Анализ событий безопасности в МегаМон

МегаМон — это система мониторинга сети, предназначенная для обнаружения сетевых аномалий и угроз безопасности на основе Netflow и pcaps.

МегаМон — система мониторинга сети, предназначенная для обнаружения сетевых аномалий и угроз безопасности на основе Netflow и pcaps с помощью сборщика МегаМон, а также для реагирования на обнаруженные инциденты. МегаМон можно классифицировать как программное обеспечение сетевого обнаружения и реагирования (NDR), которое является важной системой для каждого центра управления безопасностью.

Каждая система класса NDR должна включать в себя функциональные возможности, которые облегчают процесс обработки инцидентов — от обнаружения до смягчения последствий и сбора доказательств. МегаМон был разработан, чтобы охватить все этапы процесса обработки инцидентов безопасности.

Экран 1. Шаги реагирования на инцидент

Анализ сетевых аномалий МегаМон можно выполнить несколькими способами:

Этот тип анализа начинается с сосредоточения внимания на выдающихся индикаторах (пики, высокие значения, высокие отклонения, необычные комбинации и т. д.).

На основе панели анализа угроз мы можем анализировать корреляции между IP-адресами, связанными с обнаруженными аномалиями или угрозами.

Это позволяет нам сосредоточиться на хостах, которые являются источником или целью многих аномалий, поэтому аналитические триггеры в этом случае вращаются вокруг отклонений данных на диаграммах.

Экран 2. Анализ угроз

Другим примером являются информационные панели, которые подчеркивают корреляцию между IP-адресами, группами или странами, где мы можем сосредоточиться на необычных характеристиках трафика в контексте этих параметров.

Экран 3. Корреляция групп

Быстрый и эффективный анализ возможен благодаря возможности быстрой навигации между панелями мониторинга (1), возможности фильтрации по критическим полям (2) или перехода к таблице с событиями (3).

Экран 4. Корреляция стран

Наиболее выразительным примером нисходящего анализа являются информационные панели, предназначенные для менеджеров, например: SOC и ключевые показатели эффективности. В этих представлениях можно выполнить детализированный анализ после нажатия на определенные значения, что облегчает анализ данных.

Экран 5. SOC и ключевые показатели эффективности

Анализ по категории угрозы (ATT&CK MITRE)

Оповещения МегаМон сопоставляются с ATT&CK (база знаний тактик и методов), что приводит широкий спектр обнаруженных в МегаМон угроз в соответствие с номенклатурой самого популярного словаря угроз и снижает риск неправильной интерпретации угроз.

Экран 6. Ключевые показатели эффективности

Этот тип анализа позволяет вам сосредоточиться на конкретных тактиках или методах, например. эксфильтрация. Таким образом, аналитики могут отфильтровать все другие угрозы, что приведет к более понятному анализу данных.

Экран 7. Фильтрация по тактике и технике возможна практически во всех панелях безопасности.

Контекстный анализ данных

Контекстный анализ данных возможен благодаря функциям фильтрации данных, включая избранные фильтры и теги.

Фильтры избранного позволяют быстро анализировать угрозы по контексту, а также помогают в процессе поиска угроз. Например, среди многих угроз приоритетными могут быть внешние или внутренние угрозы.

Экран 8. Избранные фильтры (Внешние угрозы, Внутренние угрозы)

Другим примером контекстного анализа может быть поиск угроз, помеченных как CTI (Cyber Threat Intelligence). Эти типы событий коррелируют с угрозами, обнаруженными с использованием IoC (индикаторов компрометации), таких как IP-адреса, имена хостов или хэши из категорий вредоносного ПО, спама, сканера, фишинга, TOR, прокси и криптомайнинга.

Threat Intelligence — очень важный элемент архитектуры механизма обнаружения угроз в системе мониторинга безопасности МегаМон.

Экран 9. Избранные фильтры (CTI Alerts)

Фильтрация оповещений по тегам позволяет аналитикам безопасности и охотникам за угрозами быстро находить конкретные события.

Экран 10. Карта оповещений

Анализ таблицы оповещений

Анализ событий в таблице оповещений, помимо обработки оповещений посредством флагов ACK или False Positive, позволяет просмотреть все исходные данные (необработанные), которые вызвали конкретное оповещение.

Экран 11. Таблица оповещений

Краткое содержание

Возможность отслеживать подозрительную активность с помощью гибких информационных панелей с множеством функций поддержки анализа данных делает работу с системой эффективной, быстрой и приятной для каждого пользователя системы, независимо от того, является ли он опытным инженером по безопасности или начинающим SOC-аналитиком.

Благодаря продуманной архитектуре системы МегаМон обработка инцидентов проста, но возможности глубокого анализа обширны, что делает ее ключевой системой для каждого SOC.