Security Alerts คืออะไร
Security Alerts คือการแจ้งเตือนที่เกิดจากภัยคุกคามที่ Sangfor XDR ตรวจพบในทรัพยากรเครือข่าย โดยปกติจะเกิดจากการโจมตีของ malicious IP addresses ที่มุ่งเป้าไปยัง asset ขององค์กร
Alert Display - การแสดงผล Security Alerts
เข้าถึงได้ที่ Detection & Response > Security Alerts มีฟีเจอร์การแสดงผลดังนี้:
Multi-Tab Alert Display
สามารถเพิ่ม tab ที่แตกต่างกันเพื่อแสดง alert ประเภทต่างๆ ตามความต้องการทางธุรกิจ ช่วยให้จัดการ alert ได้อย่างมีประสิทธิภาพและมั่นใจว่า critical alerts จะได้รับการจัดการก่อน
GPT Result Classification
เมื่อ deploy Security GPT และเปิดใช้งาน license ระบบจะวิเคราะห์ alerts โดยอัตโนมัติและจัดประเภทเป็น 8 ประเภท:
- Suspected Attack - สงสัยว่าเป็นการโจมตี
- False Positive - false positive
- Virus Trojan Activity - กิจกรรมไวรัส/โทรจัน
- Failed Attack - การโจมตีที่ล้มเหลว
- Successful Attack - การโจมตีที่สำเร็จ
- Weakness Access - การเข้าถึงช่องโหว่
- Insufficient Data - ข้อมูลไม่เพียงพอ
- Pending - รอการวิเคราะห์
Alert Assessment
ฟังก์ชัน assessment จัดประเภทภัยคุกคามเป็น 8 ประเภทเพื่อช่วยให้เข้าใจความเสี่ยงและผลกระทบ:
- APT Attacks - การโจมตีแบบ targeted penetration โดย ransomware gangs, data intruders และ APT groups
- Suspected APT Attacks - กิจกรรม penetration ที่สงสัยว่าเป็นการโจมตีแบบ manual
- Viruses - ไวรัส, trojans, worms, cryptomining, botnets, rogueware
- Scanner Attacks - การสแกนเพื่อเก็บข้อมูลและตรวจสอบช่องโหว่
- Weakness - รหัสผ่านอ่อน, unauthorized access, unpatched vulnerabilities
- Business False Positive - false positive จาก normal business activities
- Unknown Threats - alerts ที่ไม่สามารถจัดประเภทได้โดยตรง
Critical Alerts Only
คลิกไอคอน settings ที่มุมขวาบนของหน้า Security Alerts เพื่อตั้งค่า Critical Alerts Settings:
- Asset - เลือก server เป็นต้น
- Attack Result - เลือก Successful
- Alert Assessment - เลือก APT Attacks
- Level-3 Alert - เลือกตามต้องการ
- Direction - เลือก All
- Associate with Incidents - เลือก Yes/No
จากนั้นเลือก Critical Alerts Only เพื่อแสดงเฉพาะ alerts ที่สำคัญ
Alert Search - การค้นหา Security Alerts
การค้นหาตามช่วงเวลาและ Filter
กำหนด time range เช่น Last 24 hours หรือ Last 7 days ตั้ง auto refresh interval ที่ 15 secs, 1 min, 5 min หรือ custom ใช้ filter fields ต่างๆ เช่น Attack Result, Alert Severity, Alert Phase, Direction, Device Source, Data Source และ general fields อื่นๆ
ตัวอย่าง: ตั้ง EndpointIP เป็น 124.124.124.9 และ Level1Alerts เป็น Compromised เพื่อกรอง alerts ของ compromised host
Full-Text IP Address Search
ค้นหา alerts ด้วย IP address โดยไม่ต้องระบุ field ระบบจะค้นหาใน fields: SrcIP, DstIP, X-Forwarded-For, EndpointIP และ URL เพียงป้อน IP address ใน expert mode search box (ไม่ต้องใส่เครื่องหมายคำพูด)
Fuzzy Search by IP Address
ใน expert mode ค้นหา alerts ด้วย IP address แบบ fuzzy ได้:
- like operator - SrcIP, DstIP และ EndpointIP รองรับ pattern-based fuzzy matching
- rlike operator - รองรับ regex-based searching
- สามารถรวม like และ rlike expressions ใน query เดียวกันได้
Alert Search Optimization
เมื่อค้นหา IP address ที่ตรงกับหลายรายการ ระบบจะแสดง alerts ที่เกี่ยวข้องกับ IP ที่ตรงมากที่สุดก่อน IP addresses ที่เคยค้นหาจะแสดงที่ด้านบนของผลลัพธ์ครั้งถัดไป
Alert Details - รายละเอียด Security Alert
คลิกชื่อ alert เพื่อเปิด Alert Details pane ทางขวา ประกอบด้วย tab ต่างๆ:
Security GPT Analysis
วิเคราะห์ network-side security alerts เช่น IPS alerts, hacker tool alerts และ IOC alerts (ต้อง deploy Security GPT พร้อม license) สามารถวิเคราะห์ได้ประมาณ 80% ของ alerts ที่สร้างขึ้น ช่วยเพิ่มประสิทธิภาพการวิเคราะห์ WAF-related alerts
Details Tab
แสดงข้อมูล alert ประกอบด้วย Basics (ข้อมูลพื้นฐาน) และ Packet Content (เนื้อหา packet) รวมถึง Request และ Response information
Similar Alerts Tab
แสดง alerts ที่คล้ายกันจาก 30 วันที่ผ่านมา (ต้องตั้งค่า similar alert settings ก่อน)
Logs Tab
แสดง log entries ที่เกี่ยวข้อง มี fields: No., Time Recorded, Rule Name, Rule ID, Reported By, Level-1 Threat, Level-2 Threat, Src IP, Dst IP, Dst Port, Attack Status
Alert Fields Tab
แสดง General Info และ IP Address/Domain Name information ของ alert
SOAR Execution History Tab
แสดงรายละเอียดการทำงานของ SOAR playbooks ที่เกี่ยวข้องกับ alert รวมถึง action nodes ที่ต้องการ human intervention
Ticket Workflow Tab
สามารถ initiate ticket และติดตามสถานะ ticket หลังจากสร้างได้
Endpoint Forensics Tab
ใช้ได้เฉพาะกับ alerts ที่สร้างจาก NAE engine โดย correlate network-side alerts กับ endpoint information เพื่อ reconstruct process chain ช่วยแยก false positive ด้วยข้อมูลจาก endpoint-side ตั้ง filter field DetectionEngine เป็น NAE Engine เพื่อกรอง alerts ที่รองรับ
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น