NSX Network Detection and Response 會使用多個關聯性規則來建立、更新及合併活動。
活動關聯性規則以 MITRE ATT&CK 架構中所述的戰略和技術為基礎。這些規則會根據下列活動關聯事件:
| 活動關聯性規則 | 說明 |
|---|---|
| 外流 | 若在工作負載上先前觀察到感染類型的事件 (亦即,出賣工作負載的事件),則在同一工作負載上的外流事件會產生關聯,亦即,這些事件會出賣工作負載,而該工作負載可能已遭到入侵,會以某種形式讓攻擊者有能力執行任意動作。 例如,在命令和命令或偷渡式攻擊事件後,接著發生已知會外流資料的網路事件。 如需外流戰略的詳細資訊,請參閱 MITRE ATT&CK → 戰略 → 企業 → 外流。 |
| 受感染主機上的高風險事件 | 當高風險感染類型的事件發生在主機上,且該主機中有其他的最近活動表明該主機可能受到感染時,會使這些事件產生關聯。 |
| 傳出橫向移動 | 當觀察到有橫向移動事件從計算中流出,且該項計算中先前發生了傳入的橫向移動事件或感染類型的事件時,就會建立關聯性。 例如,計算上發生命令和控制事件後,接著發生指向私人網路中其他計算的橫向移動。 如需橫向移動戰略的詳細資訊,請參閱 MITRE ATT&CK → 戰略 → 企業 → 橫向移動。 |
| 傳入橫向移動 | 隨後發生的橫向移動事件與感染類型事件會產生關聯。 例如,偵測到 RDP 活動從工作負載 A 移往工作負載 B,並觀察到後續的命令和控制活動是來自工作負載 B。 如需橫向移動戰略的詳細資訊,請參閱 MITRE ATT&CK → 戰略 → 企業 → 橫向移動。 |
| 命令和控制事件所確認的偷渡式攻擊 | 如果偷渡式攻擊感染事件後,會接著發生命令和控制事件,則會建立關聯性。 例如,工作負載造訪了惡意網站並產生偷渡式攻擊事件,後續又在同一工作負載上發生命令和控制事件。 如需偷渡式攻擊技術的詳細資訊,請參閱 MITRE ATT&CK → 技術 → 企業 → 偷渡式攻擊。 |
| 惡意檔案事件所確認的偷渡式攻擊 | 緊接在偷渡式攻擊感染事件後出現惡意檔案傳輸時,會建立關聯性,從而確認偷渡式攻擊嘗試成功,並感染了用戶端。 如需偷渡式攻擊技術的詳細資訊,請參閱 MITRE ATT&CK → 技術 → 企業 → 偷渡式攻擊 |
| IDS 命令和控制波段規則 | 已為共用相同威脅的 IDS 命令和控制事件建立關聯性。 例如,多個主機全都在短期間內針對特定的命令和控制威脅,建立 IDS 網路事件。 如需命令和控制戰略的詳細資訊,請參閱 MITRE ATT&CK → 戰略 → 企業 → 命令和控制。 |
| 惡意檔案波段 | 當惡意檔案事件共用相同檔案雜湊時,會建立關聯性。 例如,有多個主機在某一小段時間內全都下載相同的勒索軟體。 |
| 對工作負載的威脅相同 | 同一工作負載上同一威脅的偵測,會產生關聯。根據此規則,這些偵測只會包含在現有活動中。 |
| 工作負載上的多個異常事件 | 對同一工作負載上多個異常事件的偵測,會產生關聯。根據此規則,具有較低嚴重性的偵測組合會有所擴增。 |
