บทนำ
โมดูล Threats ใน Detection ของ Athena NDR วิเคราะห์ภัยคุกคามเฉพาะประเภท เช่น Ransomware, Cryptomining, File Threats, Inbound Attacks และ Evasive Attacks โดยข้อมูลมาจาก Endpoint Secure, NGAF และ Athena NDR เอง
ประเภทของ Threats
- Ransomware: เน้นแสดงเหตุการณ์ที่เกี่ยวข้องกับ Ransomware เช่น RDP Brute-Force, Ransomware Infection, Ransomware Attack, Commonly-Exploited Vuln, Commonly-Used Port และ C&C Communication
- Cryptomining: แสดงเหตุการณ์ Cryptomining แบ่งตามขั้นตอน: C&C Communication, Pool Connection, Task Acquisition และ Work Submission
- File Threats: ไฟล์อันตรายที่แพร่เข้าสู่ LAN
- Inbound Attacks: การวิเคราะห์กลุ่มการโจมตีที่เข้ามาโดยใช้ Machine Learning Clustering
- Evasive Attacks: การโจมตีที่ตรวจพบโดย STA ที่ติดตั้งหลัง Firewall (หลุดรอดระบบป้องกัน)
ขั้นตอนการใช้งาน
- ไปที่ Detection > Threats แล้วเลือกประเภทภัยคุกคามที่ต้องการดู
- เลือกช่วงเวลา: Last 24 hours, Last 7 days, Last 14 days, Last 30 days หรือ Custom
- อ่านการ์ดสถิติด้านบน เช่น Detections, Target Assets, Top 5 Target Assets
- ในรายการ Threats ด้านล่าง คลิกชื่อภัยคุกคามในคอลัมน์ Threat Description เพื่อดู Details
- คลิก Export เพื่อ Export ข้อมูลเป็น Excel
Evasive Attacks — การตั้งค่า STA
ก่อนใช้งานมุมมอง Evasive Attacks ต้องระบุ STA ที่ติดตั้งหลัง Firewall ด้วยตนเอง โดยไปที่ Detection > Threats > Evasive Attacks แล้วคลิก STA เพื่อเลือก Sensor ที่อยู่หลัง Firewall เมื่อ STA ดังกล่าวตรวจจับการโจมตีจากภายนอก ระบบจะถือว่าเป็น Evasive Attack
หมายเหตุ
- แหล่งข้อมูลของ Ransomware แสดงเป็นสีน้ำเงินเมื่อปกติ และสีเทาเมื่อผิดปกติ
- เมื่อพบ Evasive Attacks จำนวนมาก ต้องทบทวน Policy ของอุปกรณ์ Firewall ด้านหน้า STA
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น