Custom Detection Rules บน Athena XDR (Alert, Incident, Similar Rules)

ภาพรวมของ Custom Detection Rules

Custom Detection Rules ใน Sangfor Athena XDR ประกอบด้วย 3 ประเภท: Custom Alert Rules, Custom Incident Rules และ Similar Alert Rules ช่วยให้ผู้ดูแลระบบสามารถปรับแต่งการตรวจจับภัยคุกคามตามความต้องการขององค์กร

Custom Alert Rules

รองรับ 2 ประเภท: IOA Rules (Indicator of Attack) และ IOC Rules (Indicator of Compromise)

Custom IOA Rules

ตรวจจับพฤติกรรมที่น่าสงสัยบน Endpoint ข้อกำหนด:

• ต้องใช้ Endpoint Secure V3.7.2.578+ หรือ Endpoint Secure Lite V3.5.35.107+
• รองรับ IOA Types: Process Creation, File Creation, Domain Name Access, Network Connection
• รองรับเฉพาะ Windows Systems

การตั้งค่า Basics: Rule Name, Confidence, Alert Severity, Applicable OS, ATT&CK Mapping, Rule Description

การตั้งค่า Rule Defining: ใช้ Attributes กับ Operators (like, equals) เช่น Parent Process > Process Path like *cmd.exe* และ Child Process > CLI Argument like *domain*

การ Deploy: คลิก Push Down Now (จำกัด 1 ครั้ง/30 นาที) หรือรอ Auto Distribution (~1 ชั่วโมง)

ตัวอย่าง IOA Rule 1: DC Command Executions

ตรวจจับเมื่อมีการใช้ CLI เพื่อ Query Domain Controller:

1. ไปที่ Configuration > Custom Detection Rules > Custom Alert Rules คลิก Add เลือก IOA Rule
2. กำหนด Basics: Rule Name = DC Command Executions, Confidence = High, Alert Severity = High, OS = Windows
3. Rule Defining: Parent Process Path like *cmd.exe*, Child Process CLI Argument like *domain*
4. คลิก Save แล้ว Push Down Now

ตัวอย่าง IOA Rule 2: Suspicious File Download Using PowerShell

ตรวจจับเมื่อ PowerShell ดาวน์โหลด Executable File:

1. Basics: Rule Name = Suspicious File Download Using PowerShell, Confidence/Severity = High, OS = Windows
2. Rule Defining: Parent Process Path like *powershell.exe*, Child Process CLI Argument like *.exe*

Custom IOC Rules

ตรวจจับ Malicious Indicators บนเครือข่าย รองรับ Rule Defining:

• Domain Name Access - กำหนด Domain Name ที่ต้องการตรวจจับ
• Network Connection - กำหนด Dst IP ของ Security Devices ที่แชร์ Threat Intelligence
• URL Access - กำหนด URL ที่ต้องการตรวจจับ
• รองรับ Bulk Import สำหรับเพิ่ม IP/Domain เป็นชุด

Basics Settings: Rule Name, Alert Assessment (APT Attacks, Viruses, Cryptomining), Confidence, Alert Severity, Level-3 Alert Classification

Custom Incident Rules

ตอบโจทย์ 3 ความต้องการ: เลือกแสดง Incident เฉพาะบางประเภท, สร้าง Incident จาก Custom Alerts อัตโนมัติ และ Whitelist สำหรับ False Positives

การตั้งค่า: ไปที่ Configuration > Custom Detection Rules > Custom Incident Rules คลิก Add กำหนด:

• Alert Type - ประเภท Alert
• Rule Name - ชื่อ Rule
• Indicator Content - รองรับ Fields: Src IP, Src Port, Dst IP, Dst Port, Alert Rule ID, Log Rule IDs, Domain Name, URL, File MD5, File Path, X-Forwarded-For, Alert Severity, Confidence, Detection Engine, Risk Tag, Attack Result, Data Source - Raw, Direction, Alert Assessment

สร้างจากหน้า Security Alerts: คลิกขวาที่ Alert เลือก Custom Alert Incidents ระบบจะ Auto-populate ค่าต่างๆ

Similar Alert Rules

จัดกลุ่ม Alert ที่คล้ายกัน รองรับ 2 ประเภท:

Endpoint Rule

รองรับ 3 Rule Templates: Behavioral Alerts with Process Chain, File Static Information Alerts, Scanning and Brute Force Alerts

Similarity Conditions: Process Path, Command Line, Process Name, Registry Name, Overall Process Tree, DNS Node, Network Connection Node, Binary Loading Node, Driver Loading Node, Remote Thread Behavior Node, Threat Assessment, Detection Engine, Log Rule ID

Network Rule

Similarity Conditions: Data Packet Similarity, Threat Assessment, Src IP, Source IP Asset Group, Dst IP, Dst IP Asset Group, Dst Port, Host IP, Host IP Asset Group, X-Forwarded-For, Asset Type, Alert Name

Rule Management

ปรับ Priority ด้วย 4 ตัวเลือก: Top, Up, Down, Move To และดำเนินการ Enable, Disable, Modify, Copy, Delete ค้นหา Rules ด้วย Filter: Rule Type (Endpoint/Network), Status (Enable/Disable) หรือ Rule Name, ID, Remarks