NSX Network Detection and Response은 몇 가지 상관관계 규칙을 사용하여 캠페인을 생성, 업데이트 및 병합합니다.
캠페인 상관 관계 규칙은 MITRE ATT&CK 프레임워크에 설명된 전술 및 기술을 기준으로 합니다. 이러한 규칙은 다음 작업을 기반으로 이벤트 간 상관관계를 지정합니다.
| 캠페인 상관 관계 규칙 | 설명 |
|---|---|
| 반출 | 워크로드에 대해 동일한 워크로드에서 관찰되는 감염 유형 이벤트, 즉 공격자에게 임의 작업을 실행할 수 있는 기능을 제공하기 위한 방식으로 잠재적으로 손상된 워크로드를 위반하는 이벤트 다음에 나오는 반출 이벤트는 상관 관계가 있습니다. 예를 들어 명령과 명령 또는 드라이브 바이 이벤트 다음에는 데이터 반출로 알려진 네트워크 이벤트가 발생합니다. 반출 전술에 대한 자세한 내용은 MITRE ATT&CK → 전술 → 엔터프라이즈 → 반출을 참조하십시오. |
| 감염된 호스트의 높은 영향 이벤트 | 호스트가 감염되었을 수 있음을 시사하는 다른 최근 활동이 있는 호스트에서 높은 영향의 감염 유형 이벤트가 발생할 때 상관 관계가 있습니다. |
| 송신 수평 이동 | 이전 수신 수평 이동 이벤트 또는 감염 유형 이벤트가 관찰된 계산에서 수평 이동 이벤트가 나가는 경우 상관 관계가 설정됩니다. 예를 들어 계산에 대한 명령 및 제어 이벤트 다음에는 개인 네트워크의 다른 계산으로의 수평 방향 이동이 수행됩니다. 수평 이동 전술에 대한 자세한 내용은 MITRE ATT&CK → 전술 → 엔터프라이즈 → 수평 이동을 참조하십시오. |
| 수신 수평 이동 | 수평 이동 이벤트 다음에 감염 유형 이벤트가 나올 경우 상관 관계가 있습니다. 예를 들어 RDP 작업이 워크로드 A에서 워크로드 B로 감지된 다음, 워크로드 B에서 시작되는 후속 명령 및 제어 활동이 발견됩니다. 수평 이동 전술에 대한 자세한 내용은 MITRE ATT&CK → 전술 → 엔터프라이즈 → 수평 이동을 참조하십시오. |
| 명령 및 제어 이벤트를 통해 드라이브 바이가 확인됨 | 드라이브 바이 감염 이벤트 다음에 명령 및 제어 이벤트가 발생할 때 상관 관계가 설정됩니다. 예를 들어 워크로드가 악성 웹 사이트를 방문하고 드라이브 바이 이벤트가 생성된 다음, 동일한 워크로드에서 명령 및 제어 이벤트가 발생합니다. 드라이브 바이 기술에 대한 자세한 내용은 MITRE ATT&CK → 기술 → 엔터프라이즈 → 드라이브 바이 손상을 참조하십시오. |
| 악성 파일 이벤트를 통해 드라이브 바이가 확인됨 | 드라이브 바이 감염 이벤트가 발생한 후 드라이브 바이 시도의 성공과 클라이언트의 감염을 확인하는 악의적인 파일이 전송되면 상관관계가 설정됩니다. 드라이브 바이 기술에 대한 자세한 내용은 MITRE ATT&CK → 기술 → 엔터프라이즈 → 드라이브 바이 손상을 참조하십시오. |
| IDS 명령 및 제어 웨이브 규칙 | 동일한 위협을 공유하는 IDS 명령 및 제어 이벤트에 대해 상관 관계가 설정됩니다. 예를 들어 여러 호스트가 모두 짧은 시간 내에 특정 명령 및 제어 위협에 대한 IDS 네트워크 이벤트를 생성합니다. 명령 및 제어 전략에 대한 자세한 내용은 MITRE ATT&CK → 전술 → 엔터프라이즈 → 명령 및 제어를 참조하십시오. |
| 악의적인 파일 웨이브 | 동일한 파일 해시를 공유하는 악성 파일 이벤트에 대한 상관관계가 설정됩니다. 예를 들어 여러 호스트가 모두 짧은 기간에 동일한 랜섬웨어를 다운로드합니다. |
| 워크로드에 대한 동일한 위협 | 동일한 워크로드에서 감지된 동일한 위협은 상관 관계가 있습니다. 이 규칙에 따라 감지는 기존 캠페인에만 포함됩니다. |
| 워크로드의 여러 이상 징후 이벤트 | 동일한 워크로드에서 감지된 여러 이상 징후 이벤트는 상관관계가 있습니다. 이 규칙에 따라 더 낮은 심각도의 감지 조합이 에스컬레이션됩니다. |
