Security Alerts บน Athena XDR (Display, Search, Details) – บริษัท ซังฟอร์ เทคโนโลยี (ประเทศไทย) จำกัด

Security Alerts คืออะไร

Security Alerts คือการแจ้งเตือนที่เกิดจากภัยคุกคามที่ Sangfor XDR ตรวจพบในทรัพยากรเครือข่าย โดยปกติจะเกิดจากการโจมตีของ malicious IP addresses ที่มุ่งเป้าไปยัง asset ขององค์กร

Alert Display - การแสดงผล Security Alerts

เข้าถึงได้ที่ Detection & Response > Security Alerts มีฟีเจอร์การแสดงผลดังนี้:

Security Alerts page showing alert list with GPT classification and filters

Multi-Tab Alert Display

สามารถเพิ่ม tab ที่แตกต่างกันเพื่อแสดง alert ประเภทต่างๆ ตามความต้องการทางธุรกิจ ช่วยให้จัดการ alert ได้อย่างมีประสิทธิภาพและมั่นใจว่า critical alerts จะได้รับการจัดการก่อน

GPT Result Classification

เมื่อ deploy Security GPT และเปิดใช้งาน license ระบบจะวิเคราะห์ alerts โดยอัตโนมัติและจัดประเภทเป็น 8 ประเภท:

Suspected Attack - สงสัยว่าเป็นการโจมตี
False Positive - false positive
Virus Trojan Activity - กิจกรรมไวรัส/โทรจัน
Failed Attack - การโจมตีที่ล้มเหลว
Successful Attack - การโจมตีที่สำเร็จ
Weakness Access - การเข้าถึงช่องโหว่
Insufficient Data - ข้อมูลไม่เพียงพอ
Pending - รอการวิเคราะห์

Alert Assessment

ฟังก์ชัน assessment จัดประเภทภัยคุกคามเป็น 8 ประเภทเพื่อช่วยให้เข้าใจความเสี่ยงและผลกระทบ:

APT Attacks - การโจมตีแบบ targeted penetration โดย ransomware gangs, data intruders และ APT groups
Suspected APT Attacks - กิจกรรม penetration ที่สงสัยว่าเป็นการโจมตีแบบ manual
Viruses - ไวรัส, trojans, worms, cryptomining, botnets, rogueware
Scanner Attacks - การสแกนเพื่อเก็บข้อมูลและตรวจสอบช่องโหว่
Weakness - รหัสผ่านอ่อน, unauthorized access, unpatched vulnerabilities
Business False Positive - false positive จาก normal business activities
Unknown Threats - alerts ที่ไม่สามารถจัดประเภทได้โดยตรง

Critical Alerts Only

คลิกไอคอน settings ที่มุมขวาบนของหน้า Security Alerts เพื่อตั้งค่า Critical Alerts Settings:

Asset - เลือก server เป็นต้น
Attack Result - เลือก Successful
Alert Assessment - เลือก APT Attacks
Level-3 Alert - เลือกตามต้องการ
Direction - เลือก All
Associate with Incidents - เลือก Yes/No

จากนั้นเลือก Critical Alerts Only เพื่อแสดงเฉพาะ alerts ที่สำคัญ

Alert Search - การค้นหา Security Alerts

การค้นหาตามช่วงเวลาและ Filter

กำหนด time range เช่น Last 24 hours หรือ Last 7 days ตั้ง auto refresh interval ที่ 15 secs, 1 min, 5 min หรือ custom ใช้ filter fields ต่างๆ เช่น Attack Result, Alert Severity, Alert Phase, Direction, Device Source, Data Source และ general fields อื่นๆ

ตัวอย่าง: ตั้ง EndpointIP เป็น 124.124.124.9 และ Level1Alerts เป็น Compromised เพื่อกรอง alerts ของ compromised host

Full-Text IP Address Search

ค้นหา alerts ด้วย IP address โดยไม่ต้องระบุ field ระบบจะค้นหาใน fields: SrcIP, DstIP, X-Forwarded-For, EndpointIP และ URL เพียงป้อน IP address ใน expert mode search box (ไม่ต้องใส่เครื่องหมายคำพูด)

Fuzzy Search by IP Address

ใน expert mode ค้นหา alerts ด้วย IP address แบบ fuzzy ได้:

like operator - SrcIP, DstIP และ EndpointIP รองรับ pattern-based fuzzy matching
rlike operator - รองรับ regex-based searching
สามารถรวม like และ rlike expressions ใน query เดียวกันได้

Alert Search Optimization

เมื่อค้นหา IP address ที่ตรงกับหลายรายการ ระบบจะแสดง alerts ที่เกี่ยวข้องกับ IP ที่ตรงมากที่สุดก่อน IP addresses ที่เคยค้นหาจะแสดงที่ด้านบนของผลลัพธ์ครั้งถัดไป

Alert Details - รายละเอียด Security Alert

คลิกชื่อ alert เพื่อเปิด Alert Details pane ทางขวา ประกอบด้วย tab ต่างๆ:

Security GPT Analysis

วิเคราะห์ network-side security alerts เช่น IPS alerts, hacker tool alerts และ IOC alerts (ต้อง deploy Security GPT พร้อม license) สามารถวิเคราะห์ได้ประมาณ 80% ของ alerts ที่สร้างขึ้น ช่วยเพิ่มประสิทธิภาพการวิเคราะห์ WAF-related alerts

Details Tab

แสดงข้อมูล alert ประกอบด้วย Basics (ข้อมูลพื้นฐาน) และ Packet Content (เนื้อหา packet) รวมถึง Request และ Response information

Similar Alerts Tab

แสดง alerts ที่คล้ายกันจาก 30 วันที่ผ่านมา (ต้องตั้งค่า similar alert settings ก่อน)

Logs Tab

แสดง log entries ที่เกี่ยวข้อง มี fields: No., Time Recorded, Rule Name, Rule ID, Reported By, Level-1 Threat, Level-2 Threat, Src IP, Dst IP, Dst Port, Attack Status

Alert Fields Tab

แสดง General Info และ IP Address/Domain Name information ของ alert

SOAR Execution History Tab

แสดงรายละเอียดการทำงานของ SOAR playbooks ที่เกี่ยวข้องกับ alert รวมถึง action nodes ที่ต้องการ human intervention

Ticket Workflow Tab

สามารถ initiate ticket และติดตามสถานะ ticket หลังจากสร้างได้

Endpoint Forensics Tab

ใช้ได้เฉพาะกับ alerts ที่สร้างจาก NAE engine โดย correlate network-side alerts กับ endpoint information เพื่อ reconstruct process chain ช่วยแยก false positive ด้วยข้อมูลจาก endpoint-side ตั้ง filter field DetectionEngine เป็น NAE Engine เพื่อกรอง alerts ที่รองรับ