ภาพรวมของ Custom Detection Rules
Custom Detection Rules ใน Sangfor Athena XDR ประกอบด้วย 3 ประเภท: Custom Alert Rules, Custom Incident Rules และ Similar Alert Rules ช่วยให้ผู้ดูแลระบบสามารถปรับแต่งการตรวจจับภัยคุกคามตามความต้องการขององค์กร
Custom Alert Rules
รองรับ 2 ประเภท: IOA Rules (Indicator of Attack) และ IOC Rules (Indicator of Compromise)
Custom IOA Rules
ตรวจจับพฤติกรรมที่น่าสงสัยบน Endpoint ข้อกำหนด:
- ต้องใช้ Endpoint Secure V3.7.2.578+ หรือ Endpoint Secure Lite V3.5.35.107+
- รองรับ IOA Types: Process Creation, File Creation, Domain Name Access, Network Connection
- รองรับเฉพาะ Windows Systems
การตั้งค่า Basics: Rule Name, Confidence, Alert Severity, Applicable OS, ATT&CK Mapping, Rule Description
การตั้งค่า Rule Defining: ใช้ Attributes กับ Operators (like, equals) เช่น Parent Process > Process Path like *cmd.exe* และ Child Process > CLI Argument like *domain*
การ Deploy: คลิก Push Down Now (จำกัด 1 ครั้ง/30 นาที) หรือรอ Auto Distribution (~1 ชั่วโมง)
ตัวอย่าง IOA Rule 1: DC Command Executions
ตรวจจับเมื่อมีการใช้ CLI เพื่อ Query Domain Controller:
- ไปที่ Configuration > Custom Detection Rules > Custom Alert Rules คลิก Add เลือก IOA Rule
- กำหนด Basics: Rule Name = DC Command Executions, Confidence = High, Alert Severity = High, OS = Windows
- Rule Defining: Parent Process Path like *cmd.exe*, Child Process CLI Argument like *domain*
- คลิก Save แล้ว Push Down Now
ตัวอย่าง IOA Rule 2: Suspicious File Download Using PowerShell
ตรวจจับเมื่อ PowerShell ดาวน์โหลด Executable File:
- Basics: Rule Name = Suspicious File Download Using PowerShell, Confidence/Severity = High, OS = Windows
- Rule Defining: Parent Process Path like *powershell.exe*, Child Process CLI Argument like *.exe*
Custom IOC Rules
ตรวจจับ Malicious Indicators บนเครือข่าย รองรับ Rule Defining:
- Domain Name Access - กำหนด Domain Name ที่ต้องการตรวจจับ
- Network Connection - กำหนด Dst IP ของ Security Devices ที่แชร์ Threat Intelligence
- URL Access - กำหนด URL ที่ต้องการตรวจจับ
- รองรับ Bulk Import สำหรับเพิ่ม IP/Domain เป็นชุด
Basics Settings: Rule Name, Alert Assessment (APT Attacks, Viruses, Cryptomining), Confidence, Alert Severity, Level-3 Alert Classification
Custom Incident Rules
ตอบโจทย์ 3 ความต้องการ: เลือกแสดง Incident เฉพาะบางประเภท, สร้าง Incident จาก Custom Alerts อัตโนมัติ และ Whitelist สำหรับ False Positives
การตั้งค่า: ไปที่ Configuration > Custom Detection Rules > Custom Incident Rules คลิก Add กำหนด:
- Alert Type - ประเภท Alert
- Rule Name - ชื่อ Rule
- Indicator Content - รองรับ Fields: Src IP, Src Port, Dst IP, Dst Port, Alert Rule ID, Log Rule IDs, Domain Name, URL, File MD5, File Path, X-Forwarded-For, Alert Severity, Confidence, Detection Engine, Risk Tag, Attack Result, Data Source - Raw, Direction, Alert Assessment
สร้างจากหน้า Security Alerts: คลิกขวาที่ Alert เลือก Custom Alert Incidents ระบบจะ Auto-populate ค่าต่างๆ
Similar Alert Rules
จัดกลุ่ม Alert ที่คล้ายกัน รองรับ 2 ประเภท:
Endpoint Rule
รองรับ 3 Rule Templates: Behavioral Alerts with Process Chain, File Static Information Alerts, Scanning and Brute Force Alerts
Similarity Conditions: Process Path, Command Line, Process Name, Registry Name, Overall Process Tree, DNS Node, Network Connection Node, Binary Loading Node, Driver Loading Node, Remote Thread Behavior Node, Threat Assessment, Detection Engine, Log Rule ID
Network Rule
Similarity Conditions: Data Packet Similarity, Threat Assessment, Src IP, Source IP Asset Group, Dst IP, Dst IP Asset Group, Dst Port, Host IP, Host IP Asset Group, X-Forwarded-For, Asset Type, Alert Name
Rule Management
ปรับ Priority ด้วย 4 ตัวเลือก: Top, Up, Down, Move To และดำเนินการ Enable, Disable, Modify, Copy, Delete ค้นหา Rules ด้วย Filter: Rule Type (Endpoint/Network), Status (Enable/Disable) หรือ Rule Name, ID, Remarks
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น