics → Enterprise → Lateral Movement.

Événement furtif confirmé par un événement Commande et contrôle

La corrélation est établie lorsqu'un événement de type infection furtif est suivi d'un événement Commande et contrôle.

Par exemple, une charge de travail qui visite un site Web malveillant génère un événement furtif, puis un événement Commande et contrôle se produit sur la même charge de travail.

Pour plus d'informations sur la technique de furtivité, reportez-vous à MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise.

Furtivité confirmée par un événement de fichier malveillant

La corrélation est établie lorsqu'un événement d'infection furtif est suivi d'un transfert de fichiers malveillants qui confirme la réussite de la tentative de furtivité et l'infection du client.

Pour plus d'informations sur la technique de furtivité, reportez-vous à MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise.

Règle sur les vagues d'événements Commande et contrôle IDS

Une corrélation est établie pour les événements Commande et contrôle IDS qui partagent la même menace.

Par exemple, plusieurs hôtes créent des événements réseau IDS pour une menace Commande et contrôle spécifique pendant une courte période.

Pour plus d'informations sur la tactique Commande et contrôle, reportez-vous à MITRE ATT&CK → Tactics → Enterprise → Command and Control.

Vague de fichiers malveillants

Une corrélation est établie pour les événements de fichiers malveillants qui partagent le même hachage de fichiers.

C'est le cas par exemple si plusieurs hôtes téléchargent tous le même rançongiciel dans un laps de temps réduit.

Même menace sur la charge de travail

Les détections de la même menace sur la même charge de travail sont mises en corrélation. En fonction de cette règle, les détections ne sont incluses que dans les campagnes existantes.

Plusieurs événements d'anomalie sur la charge de travail Les détections de plusieurs événements d'anomalie sur la même charge de travail sont mises en corrélation. Selon cette règle, une combinaison de détections avec une gravité inférieure est réaffectée.