บทนำ
มุมมอง Stages of Attack บนหน้า Security Incidents ของ Athena NDR จับคู่เหตุการณ์กับขั้นตอนของ Kill Chain มาตรฐานในวงการ เพื่อให้ผู้ดูแลเห็นภาพรวมว่าผู้โจมตีอยู่ในขั้นตอนใดของการบุกรุก และมีจำนวนเหตุการณ์ในแต่ละขั้นตอนมากน้อยเพียงใด
ขั้นตอนการเข้าถึง
- ไปที่ Response > Security Incidents
- ส่วนกลางของหน้าจะแสดงการ์ดสถิติแบ่งตาม Attack Stage
- คลิกที่ตัวเลขในแต่ละขั้นตอนเพื่อกรองเหตุการณ์ที่ตรงกับขั้นตอนนั้น
คำอธิบายขั้นตอน Kill Chain
- Weakness: พบช่องโหว่บนสินทรัพย์ซึ่งอาจถูกใช้เป็นจุดเริ่มต้น
- Reconnaissance: การสำรวจเครือข่าย เช่น Port Scan, Service Fingerprint
- Exploitation: การโจมตีเพื่อเข้าควบคุมสินทรัพย์ เช่น EternalBlue, RCE
- C&C (Command & Control): การเชื่อมต่อออกไปยังเซิร์ฟเวอร์ควบคุมของผู้โจมตี
- Propagation: การเคลื่อนที่ภายในเครือข่าย (Lateral Movement)
- Impact: เกิดความเสียหาย เช่น การเข้ารหัสไฟล์ Ransomware, การขโมยข้อมูล
หมายเหตุ
- จำนวน Incidents ทั้งหมด = ผลรวมของเหตุการณ์ในทุก Attack Stage
- เมื่อพบเหตุการณ์ในขั้นตอน C&C, Propagation หรือ Impact ถือว่าสินทรัพย์ถูก Compromised ต้องดำเนินการแก้ไขโดยเร่งด่วน
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น