NSX Network Detection and Response utilizza varie regole di correlazione per creare, aggiornare e unire le campagne.

Le regole di correlazione delle campagne si basano sulle tattiche e le tecniche descritte nel framework MITRE ATT&CK. Queste regole correlano gli eventi in base alla seguente attività:

Regola di correlazione delle campagne Descrizione
Esfiltrazione

Gli eventi di esfiltrazione sono correlati in un carico di lavoro e sono preceduti da eventi di tipo infezione presenti nello stesso carico di lavoro, ovvero eventi che rivelano un carico di lavoro potenzialmente compromesso in modo da offrire all'autore dell'attacco la possibilità di eseguire azioni arbitrarie.

Ad esempio, un evento di comando o drive-by è seguito da un evento di rete che esegue l'esfiltrazione di dati.

Per ulteriori informazioni sulla tattica di esfiltrazione, vedere MITRE ATT&CK → Tactics → Enterprise → Exfiltration.

Evento ad alto impatto in un host infetto Gli eventi di tipo infezione ad alto impatto sono correlati quando si verificano in un host in cui è presente un'altra attività recente che suggerisce che l'host potrebbe essere infetto.
Spostamento laterale in uscita

La correlazione viene stabilita quando gli eventi di spostamento laterale escono da una risorsa di elaborazione in cui si sono verificati precedenti eventi di spostamento laterale in entrata o eventi di tipo infezione.

Ad esempio, un evento di comando e controllo in una risorsa di elaborazione è seguito da uno spostamento laterale verso un'altra risorsa di elaborazione nella rete privata.

Per ulteriori informazioni sulla tattica dello spostamento laterale, vedere MITRE ATT&CK → Tactics → Enterprise → Lateral Movement.

Spostamento laterale in entrata

Vengono correlati gli eventi di spostamento laterale seguiti da eventi di tipo infezione.

Ad esempio, l'attività RDP viene rilevata dal carico di lavoro A verso il carico di lavoro B e quindi viene eseguita un'attività di comando e controllo successiva proveniente dal carico di lavoro B.

Per ulteriori informazioni sulla tattica dello spostamento laterale, vedere MITRE ATT&CK → Tactics → Enterprise → Lateral Movement.

Drive-by confermato da un evento di comando e controllo

La correlazione viene stabilita quando un evento di infezione drive-by è seguito da un evento di comando e controllo.

Ad esempio, un carico di lavoro visita un sito Web dannoso. Viene generato un evento drive-by e di conseguenza si verifica un evento di comando e controllo nello stesso carico di lavoro.

Per ulteriori informazioni sulla tecnica drive-by, vedere MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise.

Drive-by confermato da un evento file dannoso

La correlazione viene stabilita quando un evento di infezione drive-by è seguito da un trasferimento di file dannoso che conferma il successo del tentativo drive-by e l'infezione del client.

Per ulteriori informazioni sulla tecnica drive-by, vedere MITRE ATT&CK → Techniques → Enterprise → Drive-by Compromise

Regola wave di comando e controllo IDS

La correlazione viene stabilita per gli eventi di comando e controllo IDS che condividono la stessa minaccia.

Ad esempio, più host creano tutti eventi di rete IDS per una minaccia di comando e controllo specifica in un breve periodo di tempo.

Per ulteriori informazioni sulla tattica di comando e controllo, vedere MITRE ATT&CK → Tactics → Enterprise → Command and Control.

Ondata file dannosi

Viene stabilita la correlazione per gli eventi di file dannosi che condividono lo stesso hash di file.

Ad esempio, più host scaricano tutti lo stesso ransomware in un periodo di tempo ridotto.

Stessa minaccia nel carico di lavoro

Vengono correlati i rilevamenti della stessa minaccia nello stesso carico di lavoro. In base a questa regola, i rilevamenti sono inclusi solo nelle campagne esistenti.

Più eventi anomalia sul carico di lavoro Vengono correlati i rilevamenti di più eventi anomalia nello stesso carico di lavoro. In base a questa regola, viene eseguita l'escalation di una combinazione di rilevamenti con gravità inferiore.