NSX Network Detection and Response 功能的主要目標是,從您的 NSX 環境中每個啟用的事件來源收集重要異常活動或惡意事件。NSX Network Detection and Response 會依照 MITRE ATT&CK® 模型,來處理從 NSX 管理的網路產生的偵測事件。NSX Network Detection and Response 會彙總這些安全性相關事件並建立其關聯性,以根據 MITRE ATT&CK 架構中所述的戰略和技術,以視覺化方式向使用者呈現特定的威脅。
NSX Network Detection and Response 會建立相關事件與活動的關聯性。活動中的威脅事件會劃分為一個時間表,安全分析師可以檢視此時間表,並藉由建立威脅訊號的關聯性,將威脅活動加以分級。
NSX Network Detection and Response 術語和重要概念
下表提供 NSX Network Detection and Response 中使用的重要術語。
| 術語 / 重要概念 | 定義 |
|---|---|
| 活動 | 活動是指受監控網路中被 NSX Network Detection and Response 服務偵測到,並建立關聯性的一系列安全性相關事件。這些安全性事件可能包括 IDS 特徵碼比對、可疑流量事件或惡意檔案傳輸事件。 NSX Network Detection and Response 使用機器學習和進階分析來識別安全性威脅,並自動產生活動來為安全性團隊提供潛在威脅的完整視圖。系統會根據構成活動的安全性事件所帶來的風險,為每個活動指派影響分數。 偵測到活動後,NSX Network Detection and Response 會提供有關構成活動之偵測事件的詳細資訊,包括涉及的工作負載、活動的性質,以及對網路的潛在影響。這些資訊可讓您快速調查並回應安全性威脅,以協助防止資料外泄和其他安全性事件。 |
| 活動影響分數 | 活動影響分數是一個度量,可協助您快速地評估潛在安全性威脅的急迫性,並協助您相應地排列分級和解決方案的優先順序。藉由專注處理影響分數較高的活動,您可以快速解決最嚴重的威脅,並將安全性事件的風險降至最低。 系統會使用事件的信賴度、嚴重性和影響等因素的組合,根據活動中的一組偵測事件來計算活動影響分數。 分數會以 0-100 的刻度來表示,分數越高表示潛在影響越大。分數為 0 表示活動沒有影響,分數為 100 則表示活動構成立即且嚴重的威脅。 如需更多詳細資料,請參閱活動。 |
| 目的地 | 目的地是指流量的目的地,通常稱為伺服器。 |
| 偵測或偵測事件 | 偵測或偵測事件代表發生在網路中而被 NSX Network Detection and Response 偵測到的安全性相關活動。從站台接收到新的偵測資料時,系統會將該資料與已收到的事件進行彙總,以判斷該事件是否涉及相同的威脅偵測。否則,將會建立新的偵測事件。 每個偵測都會被指派一個以 MITRE ATT&CK 架構為基礎的分類、一個威脅和一個影響分數。 如果認為偵測事件與活動中的偵測相關,則可將其與活動相關聯。如果不認為偵測事件與目前事件相關,則不會將偵測事件包含在活動中。 |
| 偵測影響分數 | 偵測影響分數是一項度量,其結合了威脅的嚴重性或「不良程度」,以及偵測準確性信賴度。 「偵測影響分數」是透過結合嚴重性和信賴度進行計算的。 分數範圍是 0-100,其中 100 是最危險的偵測情況。 如需更多詳細資料,請參閱NSX Network Detection and Response 中的偵測。 |
| MITRE ATT&CK® | MITRE ATT&CK 是一個可供全球存取的知識庫,其中包含根據實際觀察而得出的攻擊者戰略和技術。ATT&CK 知識庫可作為特定威脅模型和方法的開發基礎,並用於私營部門、政府以及網路安全產品和服務社群中。 NSX Network Detection and Response 使用 MITRE ATT&CK 架構,因為偵測事件會對應至 MITRE ATT&CK 戰略和技術。 如需 MITRE ATT&CK 知識庫的詳細資訊,請參閱官方網站。 |
| MITRE ATT&CK 戰略 | 戰略代表使用 ATT&CK 技術或子技術的「原因」。這是攻擊者的戰略目標:執行動作的原因。例如,攻擊者可能想要實現認證存取。NSX Network Detection and Response 中的事件會對應至 MITRE ATT&CK 戰略,以協助瞭解所偵測到的活動的意圖。 除了 MITRE ATT&CK 戰略之外,NSX Network Detection and Response 系統也使用兩個自訂戰略類別,如下所示:
如需 MITRE ATT&CK 戰略的詳細資訊,請參閱https://attack.mitre.org/tactics/enterprise/。 |
| MITRE ATT&CK 技術 | 技術代表「方式」,即攻擊者在實踐中實施戰略的方式。 如需 MITRE ATT&CK 戰略和技術的詳細資訊,請參閱 https://attack.mitre.org/techniques/enterprise/。 |
| SIEM | 安全性資訊和事件管理 (SIEM) 是一種安全性產品或服務,用來收集、管理及分析安全性和其他事件資料。SIEM 提供即時安全性監控和分析。 |
| 特徵碼 | 特徵碼是一種模式相符運算式,可與流量進行比較,目的是偵測潛在的惡意活動,例如漏洞利用嘗試、命令和控制流量、橫向移動和外流。 |
| 來源 | 來源是指網路流量的來源,通常稱為用戶端。 |
| 威脅 | 威脅,一般來說是指可能代表網路上有安全性漏洞或攻擊的任何可疑活動或行為。 在 NSX Network Detection and Response 中,每個偵測事件都會被指派一個「威脅」。除了 MITRE ATT&CK 之外,威脅是對偵測進行分類的另一種方法。威脅往往是對所偵測到的不良程度進行更具體的分類,例如特定的惡意程式碼名稱或 CVE 識別碼。當這些特定的分類無法使用時,威脅可能是更為通用的分類方法。 |
NSX Network Detection and Response 中的偵測類型
NSX Network Detection and Response 中的偵測有不同的類型,具體取決於偵測時所涉及的偵測技術。目前支援的偵測類型如下:
- 入侵偵測系統 (IDS) 事件:這些是符合 IDS 特徵碼的事件,是藉由將 IDS 特徵碼與受保護網路中的網路流量進行比對,而偵測出來的。
- 網路流量異常 (NTA) 事件:NSX 可疑流量功能可為 NSX Intelligence 所收集的東西向網路流量資料產生網路威脅分析,且這些資料是從合格的 NSX 工作負載 (主機或主機叢集) 收集來的。
- 惡意檔案傳輸事件:NSX 惡意軟體防護功能會將閘道上發生的惡意檔案事件傳送到 NSX Network Detection and Response,以進行分析。可疑或惡意檔案事件 (評分為 30 或更高) 都會傳送到 NSX Network Detection and Response。
惡意檔案偵測事件:NSX 惡意軟體防護功能會傳送在工作負載內所偵測到的惡意檔案。在工作負載檔案系統中建立的檔案都會進行分析,且會將這些檔案事件 (評分為 30 分或更高) 傳送到 NSX Network Detection and Response。
事件類型和事件來源
| 事件類型 | 事件來源 |
|---|---|
| IDS 事件 | 分散式 IDS 和 Edge (如果啟用了分散式 NSX IDS/IPS 功能)。 |
| 網路流量異常 (NTA) 事件 | 如果您開啟 NSX 可疑流量偵測器。 |
| 惡意檔案傳輸事件 | 工作負載中偵測到的惡意檔案傳輸事件 (如果啟用了 NSX 惡意軟體防護功能)。 |
| 惡意檔案偵測事件 | 在主機上偵測到的惡意檔案事件 (如果啟用了 NSX 惡意軟體防護功能)。 |
