ADRA NDR
ADRA NDR rejestruje wszystkie działania w sekcji Operacje zabezpieczeń > Analiza zagrożeń, w tym potencjalne ataki oraz operacje zabezpieczeń w obrębie aplikacji, i kategoryzuje te działania według poziomów ryzyka „Niskie", „Średnie" i „Wysokie".
Jeśli zauważysz, że w ADRA NDR rejestrowane są działania wysokiego ryzyka, zalecamy przeanalizowanie dzienników aktywności przy użyciu struktury „Kto, co, gdzie i kiedy". Pomoże to uzyskać uporządkowane zrozumienie działań wysokiego ryzyka i zaplanować odpowiedni sposób postępowania.
Struktura „Kto, co, gdzie i kiedy" pomaga zidentyfikować źródła działań zarejestrowanych w ADRA NDR, charakter tych działań, docelowe lokalizacje w sieci oraz czas wystąpienia zdarzeń. Łączna analiza tych aspektów umożliwia identyfikację podejrzanych lub złośliwych zachowań i podjęcie odpowiednich działań w celu ograniczenia potencjalnych zagrożeń.
Wprowadzenie
ADRA NDR rejestruje wszystkie działania w sekcji Operacje zabezpieczeń > Analiza zagrożeń, w tym potencjalne ataki oraz operacje zabezpieczeń w obrębie aplikacji, i kategoryzuje te działania według poziomów ryzyka „Niskie", „Średnie" i „Wysokie".
Jeśli zauważysz, że w ADRA NDR rejestrowane są działania wysokiego ryzyka, zalecamy przeanalizowanie dzienników aktywności przy użyciu struktury „Kto, co, gdzie i kiedy". Pomoże to uzyskać uporządkowane zrozumienie działań wysokiego ryzyka i zaplanować odpowiedni sposób postępowania.
Struktura „Kto, co, gdzie i kiedy"
Struktura „Kto, co, gdzie i kiedy" pomaga zidentyfikować źródła działań zarejestrowanych w ADRA NDR, charakter tych działań, docelowe lokalizacje w sieci oraz czas wystąpienia zdarzeń. Łączna analiza tych aspektów umożliwia identyfikację podejrzanych lub złośliwych zachowań i podjęcie odpowiednich działań w celu ograniczenia potencjalnych zagrożeń.
- Kto
- Zidentyfikuj źródłowy adres IP w każdym dzienniku.
- Źródłowy adres IP reprezentuje źródło aktywności sieciowej.
- Przeanalizuj źródłowe adresy IP, aby ustalić, czy należą do znanych jednostek w Twojej sieci, czy też są powiązane z podejrzanymi lub nieautoryzowanymi źródłami.
- Możesz skonfrontować adresy IP z kanałami informacji o zagrożeniach (threat intelligence) i bazami danych, aby zidentyfikować złośliwe podmioty lub wskaźniki naruszenia bezpieczeństwa.
- Whois search: Whois search | APNIC
- VirusTotal: https://www.virustotal.com
- Co
- Przeanalizuj opis działania zarejestrowanego w każdym dzienniku.
- Szukaj konkretnych słów kluczowych opisujących charakter aktywności sieciowej.
Na przykład opis może zawierać terminy takie jak „nieudana próba logowania", „transfer danych" lub „skanowanie portów". - Informacje te pomagają zrozumieć konkretne działania lub zachowania oraz określić, czy są one zgodne z normalną lub oczekiwaną aktywnością w sieci.
- Gdzie
- Zidentyfikuj docelowy adres IP w każdym dzienniku.
- Docelowy adres IP reprezentuje docelową lokalizację lub system w Twojej sieci.
- Przeanalizuj dzienniki, aby ustalić, czy działania mają miejsce w obrębie autoryzowanych segmentów sieci, czy też występują próby uzyskania dostępu do obszarów sieci o ograniczonym dostępie lub nietypowych.
- Kiedy
- Zidentyfikuj informacje o czasie w każdym dzienniku.
- Przyjrzyj się znacznikom czasu powiązanym z każdym dziennikiem, aby określić czas wystąpienia aktywności.
- Przeanalizuj odstępy czasu między zdarzeniami lub szukaj wzorców, aby zidentyfikować nagłe wzrosty aktywności lub nietypowe momenty wystąpienia.
- Informacje te mogą pomóc w wykrywaniu potencjalnych skoordynowanych ataków, nietypowej aktywności w godzinach poza pracą lub długotrwałej aktywności przez dłuższy okres.