×
ข้ามไปยังเนื้อหาหลัก

การจัดการ Security Alerts บน Athena XDR (Handling & Custom Rules)

ปรับปรุงเมื่อ

ภาพรวมการจัดการ Security Alerts

ที่ส่วนบนของหน้า Security Alerts มีปุ่มดำเนินการต่างๆ ได้แก่ Add Custom Tag, Copy Alert, Add to Whitelist, Fix, Mark As และ Custom Detection นอกจากนี้ยังสามารถคลิกขวาที่ alert เพื่อใช้เครื่องมือเพิ่มเติม เช่น Copy Cell และ Decoding Tool

Alert Details panel showing detection info, custom tags, and analysis tabs

Add Custom Tag

มี 2 วิธีในการเพิ่ม tag ให้กับ alerts:

วิธีที่ 1: เลือก alerts บนหน้า Security Alerts แล้วคลิก Add Custom Tag สามารถกำหนด custom tags เช่น valid alert, false positive, pending และแก้ไข tags ที่มีอยู่ได้

วิธีที่ 2: ใน Alert Details pane คลิก Add ข้าง Custom Tag กำหนดขอบเขตการใช้งาน:

  • Applicable Scope: Current alert only หรือ Similar alerts
  • Applicable Alert: Alerts in last 30 days หรือ New alerts

หากตั้ง Applicable Scope เป็น Similar alerts จะแสดง Similar Alerts tab ใน Alert Details pane

Set Tag Applicable Scope dialog for Custom Tag configuration

Copy Alert

เลือก alerts แล้วคลิก Copy Alert เลือก Copy Alert Content หรือ Copy Src IP สามารถคลิกไอคอน settings ข้าง Copy Alert Content เพื่อ customize เนื้อหาที่ copy ได้ โดยตั้งค่าแยกสำหรับ network-side alerts และ endpoint-side alerts ในหน้า Customize Alert Copy Content

Add to Whitelist

สำหรับ false positive alerts สามารถเพิ่มเข้า whitelist ได้โดยเลือก alert แล้วคลิก Add to Whitelist ตั้งค่าพารามิเตอร์:

  • Alert Type: ประเภท alert ที่ต้องการ whitelist
  • Rule Name: ชื่อ rule
  • Whitelist Rule: เลือก trigger fields เช่น Log Rule IDs, Alert Severity, Attack Result
  • Applicable Hosts: Custom หรือ All
  • Validity: Permanent, 7 days, 14 days หรือ Custom

Fix - การดำเนินการแก้ไข

เลือก alerts แล้วคลิก Fix เลือก action ที่ต้องการ:

  • Block Address - บล็อก IP addresses, domain names, URLs ร่วมกับ Network Secure ระบบจะ auto-populate ข้อมูลที่ต้องบล็อก ตั้ง Block Type (IP Addresses, URL, Domain Name), Block Method (Network-Side Block, Endpoint-Side Block), Block Duration (Permanently block หรือ Custom)
  • Isolate Host - แยก host ร่วมกับ Endpoint Secure
  • Quarantine File - กักกัน file ร่วมกับ Endpoint Secure
  • Trust File - เชื่อถือ file ร่วมกับ Endpoint Secure
  • Execute SOAR Playbook - รัน pre-configured SOAR playbook
  • Execute SOAR Action - รัน SOAR action ร่วมกับ integrated component
  • Initiate Ticket - สร้าง ticket สำหรับ alert

Mark As - การเปลี่ยนสถานะ

เลือก alerts แล้วคลิก Mark As เลือกสถานะ:

  • Pending - รอดำเนินการ
  • Fixing - กำลังแก้ไข
  • Fixed - แก้ไขแล้ว
  • False Positive - false positive
  • Ignore - เพิกเฉย

Rule Configuration - GPT-Based Rules

หาก Security GPT analysis results ไม่ถูกต้อง สามารถสร้าง fine-tuning rule ได้ คลิก Rule Configuration บนหน้า Security Alerts แล้วเลือก GPT-based Rules ตั้งค่า:

  • Alert Type: ประเภท alert ที่ต้องการ fine-tune
  • Alert Name: ชื่อ rule
  • Rule: trigger fields เช่น Log Rule IDs, Alert Severity, Attack Result
  • Applicable Hosts: Custom หรือ All
  • Security GPT Analysis Conclusion: เช่น Successful Attack, Virus Trojan Activity
  • Synchronize Historical Alert Results in Last 24 Hours: เลือกว่าจะ apply กับ historical alerts หรือไม่

Custom Detection

บนหน้า Security Alerts คลิก Custom Detection เลือก action:

Custom IOC Alert Rule

สร้าง custom IOC detection rule เพื่อเพิ่มความครอบคลุมและ real-time performance ของ alert detection รองรับ IOA rules (ต้องใช้ Endpoint Secure V3.7.2.578+ หรือ Endpoint Secure Lite V3.5.35.107+) และ IOC rules

IOA Rules ตั้งค่า: Rule Name, Confidence level, Alert Severity, Applicable OS, ATT&CK mapping และ Rule Definition สำหรับ process creation, file creation, domain name access, network connection

IOC Rules ตั้งค่า: Rule Name, Alert Assessment, Confidence, Alert Severity, Level-3 Alert รองรับ Network Connection (IP addresses), Domain Name Access และ Bulk import

Create Incident

แปลง alerts เป็น security incidents หรือเชื่อมกับ incidents ที่มีอยู่ เหมาะสำหรับกรณีที่ true positive alert ไม่มี incident ถูกสร้างโดยอัตโนมัติ กำหนด Incident Name, Severity, L3 Category และ Description

Custom Incident Rule

สร้าง rule เพื่อแปลง alerts ที่ตรงเงื่อนไขเป็น incidents โดยอัตโนมัติ ระบบจะ auto-populate fields: Alert Type, Log Rule IDs, Alert Rule ID, Src IP, Dst IP, Src Port, Dst Port, File MD5, URL, Domain Name

Supported trigger fields ได้แก่: Src IP, Src Port, Dst IP, Dst Port, Alert Rule ID, Log Rule IDs, Domain Name, URL, File MD5, File Path, X-Forwarded-For, Alert Severity, Confidence, Detection Engine, Risk Tag, Attack Result, Data Source - Raw, Direction, Alert Assessment

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น