บทนำ
Lateral Access หมายถึงการโจมตีที่เกิดจาก Endpoint ภายในไปยัง Endpoint ภายในด้วยกัน ผู้โจมตีมักใช้เครื่องที่ถูก Compromise เป็น Stepping Stone เพื่อเข้าควบคุมเครื่องอื่นใน LAN หน้า Lateral Access ของ Athena NDR รวบรวมและแสดงข้อมูล Lateral Movement เพื่อช่วยในการวิเคราะห์
ขั้นตอนการเข้าถึง
- ไปที่ Detection > Anomalies > Lateral Access
- เลือกช่วงเวลาที่ต้องการ: Today, Last 24 hours, Last 7 days, Last 30 days หรือ Custom
- คลิก Filter เพื่อกรองตาม Period และ Application
- คลิก Export เพื่อดาวน์โหลดข้อมูลในรูปแบบ Excel
การอ่านข้อมูล Overall Display
- Risky Endpoints / Risky Servers: จำนวน Endpoint และ Server ที่เกี่ยวข้องกับ Lateral Access
- Risky Access: จำนวนการโจมตี Insider ที่เกิดขึ้นต่อวันในช่วงเวลาที่เลือก
- Impacts and Recommendations: ผลกระทบและแนวทางการตอบสนอง คลิก Expand เพื่อดูข้อมูลเต็ม
Detailed Analysis: Sources และ Destinations
ในหน้า Lateral Access มีแท็บสำหรับวิเคราะห์ต้นทางและปลายทาง:
-
Sources: แสดง Src IP, Src Type, Groups, Destinations, Dst Type, Top 3 Risky Access Types และ Logs
- กรองด้วยปุ่ม All, Server to Server, Host to Server, Host to Host หรือ Server to Host
- เลือก Critical Servers Only เพื่อดูเฉพาะการเข้าถึงที่เกี่ยวกับ Critical Server
- คลิก Src IP หรือ Destinations เพื่อเข้า GoldenEye Details
- คลิก Top 3 Risky Access Types เพื่อดู Log ที่ตรงเงื่อนไขในหน้า Detection > Logs
- Destinations: แสดง Dst IP, Dst Type (server/host), Groups, Sources, Top 3 Risky Access Types และ Logs พร้อมตัวกรอง All, Server หรือ Host
หมายเหตุ
- หากพบ Lateral Access จำนวนมาก ควรตรวจสอบ Endpoint ต้นทางว่าถูก Compromise หรือไม่
- แนะนำให้สร้าง Response Policy เพื่อ Isolate Endpoint ที่เป็น Source ของ Lateral Access โดยอัตโนมัติ
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น