×
ข้ามไปยังเนื้อหาหลัก

Security Incidents บน Athena XDR (Display, Search, Details)

ปรับปรุงเมื่อ

Security Incidents คืออะไร

Security Incidents หรือเหตุการณ์ด้านความปลอดภัย คือภัยคุกคามที่ Sangfor Athena XDR ตรวจพบในทรัพยากรเครือข่ายขององค์กร โดยปกติจะเป็นพฤติกรรมผิดปกติที่เกิดขึ้นบน asset ต่างๆ เช่น การรันสคริปต์อันตราย (malicious script execution) หรือการเข้าถึงแหล่งดาวน์โหลดที่เป็นมัลแวร์ ระบบจะทำการวิเคราะห์และรวบรวม alert หลายรายการเข้าด้วยกันเพื่อสร้างเป็น incident ที่สมบูรณ์ ช่วยให้ทีม SOC สามารถจัดลำดับความสำคัญและตอบสนองต่อภัยคุกคามได้อย่างมีประสิทธิภาพ

การเข้าถึงหน้า Security Incidents

เข้าสู่ Sangfor XDR console แล้วไปที่เมนู Detection & Response > Security Incidents จะพบหน้ารายการ incident ทั้งหมดพร้อมข้อมูลสำคัญต่างๆ

Security Incidents page showing incident list with filters and expanded details

Incident Display - การปรับแต่งการแสดงผล

คลิกไอคอน More (...) ที่มุมขวาบนของหน้า Security Incidents เพื่อเลือก field ที่ต้องการแสดงผล สามารถลากเพื่อจัดลำดับคอลัมน์ได้ตามต้องการ คอลัมน์สำคัญที่แสดงได้ ได้แก่:

  • Incident Severity - ระดับความรุนแรงของ incident
  • Name - ชื่อ incident
  • Incident ID - หมายเลขประจำ incident
  • Description - คำอธิบายเหตุการณ์
  • Responses - การตอบสนองที่ดำเนินการ
  • Affected Host - เครื่องที่ได้รับผลกระทบ

Mss Incident Service Status

แสดงสถานะบริการของ security incident ใน Cyber Guardian มีทั้งหมด 4 สถานะ:

  • Detect Threats - ระบบตรวจพบภัยคุกคาม
  • Review by Expert - อยู่ระหว่างการตรวจสอบโดยผู้เชี่ยวชาญ
  • Respond - กำลังดำเนินการตอบสนอง
  • Fix Incident - แก้ไขเหตุการณ์เรียบร้อยแล้ว

Latency

แสดงระยะเวลารวมที่ใช้ในกระบวนการ detection และ response ของ security incident สามารถคลิกที่ค่า latency เพื่อดูรายละเอียดเวลาของแต่ละขั้นตอนได้

Incident Search - การค้นหา Security Incidents

Sangfor XDR รองรับการค้นหา security incidents หลายวิธี ดังนี้:

ค้นหาตามช่วงเวลา (By Time)

  • Time type: เลือก First Detected หรือ Last Detected
  • Time range: เลือกช่วงเวลา - Today, Last 24 hours, Last 7 days, Last 30 days, Last 180 days หรือ Custom
  • Refresh interval: ตั้ง auto-refresh ได้ที่ 15 secs, 1 min, 5 min หรือกำหนดเอง เหมาะสำหรับการเฝ้าระวังภัยคุกคามในเหตุการณ์สำคัญ

ค้นหาผ่าน Filters

ที่ส่วนบนของหน้า Security Incidents มีตัวกรองหลายประเภท:

  • Severity: Info, Low, Medium, High, Critical
  • Source: Expert Hunting, Detection Engine, Event Sample, Custom Incident
  • Assessment: APT Attacks, Suspected APT Attacks, Viruses, Scanner Attacks, Weakness, Business False Positive, Unknown Threats
  • Tag: Email Attack, Abnormal Traffic, Brute-Force Attack เป็นต้น
  • DataSource: Other, NDR, EDR, EDR & NDR
  • Status: Pending, Fixing, Blocked, Fixed, Suspend, Ignored

Basic Mode

สำหรับการค้นหาแบบละเอียด เลือก Basic Mode แล้วคลิก search box เลือก query field และป้อนค่าที่ต้องการ Query fields ที่รองรับ ได้แก่ Name, IncidentID, Description, Level-1Incident, Level-2Incident, AffectedAsset, FirstDetected, DeviceSource, IncidentEngine, WhitelistedState, AssetGroup, IncidentRuleID, ServiceIncidentID

Expert Mode

สำหรับผู้ที่คุ้นเคยกับ SPL syntax ให้เลือก Expert Mode แล้วป้อน SPL expression ในช่องค้นหา ตัวอย่างการใช้งาน:

  • SPL expression เริ่มด้วยคำว่า filter ตามด้วย keyword และ logical operator เช่น in, like, rlike, =
  • สำหรับ operator like ค่าต้องอยู่ในรูปแบบ *Value*
  • ใช้ and และ or เชื่อม expression หลายตัวเพื่อค้นหาละเอียดยิ่งขึ้น
  • คลิกไอคอน star ข้าง search icon เพื่อบันทึก SPL expression ไว้ใช้อ้างอิงในอนาคต
  • ใช้คีย์บอร์ดภาษาอังกฤษเมื่อป้อน SPL expression เสมอ

Incident Details - รายละเอียด Security Incident

คลิกชื่อ incident เพื่อเข้าสู่หน้ารายละเอียด ซึ่งประกอบด้วย tab ต่างๆ ดังนี้:

Security GPT Analysis

แสดงผลการวิเคราะห์จาก Security GPT โดยอัตโนมัติ (ต้อง deploy Security GPT และเปิดใช้งาน license) ข้อมูลประกอบด้วย key alert analysis, alert correlation analysis, incidents ประเภทเดียวกันใน 7 วันที่ผ่านมา, alerts ที่ triggered สำหรับ asset ปัจจุบัน, การวิเคราะห์ similar incidents ในอดีต และข้อมูล asset

Attack Steps

แสดง attack chain ที่สมบูรณ์จากการวิเคราะห์ข้อมูลทั้ง network-side และ endpoint-side ร่วมกับ intelligent analysis rules:

  • ติดตามต้นเหตุของ incident, threat entities และจุดเข้าของการโจมตี
  • แสดง Network-Side Attack Steps พร้อม IOC intelligence
  • มี intelligence tags บ่งบอกความปลอดภัยของ IP addresses, domain names, files, processes
  • คลิก (+) เพื่อดู attack steps ทั้งหมดที่ซ่อนอยู่

Timeline

แสดง alerts ตามลำดับเวลา สามารถสลับระหว่างโหมด Timeline หรือ Alerts ได้ที่มุมขวาบน ในโหมด timeline คลิก Forward หรือ Backward เพื่อไปยังหน้า Attacker IP Address Investigation

Threat Entities

แสดง threat entities ที่เกี่ยวข้อง แบ่งเป็น WAN IPs, LAN IPs, Domain Names, Hosts, Files และ Processes พร้อม data enrichment เช่น threat intelligence tags และข้อมูล asset สามารถ block IP, isolate host, quarantine file และดู intelligence ได้โดยตรง

SOAR Playbook

แสดงรายละเอียดการทำงานของ SOAR playbook สำหรับงานที่ต้องการ human intervention คลิก Go to Pending เพื่อจัดการด้วยตนเอง

Ticket Workflow

แสดงรายละเอียดและสถานะของ ticket สามารถ initiate, ติดตาม และจัดการ ticket workflow ได้จาก tab นี้โดยตรง

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น