×
ข้ามไปยังเนื้อหาหลัก

Threat Hunting Tools บน Athena XDR

ปรับปรุงเมื่อ

ภาพรวมของ Threat Hunting Tools บน Athena XDR

Threat Hunting Tools เป็น Module บน Sangfor Athena XDR ที่ให้ความสามารถในการ Threat Hunting ระดับ Global ช่วยให้ทีม Security สามารถสืบสวนและติดตามภัยคุกคามได้อย่างรวดเร็ว โดยระบบจะทำการวิเคราะห์สถิติโดยอัตโนมัติจาก Threat Intelligence และการค้นหา Threat Entity เมื่อเปรียบเทียบกับ Threat Hunting ในโหมด Expert แล้ว Threat Hunting Tools ช่วยลดความยากในการ Hunting และเพิ่มประสิทธิภาพของ Security Operations อย่างมาก

Threat Hunting Tools overview showing all investigation types including IP, File, Domain, and Host investigations

การเข้าถึง Threat Hunting Tools

สามารถเข้าถึง Threat Hunting Tools ได้โดยคลิกที่ Threat Hunting Tools ที่มุมล่างซ้ายของ Navigation Pane ใน Sangfor XDR Console จะปรากฏหน้าต่าง Threat Hunting Tools ขึ้นมา

สามารถทำการตั้งค่าช่วงเวลาที่ต้องการตรวจสอบ

เครื่องมือการสืบสวนที่รองรับ

ในหน้าต่าง Threat Hunting Tools จะเห็นเครื่องมือสืบสวนหลายประเภท ได้แก่:

  • Attacker IP Address Investigation - สืบสวน IP Address ของผู้โจมตี วิเคราะห์ว่า IP ดังกล่าวมีการโจมตีแบบใด ส่งผลกระทบต่อ Asset ใดบ้าง
  • File Investigation - สืบสวนไฟล์ที่น่าสงสัยโดยใช้ MD5 Hash เพื่อตรวจสอบว่าเป็น Malware หรือไม่ และมีการแพร่กระจายไปยัง Host ใดบ้าง

  • Domain Name Investigation - สืบสวน Domain Name ที่น่าสงสัย เช่น Domain ที่เกี่ยวข้องกับ Malicious Activity ตรวจสอบ Host ที่เข้าถึง Domain นั้น

    Domain Name Investigation results showing Detection Statistics, Affected Assets and Relationship Tracing
  • Host Health Investigation - ตรวจสอบสุขภาพของ Host ในองค์กร
  • Dynamic Host Forensics - การ Forensic แบบ Dynamic บน Host
  • Impacts of Attacks on Host - วิเคราะห์ผลกระทบของการโจมตีต่อ Host
  • Security Assessment - ประเมินความปลอดภัยโดยรวม
  • Compromising Tracing - ติดตามเส้นทางการถูก Compromise
  • Directly Connected Host Check - ตรวจสอบ Host ที่เชื่อมต่อโดยตรง
  • Suspicious Host Analysis - วิเคราะห์ Host ที่น่าสงสัย

วิธีการใช้งาน Global Intelligent Investigation

สามารถระบุ Time Range ที่มุมขวาบน และพิมพ์ Keyword เช่น IP Address, Domain Name หรือ MD5 Value ใน Search Box เพื่อทำ Global Intelligent Investigation

ผลลัพธ์การสืบสวน

ผลลัพธ์จากการสืบสวนประกอบด้วย 4 ส่วนหลัก:

  • Detection Statistics - สถิติการตรวจจับ แสดงจำนวน Security Incidents, Security Alerts, Security Logs และ Sample SHA256
  • Organizational Activity (Statistics/Logs) - กิจกรรมในองค์กร แสดงเป็นกราฟ Activity ตามช่วงเวลา
  • Affected Assets - Asset ที่ได้รับผลกระทบ แสดงจำนวน Servers, Endpoints, Others พร้อมข้อมูล Managed IP Range, Generated Incidents, Associated Alerts, Associated Logs และ Last Impact Time
  • Relationship Tracing - แผนผังความสัมพันธ์แสดงการเชื่อมต่อระหว่าง Entity ต่าง ๆ พร้อม Legend สำหรับแยกประเภท

ตัวอย่างการใช้งาน: Domain Name Investigation

สมมติว่าลูกค้า A ได้รับแจ้งจากหน่วยงานกำกับดูแลว่า Host บางเครื่องในเครือข่ายภายในได้เข้าถึง Cryptomining Domain และต้องระบุ Host เหล่านั้นพร้อมดำเนินมาตรการตอบสนอง:

  1. Step 1: คลิก Threat Hunting Tools ที่ Navigation Pane ด้านซ้าย
  2. Step 2: พิมพ์ Cryptomining Domain Name ใน Search Box แล้วคลิก Domain Name Investigation
  3. ระบบจะแสดงผลการสืบสวน เช่น พบ Security Incident ที่เกี่ยวข้อง 1 รายการ, Server ที่ได้รับผลกระทบ 1 เครื่อง และ Security Alert 1 รายการ
  4. ผลลัพธ์แสดงใน Detection Statistics, Organizational Activity, Affected Assets และ Relationship Tracing

ปุ่ม Action ตามประเภทการสืบสวน

ปุ่มที่มุมขวาบนของหน้าผลลัพธ์จะแตกต่างกันตามประเภทของสิ่งที่สืบสวน:

Investigation Object Button Name
IP Address Go to Assets
Domain Name View Intelligence
MD5 Value View Intelligence

Threat Intelligence Integration

เมื่อคลิก View Intelligence ที่มุมขวาบน ระบบจะนำไปยัง Sangfor Threat Intelligence Platform เพื่อดูรายละเอียดข้อมูล Threat Intelligence ได้แก่:

  • Sangfor Tags - Tags ที่ Sangfor กำหนดให้กับ Threat
  • Severity - ระดับความรุนแรง
  • Discovery Time / Updated Time - เวลาค้นพบและอัปเดตล่าสุด
  • Service Provider / Industries - ผู้ให้บริการและอุตสาหกรรมที่เกี่ยวข้อง
  • IOC Event - ประเภท Event เช่น Driver Tofsee Trojan
  • Number of Attacks - จำนวนการโจมตี
  • Intelligence Analysis Tab - Associated Tags, Reputation, Status, Impacts Description, Solution
  • Registry Information Tab - ข้อมูลการลงทะเบียน
  • Impacts Tab - ผลกระทบ
  • Related Information Tab - ข้อมูลที่เกี่ยวข้อง

ข้อแตกต่างระหว่าง Threat Hunting Tools กับ Expert Mode

  • Threat Hunting Tools เหมาะสำหรับการสืบสวนแบบรวดเร็ว ใช้ Global Intelligent Investigation ที่วิเคราะห์อัตโนมัติจาก Threat Intelligence
  • Expert Mode (Security Logs > Expert Search) เหมาะสำหรับการค้นหาเชิงลึกด้วย Query Language ที่ซับซ้อนกว่า
  • Threat Hunting Tools ลดความยากในการ Hunting ลงอย่างมาก เนื่องจากระบบจะวิเคราะห์และแสดงผลลัพธ์ให้อัตโนมัติ ไม่ต้องเขียน Query เอง

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น