攻擊者模型描述攻擊者為了危害企業網路並在其中執行而可能採取的動作。NSX Network Detection and Response 應用程式使用 MITRE 的對抗策略、技術和常見知識 (ATT&CK™，Adversarial Tactics，Techniques，and Common Knowledge) 模型來描述攻擊者行為。在此模型中，攻擊者可能使用的技術可分為多個策略類別，其與攻擊生命週期中的不同階段對應。

在系統中，與每個偵測到的事件相關聯的活動可能與特定攻擊階段相關聯，並且可能提供活動進度與其生命週期的指示。(在不同攻擊階段發生的活動可能與特定的攻擊階段無關。)目前使用下列攻擊階段。

由於這些關聯性規則在 NSX Advanced Threat Prevention 雲端服務中執行，因此，可以獨立於 NSX-T 發行週期改善或擴展這些規則。此外，關聯性規則清單或規則的特定行為可能隨著時間而變化。

下列是目前支援的關聯性規則。

異常事件

此規則會將來自 NSX 可疑流量 功能的偵測事件與較高風險感染類型事件建立關聯。例如，來自 NSX 可疑流量 功能的某異常事件吻合相同主機的高風險網路事件。

外流

此規則會將在感染類型事件之前發生的外流事件建立關聯。例如，某個命令和控制網路事件是在我們知道為外流資料的網路事件之後發生。

檔案傳輸 (以雜湊為基礎)

此規則會將惡意檔案傳輸建立關聯。例如，如果將相同惡意檔案下載到網路中的多個主機，則該規則會將所有這些傳輸建立關聯為一次入侵。惡意檔案傳輸的相似性會根據傳輸檔案的 SHA-1 雜湊判定。

檔案傳輸 (以分析標記為基礎)

此規則會將惡意檔案傳輸建立關聯。例如，如果將相同惡意檔案下載到網路中的多個主機，則該規則會將所有這些傳輸建立關聯為一次入侵。惡意檔案傳輸的相似性會根據與檔案分析工作相關聯的標記判定。

漏洞掃描

此規則會將可能指出存在漏洞掃描的所有不同類型的網路事件建立關聯。例如，觀察到從單一主機向一或多個內部目標主機發出多個輸出感染類型或 NTA 事件。

波段

這組規則可識別攻擊「波段」，在其中於特定時間範圍內，在網路的多個主機上觀察到相同攻擊 (即，相同威脅的事件)。

這組規則可用於識別網路中已成為相同命令和控制基礎架構的一部分或受到相同攻擊媒介 (例如，偷渡式攻擊或惡意軟體散發攻擊) 的主機。因此，這些規則會受限於命令和控制、偷渡式攻擊、惡意軟體散發、水坑、偽造 AV 和加密採礦類別的威脅。

在下列情況下，將觸發此群組中的規則。

• 存在威脅類別為命令和控制、會影響多個主機的網路特徵碼事件。

• 存在威脅類別為惡意軟體散發、會影響多個主機的網路特徵碼事件。

• 存在威脅類別為偷渡式攻擊且發生偵測的項目 (IP 位址或主機名稱) 相同、會影響多個主機的網路特徵碼事件。

• 存在相同項目 (IP 位址或主機名稱)，且威脅類別為命令和控制、會影響多個主機的惡意信譽事件。

• 存在相同項目 (IP 位址或主機名稱)，且威脅類別為惡意軟體散發、會影響多個主機的惡意信譽事件。

在此情況下，關聯性時間範圍會設定為三天。因此，影響不同主機相同威脅的兩個事件如果在此有限時間範圍內發生，則會被視為相關。

確認的偷渡式攻擊

這組規則會識別對成功的偷渡式攻擊公開內部主機的活動。如果之後發生命令和控制、惡意軟體下載、水坑或偽造 AV 活動，則會將在主機上進行的偷渡式攻擊視為成功。在下列情況下，將觸發此群組中的規則。

• 偷渡式攻擊之後緊接著惡意軟體下載活動：在此情況下，關聯性時間範圍是 10 分鐘，因為我們預期成功的瀏覽器惡意探索會立即導致下載。

• 偷渡式攻擊之後緊接著偽造 AV 活動：在此情況下，關聯性時間範圍是 10 分鐘，因為我們預期偷渡式攻擊惡意探索後會立即發生偽造 AV 活動。

• 偷渡式攻擊之後緊接著命令和控制活動：在此情況下，關聯性時間範圍是 4 小時，因為可能需要一些時間才能設定命令和控制通道。

• 偷渡式攻擊之後緊接著水坑活動：在此情況下，關聯性時間範圍是 4 小時，因為可能需要一些時間才能設定命令和控制通道，以透過其將活動傳送到具有水坑的惡意伺服器。

確認的檔案下載

這組規則會識別在主機上下載並成功執行惡意檔案的活動。在下載檔案後不久，如果有活動的網路事件與檔案分析期間觀察到的活動相符，則會視為在主機上成功執行下載的檔案。

特別是，檔案分析可能會提供另兩項資訊，以描述在分析期間觀察到的活動。

惡意軟體資訊

如果檔案行為與已知威脅的行為相符，則可以取得該惡意軟體名稱。

網路 IoC 資訊

如果在分析期間樣本產生的網路流量與網路特徵碼或威脅情報相符，則可以取得流量的指標。也就是說，會提供有關惡意信譽和網路特徵碼相符的資訊。

此群組中的規則將在下列兩個情況下觸發，取決於從檔案分析衍生的資訊類型。

• 以惡意軟體為基礎的案例

  • 在主機上下載了一個檔案。

  • 檔案分析將特定威脅歸因於該檔案 (例如，Emotet 惡意軟體)。

  • 之後，針對下載該檔案的主機會偵測到相同威脅 (即 Emotet) 的網路事件。

• 以網路 IoC 為基礎的案例

  • 在主機上下載了一個檔案。

  • 檔案分析識別該檔案的網路 IoC。

  • 之後，下載該檔案的主機嘗試連線到為該檔案擷取的惡意信譽 IoC 中包含的 IP 位址或主機名稱，並且此流量與某個網路特徵碼相符。

在此情況下，NSX Network Detection and Response 應用程式會將關聯性時間範圍設定為三天。

橫向移動

這組規則會識別攻擊者透過危害一些主機在網路中「搶灘」，然後嘗試在網路內橫向移動以危害其他主機的活動。

此群組包含兩個規則，每個規則會偵測橫向移動活動的個別步驟。

傳出橫向移動

此規則會將來自家用網路中主機的傳出橫向移動活動與橫向移動偵測之前 (但在關聯性時間範圍內) 在該主機上發生的感染相關聯。

傳入橫向移動

此規則會將傳送到設定的家用網路中主機的傳入橫向移動活動與橫向移動偵測之後在相同主機上發生的初始危害 (命令和控制、探測和認證收集) 後通常觀察到的活動相關聯。

請注意，這些規則將僅針家用網路中的主機觸發，也就是說，只有在橫向移動活動的來源主機和目標主機屬於家用網路時，才會建立活動。如果沒有設定家用網路，系統會預設使用 RFC1918 範圍。

INFO 事件升階

NSX Network Detection and Response 應用程式在受保護的網路中偵測到分析人員可能感興趣的一些活動，但這些活動可能並不是惡意。這些偵測會產生 INFO 事件，您可以為「事件成果」篩選器設定適當的值來加以檢視。

NSX Network Detection and Response 應用程式不會因關聯性目的考慮 INFO 事件。

這些偵測的一個難題是，相同的 INFO 事件活動可能是正常，也可能是高度可疑，取決於 NSX Network Detection and Response 應用程式在哪個網路中偵測到該活動。例如，在將遠端桌面通訊協定 (Remote Desktop Protocol，RDP) 用於合法管理用途的環境中，使用此工具可能是正常的，否則，這可能是高度可疑的跡象，指出攻擊者可能在嘗試透過遠端控制受害者主機。

對於監控的網路以及對於涉及的特定來源主機和目標主機，異常偵測邏輯能夠判定某些類型的 INFO 偵測何時異常。如果系統判定某個 INFO 偵測異常，則會將該事件升階到「偵測」模式，因此，該事件會隨著一般事件顯示。此案例在橫向移動的關聯性規則內容中是相關的，因為橫向移動活動偵測通常會導致建立 INFO 事件。

家用網路

家用網路組態對活動關聯性規則具有下列影響。

• 所有活動關聯性規則會忽略在家用網路外部的主機上發生的事件。

• 如果未設定家用網路，則系統會預設使用 RFC1918 範圍。

家用網路是在安全性 > 一般設定 > 專用 IP 範圍中設定。

主機靜音

主機靜音組態對活動關聯性規則具有下列影響。

• 如果設定主機靜音，則所有活動關聯性規則會忽略在靜音的主機上發生的事件。

• 如果未設定主機靜音，則會將在事件中偵測到的所有來源主機視為對關聯性有效。

若要確保主機靜音沒有錯誤地包括應將其活動包含在活動中的主機，您必須驗證主機靜音組態。

證據包含下列資訊。

基本偵測證據：網路

證據類型 REPUTATION

指出偵測到傳送到與已知威脅關聯的 IP 或網域的網路流量。

顯示 SUBJECT 欄位和 IP 位址或網域。例如：reputation: evil.com (參考事件)、6.6.6.6 (參考事件) 或 bad.org (參考事件)。

通常會封鎖這些有害的網域和 IP 位址。將顯示其他信譽資訊 (如果可用)。

可能會使用位置 (國家/地區標記) 註解 IP 位址。

證據類型 SIGNATURE

指出偵測到與已知威脅的網路特徵碼相符的網路流量。

將顯示符合特徵碼的名稱/唯一識別碼的 Detector 欄位。例如，Detector: et:2014612 或 Detector: llrules:1490720342088。

證據類型 ANOMALY

與 SIGNATURE 類似，差異在於偵測會基於偵測某種異常的啟發式方法。例如，Anomaly: anomaly:download_smb。

證據類型 FILE DOWNLOAD

下載了惡意或可疑檔案。

將顯示分析的識別碼 task_uuid (在沙箱中引爆) 和該分析的分數 severity。例如，File download: a7ed621。

以下列出來自參考事件的其他可選資訊。

• 下載的檔案的 URL

• 檔案類型 (通常為可執行檔)

• 檔案名稱

證據類型 UNUSUAL_PORT

指出正在使用的 TCP 或 UDP 連接埠異常，並與此特定威脅的預期項目對應。

使用異常連接埠的流量中涉及的 IP 位址或網域會顯示在 SUBJECT 欄位中。

證據類型 URL_PATH_MATCH

與異常連接埠類似，差異在於偵測會基於 URL 路徑。例如，http://evil.com/evil/path?evil=threat，偵測是由 URL 的 /evil/path 部分觸發。

證據類型 DGA

DGA 代表「網域產生演算法」(Domain Generation Algorithm)，這是某種惡意軟體使用的一種方法，該惡意軟體並非使用少量的網域進行命令和控制，而是包含一種每天產生數千個新的隨機查詢網域的演算法。然後，它會嘗試連線到每個網域。為了控制其惡意軟體，駭客只需註冊其中的一個或幾個網域。由於嘗試解析許多這類網域，使用 DGA 在網路上很容易被發現。

在偵測到解析的 DGA 演算法的多個有害網域時，除了一般信譽證據以外，目前還會使用 DGA 證據。

來自多個事件關聯性的證據

來自多個事件關聯性的證據

如果主機上多個網路事件的組合增強了已正確偵測到威脅的信賴度，則會建立下列證據類型。例如，證據類型可能是連線的相同惡意信譽項目或觸發的相同網路特徵碼。

對於其中的每個情況，可以依下列方式標記威脅。

• Repeated：發現特定威脅三次或更多次。

• Periodic：發現特定威脅定期發生。

標籤會顯示在對應的信譽/特徵碼證據上。

在 REPUTATION 證據範例中，如果偵測到 bad.org 的重複和定期證據，則會顯示 REPEATED 或 PERIODIC 標記。

證據類型 CONFIRMED_EXECUTION

這與威脅相關聯，例如 MALICIOUS FILE DOWNLOAD。這表示從下載的檔案主機偵測到的網路行為可確認，已實際執行下載的檔案。

亦即：

• 已將惡意檔案下載到主機 1.2.3.4。

• 在沙箱中執行時，此檔案會連線到惡意主機 evil.com。

• 不久後，觀察到從主機 1.2.3.4 到 evil.com 的命令和控制流量，確認已執行該惡意檔案。

連結的參考事件指向下載該檔案的位置。

其他證據可能會提供威脅的確認，例如，有關該檔案的下列資訊。

• 工作 UUID

• 分數

• 檔案名稱

• 下載該檔案的 URL

證據類型 CONFIRMED_C&C

與 CONFIRMED_EXECUTION 類似，此證據會新增到指定威脅的命令和控制偵測中，因為主機先前已下載該威脅的檔案。

證據類型 CONFIRMED_DRIVE_BY

這會在偵測到偷渡式攻擊後，一些跡象指出成功完成了該攻擊的情況下新增。例如：

• 主機 1.2.3.4 似乎是偷渡式攻擊的受害者。

• 不久後，主機 1.2.3.4：

  • 下載惡意檔案

  • 執行命令和控制流量

此證據會新增到初始偷渡式攻擊事件的參考事件中。

證據類型 DRIVEBY_CONFIRMATION

與 CONFIRMED_DRIVEBY 證據類似，此證據會作為參考事件新增到在偷渡式攻擊後不久發生的惡意檔案下載或命令和控制偵測。