L'obiettivo principale della funzionalità NSX Network Detection and Response è raccogliere le attività anomale principali o gli eventi dannosi da ogni origine degli eventi attivata nell'ambiente di NSX. Seguendo il modello MITRE ATT&CK®, NSX Network Detection and Response elabora gli eventi di rilevamento generati da una rete gestita da NSX. NSX Network Detection and Response aggrega e mette in relazione questi eventi relativi alla sicurezza per fornire agli utenti una visualizzazione delle minacce specifiche in base alle tattiche e alle tecniche descritte nel framework MITRE ATT&CK.
NSX Network Detection and Response mette in relazione gli eventi correlati alle campagne. Organizza gli eventi di minaccia in una campagna in una sequenza temporale che consente a un analista della sicurezza di visualizzare e valutare le campagne delle minacce mettendo in relazione i segnali di minaccia.
Terminologia e concetti chiave di NSX Network Detection and Response
La tabella seguente include la terminologia chiave utilizzata in NSX Network Detection and Response.
| Termine/Concetto chiave | Definizione |
|---|---|
| Campagna | Una campagna si riferisce a una serie di eventi relativi alla sicurezza nella rete monitorata, rilevati e correlati dal servizio NSX Network Detection and Response. Questi eventi di sicurezza possono includere corrispondenze delle firme IDS, eventi di traffico sospetto o eventi di trasferimento di file dannosi. NSX Network Detection and Response utilizza l'apprendimento automatico e l'analisi avanzata per identificare le minacce alla sicurezza e generare automaticamente campagne che forniscono ai team di sicurezza una vista completa delle potenziali minacce. A ogni campagna viene assegnato un punteggio d'impatto in base al rischio posto dagli eventi di sicurezza che costituiscono la campagna. Una volta rilevata una campagna, NSX Network Detection and Response fornisce informazioni dettagliate sugli eventi di rilevamento che costituiscono la campagna, inclusi i carichi di lavoro coinvolti, la natura delle attività e il potenziale impatto sulla rete. Queste informazioni consentono di analizzare e rispondere rapidamente alle minacce alla sicurezza, contribuendo a prevenire violazioni dei dati e altri incidenti relativi alla sicurezza. |
| Punteggio dell'impatto della campagna | Il punteggio dell'impatto della campagna è una metrica che consente di valutare rapidamente l'urgenza di una potenziale minaccia alla sicurezza e di definire le priorità di valutazione e risoluzione di conseguenza. Concentrandosi sulle campagne con punteggi dell'impatto più elevati, è possibile affrontare rapidamente le minacce più critiche e ridurre al minimo il rischio di incidenti di sicurezza. Il punteggio dell'impatto della campagna viene calcolato dal set di eventi di rilevamento presenti nella campagna utilizzando una combinazione di fattori come la fiducia, la gravità e l'impatto dell'evento. Il punteggio viene presentato su una scala da 0 a 100, con punteggi più alti che indicano un potenziale impatto maggiore. Un punteggio pari a 0 indica che la campagna non ha alcun impatto, mentre un punteggio pari a 100 indica che la campagna rappresenta una minaccia immediata e grave. Per ulteriori dettagli, vedere Campagne. |
| Destinazione | Una destinazione si riferisce alla destinazione di un flusso, a cui viene fatto riferimento più comunemente come server. |
| Rilevamento o evento di rilevamento | I rilevamenti o gli eventi di rilevamento rappresentano l'attività rilevante ai fini della sicurezza che si verifica nella rete e viene rilevata da NSX Network Detection and Response. Quando nuovi dati di rilevamento vengono ricevuti dai siti, tali dati vengono aggregati con eventi già ricevuti per stabilire se si riferiscono allo stesso rilevamento di minaccia. In caso contrario, viene creato un nuovo evento di rilevamento. A ogni rilevamento viene assegnata una classificazione in base al framework MITRE ATT&CK, una minaccia e un punteggio dell'impatto. Un evento di rilevamento può essere correlato a una campagna se viene considerato correlato ai rilevamenti nella campagna. L'evento non verrà incluso in una campagna se gli eventi non verranno considerati correlati a tale evento. |
| Punteggio dell'impatto del rilevamento | Il punteggio dell'impatto del rilevamento è una metrica che combina la gravità o la "pericolosità" della minaccia e la fiducia nella precisione del rilevamento. Il punteggio dell'impatto del rilevamento viene calcolato combinando gravità e affidabilità. Il punteggio varia da 0 a 100 e 100 è il rilevamento più dannoso. Per ulteriori dettagli, vedere Rilevamenti in NSX Network Detection and Response. |
| MITRE ATT&CK® | MITRE ATT&CK® è una Knowledge Base accessibile a livello globale che include tattiche e tecniche basate su osservazioni del mondo reale. La Knowledge Base ATT&CK viene utilizzata come base per lo sviluppo di modelli di minacce specifiche e di metodi per affrontarle nel settore privato, nel settore governativo e nella community dei prodotti e dei servizi relativi alla sicurezza informatica. NSX Network Detection and Response utilizza il framework MITRE ATT&CK perché gli eventi di rilevamento vengono mappati alle tattiche e alle tecniche MITRE ATT&CK. Per ulteriori informazioni sulla Knowledge Base MITRE ATT&CK, vedere il sito ufficiale. |
| Tattica MITRE ATT&CK | Le tattiche rappresentano il "motivo" di una tecnica o di una tecnica secondaria di ATT&CK. Si tratta dell'obiettivo tattico del contrasto della minaccia, ovvero il motivo dell'esecuzione di un'azione. Ad esempio, un utente malintenzionato potrebbe voler ottenere l'accesso alle credenziali. Gli eventi in NSX Network Detection and Response vengono mappati alle tattiche MITRE ATT&CK per comprendere lo scopo dell'attività rilevata. Oltre alle tattiche MITRE ATT&CK, il sistema NSX Network Detection and Response utilizza due categorie di tattiche personalizzate come segue:
Per ulteriori informazioni sulle tattiche MITRE ATT&CK, vedere https://attack.mitre.org/tactics/enterprise/. |
| Tecnica MITRE ATT&CK | Le tecniche rappresentano il "come", ovvero il modo in cui gli autori degli attacchi mettono in pratica una tattica. Per ulteriori informazioni sulle tattiche MITRE ATT&CK e tecniche, vedere https://attack.mitre.org/techniques/enterprise/. |
| SIEM | Un Security Information and Event Management (SIEM) è un prodotto o un servizio di sicurezza che raccoglie, gestisce e analizza i dati relativi alla sicurezza e ad altri eventi. SIEM consente di monitorare e analizzare la sicurezza in tempo reale. |
| Firma | Una firma è un'espressione corrispondente a un modello che viene confrontata con il traffico con l'obiettivo di rilevare attività potenzialmente dannose, ad esempio tentativi di exploit, traffico di comando e controllo, spostamento laterale ed esfiltrazione. |
| Origine | Un'origine fa riferimento all'origine del flusso di rete, più comunemente denominata client. |
| Minaccia | Per minaccia si intende in genere qualsiasi attività o comportamento sospetto che potrebbe indicare una violazione della sicurezza o un attacco alla rete. In NSX Network Detection and Response, a ogni evento di rilevamento viene assegnata una "minaccia". Oltre a MITRE ATT&CK, la minaccia è un altro modo per classificare i rilevamenti. La minaccia è una categorizzazione più specifica dell'attività dannosa rilevata, ad esempio il nome di un malware specifico o un ID CVE. Quando queste categorizzazioni specifiche non sono disponibili, la minaccia può essere una categorizzazione più generica. |
Tipo di rilevamento in NSX Network Detection and Response
I rilevamenti in NSX Network Detection and Response sono di tipo diverso in base alla tecnologia di rilevamento utilizzata. I tipi di rilevamento attualmente supportati sono:
- Eventi IDS (Intrusion Detection System): si tratta di corrispondenze di firme IDS rilevate confrontando le firme IDS con il traffico di rete nella rete protetta.
- Eventi Anomalia del traffico di rete (NTA): la funzionalità Traffico sospetto NSX genera analisi delle minacce di rete nei dati del flusso del traffico di rete est-ovest che NSX Intelligence raccoglie dai carichi di lavoro di NSX idonei (host o cluster di host).
- Eventi di trasferimento di file dannosi: la funzionalità Prevenzione malware NSX invia eventi file dannosi che si sono verificati nel gateway a NSX Network Detection and Response per l'analisi. Gli eventi file sospetti o dannosi (con punteggio 30 o superiore) vengono inviati a NSX Network Detection and Response.
Eventi di rilevamento di file dannosi: la funzionalità Prevenzione malware NSX invia i file dannosi rilevati all'interno di un carico di lavoro. I file creati nel file system del carico di lavoro vengono analizzati e tali eventi dei file (con punteggio pari o superiore a 30) vengono inviati a NSX Network Detection and Response.
Tipi di evento e origini eventi
| Tipo di evento | Origine evento |
|---|---|
| Eventi IDS | IDS ed Edge distribuiti, se si attiva la funzionalità Distributed NSX IDS/IPS. |
| Eventi di anomalia del traffico di rete (NTA) | Se si attivano i rilevatori di Traffico sospetto NSX. |
| Eventi di trasferimento di file dannosi | Se si attiva la funzionalità Prevenzione malware NSX, vengono rilevati eventi di trasferimento di file dannosi all'interno di un carico di lavoro. |
| Eventi di rilevazione di file dannosi | Se si attiva la funzionalità Prevenzione malware NSX, vengono rilevati eventi di file dannosi nell'host. |
