Nowy Kemp Flowmon ADS 11.3 poprawia zrozumienie kontekstu dzięki wbudowanej wiedzy na temat taktyk i technik przeciwnika opisanych w ramach MITRE ATT&CK Framework.
Co to jest MITRE ATT&CK®?
MITRE ATT&CK® to baza wiedzy na temat taktyk i technik stosowanych przez przeciwników do przeprowadzania cyberataków. Opisuje cały cykl życia naruszenia, od początkowych etapów uzyskiwania dostępu do złośliwych działań na końcu gry, powodujących szkody w środowisku ofiary.
Struktura ATT&CK® rozróżnia taktyki i techniki. Taktyka to szerszy termin odnoszący się do etapów ataku, który opisuje, jak daleko przeciwnik dotarł do docelowego środowiska. Taktyka przebiega w kolejności, która w mniejszym lub większym stopniu kopiuje zwykłe zachowanie atakujących w sieci.
Każda taktyka zawiera kilka technik. Opisują konkretne działania, które przeciwnik wykonuje w celu przyspieszenia ataku.
Aby uzyskać więcej informacji na temat MITRE ATT&CK®, odwiedź oficjalną stronę.
Co to oznacza dla ADS?
Kemp Flowmon ADS 11.3 przypisuje teraz kategorie ATT&CK® do wykrytych zdarzeń, aby umożliwić zrozumienie, co dane zdarzenie może oznaczać. Mówiąc najprościej, system przedstawia dyskretną anomalię, która powstała w twojej sieci, z informacjami na temat globalnie obserwowanych ruchów przeciwników. Określona kategoria ATT&CK® pojawia się następnie w szczegółach zdarzenia, a także na liście wykrytych zdarzeń.
Ta funkcja zapewnia pełną świadomość sytuacyjną i umożliwia szybką ocenę etapu naruszenia, jego zakresu oraz przewidywanie kolejnego ruchu przeciwnika.
W jaki sposób przypisywane są kategorie ATT&CK®?
Kemp Flowmon ADS przeprowadza analizę kontekstową zdarzenia i określa, która kategoria lub nawet więcej kategorii pasuje do niego najbardziej. Ten proces musi uwzględniać kilka różnych czynników, aby poprawnie przypisać kategorię, ponieważ jedno zdarzenie może wskazywać na kilka różnych taktyk lub technik. Przypisana taktyka lub technika może również zmieniać się w czasie, w zależności od tego, jak rozwija się wydarzenie, gdy napływają nowe dane.
Gdzie mogę zobaczyć kategorie?
Ulepszenia obejmują pulpit nawigacyjny, raporty, zdarzenia i filtrowanie.
Pulpit nawigacyjny to miejsce, w którym można uzyskać ogólny przegląd stanu bezpieczeństwa systemu. Dostępny jest nowy widżet, który daje szybki raport o tym, jak radzi sobie Twoja infrastruktura w kategoriach MITRE ATT&CK®, pokazując poszczególne taktyki przeciwnika z liczbą / listą odpowiednich wydarzeń poniżej.
Grafika nr 1 - Widżet pulpitu nawigacyjnego MITRE ATT&CK®
Lista wydarzeń zawiera nową opcję widoku, która umożliwia grupowanie wydarzeń według przynależności do taktyki ATT&CK®. Ten widok służy do przedstawienia bardziej szczegółowego wglądu w techniki, które zostały użyte na tym konkretnym etapie, ułatwiając lepszą ocenę tego, co próbuje osiągnąć napastnik.
Grafika nr 2 - Zdarzenia pogrupowane techniką MITRE ATT&CK®
Oba te elementy - widżet wysokiego poziomu i grupy zdarzeń według taktyk - są również dostępne jako nowe rozdziały w raportach.
Grafika nr 3 - Raport zawierający rozdziały MITRE ATT&CK®
Wreszcie, obsługiwane jest teraz filtrowanie zdarzeń za pomocą technik MITRE ATT&CK®. Dlatego też, jeśli używasz struktury w obróbce analizy incydentów, znacznie uprości to i przyspieszy dochodzenie.
Grafika nr 4 - Filtrowanie zdarzeń według techniki
Inne nowości?
Wreszcie, ADS 11.3 poprawia również definicję reguł fałszywie pozytywnych, aby system był bardziej dostrajany. Możesz teraz zdefiniować czas wykrywania wraz z filtrem docelowym lub adresem, co pozwala uniknąć wykrywania fałszywych alarmów w znanych Ci sytuacjach i mających miejsce o określonej porze dnia, takich jak kopie zapasowe.
Kemp Flowmon ADS 11.3 stanowi ważny krok ewolucyjny w kierunku badania anomalii uwzględniającego kontekst. I dobrze, ponieważ świadomość kontekstu jest kluczem do prawidłowego zrozumienia wydarzeń i skutecznego łagodzenia skutków naruszeń.
Uzyskaj bezpłatną ocenę swojej sieci od Kemp
Oryginalna treść artykułu: https://www.flowmon.com/en/blog/kemp-flowmon-ads-11-3-boost-situational-awareness
.....................................................................................
Zainteresowały Cię rozwiązania Kemp / Flowmon ?
Zapraszam do kontaktu
Marceli Matczak
Security / SDN Business Development Manager
+48 785 051 978
marceli.matczak@s4e.pl