Nouvelle couverture de la plateforme Vectra AI pour Copilot et Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Détection des menaces

Toutes les données ne sont pas créées de la même manière

21 mai 2019
Vectra AI Security Research team
Cybersécurité
Toutes les données ne sont pas créées de la même manière

Vectra Les clients et les chercheurs en sécurité répondent à certaines des menaces les plus importantes au monde. Ils nous disent qu'il existe une série de questions auxquelles ils doivent répondre lorsqu'ils enquêtent sur un scénario d'attaque donné. À partir d'une alerte de Cognito Detect, d'un autre outil de sécurité ou de leur intuition, les analystes formulent une hypothèse sur ce qui se passe.

Recherche de balises dans les données

Ils testeront ensuite leur hypothèse en examinant les données pour déterminer s'ils regardent au bon endroit ou s'ils pensent dans la bonne direction. L'accès aux bonnes données et à la bonne compréhension peut faire toute la différence dans l'enquête, à la fois en termes de résultats et de rapidité d'obtention de ces résultats.

Considérez le scénario suivant. Votre équipe a appris l'existence d'un cheval de Troie bancaire qui utilise une fausse mise à jour de Google Chrome pour s'implanter sur le système cible par le biais d'un système de commande et de contrôle (C&C).

Après une compromission initiale par spear fishing ou drive-by download, l'hôte exploité télécharge la charge utile complète sous la forme d'une mise à jour de Chrome avant d'établir le canal C&C et de permettre une reconnaissance plus poussée et un mouvement latéral plus profond dans le réseau.

Dans ce cas, l'implant rappelle périodiquement l'infrastructure C&C de l'attaquant, ce qui est considéré comme un comportement de balisage. Le balisage peut être un indicateur faible d'une activité malveillante potentielle, servant de base à un canal C&C, ou le rappel pour récupérer malware.

Cependant, le plus souvent, le balisage fait partie intégrante de comportements inoffensifs, tels que votre télévision intelligente ou votre appareil de téléconférence qui renvoie à son concentrateur d'origine. Les téléscripteurs de titres et les mises à jour de résultats sportifs sont également connus pour leur balisage.

Comment découvrir et identifier les communications potentiellement malveillantes ?

Et si vous constatez que la communication est malveillante, comment réagissez-vous ?

C'est précisément la raison pour laquelle Vectra utilise des moteurs d'IA pour extraire des informations sur la sécurité qui sont intégrées dans nos métadonnées avant qu'elles ne soient directement consommées par nos clients ou introduites dans nos modèles de détection. Par exemple, dans l'exemple de chasse aux menaces/enquête ci-dessus, je veux pouvoir répondre à des questions telles que :

  • Y a-t-il des cas de balisage observés dans mon réseau ?
  • Quelles sont les destinations externes visées par les balises ?
  • Quels sont les hôtes potentiellement infectés, et pas seulement l'adresse IP ?
  • La cadence de balisage présente-t-elle une fréquence inhabituelle de demandes/réponses ?
  • La taille de la charge utile est-elle quelque chose de normal ?
  • La balise a-t-elle un hash JA3 rare ou inhabituel ?
  • Le trafic est-il destiné à une destination externe inhabituelle ?
  • Quel est le niveau de privilège des hôtes qui sont en train de baliser ?
  • Les sessions de balisage sont-elles obscurcies au sein d'une seule et longue connexion ?
  • La connexion utilise-t-elle des services et des protocoles inhabituels ?

Découvrir malware beaconing grâce à Cognito

La première étape consiste à s'assurer que les attributs nécessaires pour répondre à ces questions sont facilement accessibles à l'analyste de sécurité.

Au début de cette année, nous avons lancé Cognito Stream, qui alimente directement les lacs de données et les systèmes de gestion des événements de sécurité (SIEM) avec des métadonnées de réseau formatées par Zeek et enrichies de ces informations de sécurité.

Vectra Les clients utilisent ces métadonnées de réseau enrichies par la sécurité pour exploiter leurs outils personnalisés existants ou les analyser avec des modèles spécifiques à l'organisation, tels que les cas d'utilisation de la politique et de la détection des menaces.

Vous trouverez ci-dessous un exemple des attributs de métadonnées uniques qui sont disponibles en tant que métadonnées enrichies dans Cognito Stream.

Ce n'est qu'un début. Nous disposons d'une équipe complète de chercheurs en sécurité et de scientifiques des données qui ont pour mission d'augmenter continuellement la valeur des métadonnées de réseau dans Cognito Stream par le biais d'enrichissements.

Dans les prochains blogs, nous donnerons des détails sur d'autres enrichissements tels que la popularité JA3 des clients et des serveurs, les grappes de sites web et la popularité des domaines.

Foire aux questions