NSX Network Detection and Response 會使用多個關聯性規則來建立、更新及合併活動。

活動關聯性規則以 MITRE ATT&CK 架構中所述的戰略和技術為基礎。這些規則會根據下列活動關聯事件:

活動關聯性規則 說明
外流

若在工作負載上先前觀察到感染類型的事件 (亦即,出賣工作負載的事件),則在同一工作負載上的外流事件會產生關聯,亦即,這些事件會出賣工作負載,而該工作負載可能已遭到入侵,會以某種形式讓攻擊者有能力執行任意動作。

例如,在命令和命令或偷渡式攻擊事件後,接著發生已知會外流資料的網路事件。

如需外流戰略的詳細資訊,請參閱 MITRE ATT&CK → 戰略 → 企業 → 外流

受感染主機上的高風險事件 當高風險感染類型的事件發生在主機上,且該主機中有其他的最近活動表明該主機可能受到感染時,會使這些事件產生關聯。
傳出橫向移動

當觀察到有橫向移動事件從計算中流出,且該項計算中先前發生了傳入的橫向移動事件或感染類型的事件時,就會建立關聯性。

例如,計算上發生命令和控制事件後,接著發生指向私人網路中其他計算的橫向移動。

如需橫向移動戰略的詳細資訊,請參閱 MITRE ATT&CK → 戰略 → 企業 → 橫向移動

傳入橫向移動

隨後發生的橫向移動事件與感染類型事件會產生關聯。

例如,偵測到 RDP 活動從工作負載 A 移往工作負載 B,並觀察到後續的命令和控制活動是來自工作負載 B。

如需橫向移動戰略的詳細資訊,請參閱 MITRE ATT&CK → 戰略 → 企業 → 橫向移動

命令和控制事件所確認的偷渡式攻擊

如果偷渡式攻擊感染事件後,會接著發生命令和控制事件,則會建立關聯性。

例如,工作負載造訪了惡意網站並產生偷渡式攻擊事件,後續又在同一工作負載上發生命令和控制事件。

如需偷渡式攻擊技術的詳細資訊,請參閱 MITRE ATT&CK → 技術 → 企業 → 偷渡式攻擊

惡意檔案事件所確認的偷渡式攻擊

緊接在偷渡式攻擊感染事件後出現惡意檔案傳輸時,會建立關聯性,從而確認偷渡式攻擊嘗試成功,並感染了用戶端。

如需偷渡式攻擊技術的詳細資訊,請參閱 MITRE ATT&CK → 技術 → 企業 → 偷渡式攻擊

IDS 命令和控制波段規則

已為共用相同威脅的 IDS 命令和控制事件建立關聯性。

例如,多個主機全都在短期間內針對特定的命令和控制威脅,建立 IDS 網路事件。

如需命令和控制戰略的詳細資訊,請參閱 MITRE ATT&CK → 戰略 → 企業 → 命令和控制

惡意檔案波段

當惡意檔案事件共用相同檔案雜湊時,會建立關聯性。

例如,有多個主機在某一小段時間內全都下載相同的勒索軟體。

對工作負載的威脅相同

同一工作負載上同一威脅的偵測,會產生關聯。根據此規則,這些偵測只會包含在現有活動中。

工作負載上的多個異常事件 對同一工作負載上多個異常事件的偵測,會產生關聯。根據此規則,具有較低嚴重性的偵測組合會有所擴增。