Khả năng phát hiện (detection) và điều tra (investigation) mới trong Sophos XDR cung cấp cho các nhà khai thác những hiểu biết sâu sắc mà họ cần để vô hiệu hóa các mối đe dọa (threat) trước khi chúng trở thành vấn đề.
Tác giả bài viết: Russell Humphries - Phó Chủ tịch Sản phẩm của Nhóm Bảo mật Điểm cuối tại Sophos.
Trong bài viết trước, tác giả đã đưa ra tầm nhìn Sophos về khả năng phát hiện và phản hồi mở rộng (extended detection and response - XDR) và thảo luận về khái niệm "vùng xám" (the gray zone). Tóm lại, vùng xám là các tín hiệu đáng ngờ tiềm ẩn không thể tự động được phân loại là tốt hay xấu và cần được điều tra thêm để xác định xem chúng có gây ra mối đe dọa cho tổ chức hay không. Bài viết này khám phá thêm về quá trình thực hiện những phát hiện đó và thông qua một cuộc điều tra để xác định xem chúng có phải là dấu hiệu của hoạt động độc hại bằng cách sử dụng Sophos XDR hay không.
Việc tối ưu hóa phòng ngừa ngăn chặn nằm trong Sophos DNA và là một trụ cột chính trong chiến lược XDR của họ. Bằng cách tự động chặn 99,98% các mối đe dọa[1], Sophos cho phép các nhà phân tích bảo mật của bạn tập trung thời gian có hạn, quý giá của họ vào các phát hiện mà chúng sẽ có tác động lớn nhất.
[1] Nguồn: AV-Test 2021 average score
Giảm thiểu thời gian phát hiện
Hãy tưởng tượng tình huống mà kẻ tấn công đã tìm cách xâm nhập vào tổ chức của bạn thông qua một thiết bị không được bảo vệ. Bây giờ họ đã có xâm nhập vào hệ thống, mỗi giây đều có giá trị. Mục tiêu của họ là chạy âm thầm và không bị chú ý càng lâu càng tốt. Khi họ cố gắng nâng cao đặc quyền của mình hoặc di chuyển ngang qua mạng của bạn sang các máy khác, chúng sẽ để lại dấu vết, bao gồm các chỉ số được thu thập trong các bản ghi sự kiện khác nhau, cũng như các phát hiện được ghi lại bởi một thiết bị được bảo vệ. Với Sophos XDR, mục tiêu của Sophos là làm nổi bật những phát hiện này, theo cách hiệu quả nhất.
Sophos thực hiện điều này bằng cách sử dụng máy học (machine learning) đa hướng và trí thông minh về mối đe dọa (threat intelligence) để cung cấp điểm số rủi ro AI-prioritized cho mỗi lần phát hiện. Điểm số nằm trong khoảng từ 0 đến 10. Với 0 không được xác định, 1 đến 3 đại diện cho rủi ro thấp, 4 đến 7 đại diện cho rủi ro trung bình, 8 đến 9 đại diện cho rủi ro cao và 10 là rủi ro cao nhất. Sau đó, những điểm số này được mã hóa bằng màu sắc cho mức độ nghiêm trọng và được ánh xạ dựa trên khung MITER ATT@CK, cho phép nhà phân tích nhanh chóng xác định nơi họ nên tập trung vào.
Nếu một nhà phân tích muốn xem xét các phát hiện, Sophos XDR cung cấp cho họ thông tin theo ngữ cảnh trong tầm tay. Các nhà khai thác có thể truy cập thông tin chi tiết có giá trị như lần đầu tiên và lần cuối cùng một phát hiện được nhìn thấy, mô tả về phát hiện, vị trí địa lý của thiết bị, sử dụng LOL-bin bao gồm các dòng lệnh, mối quan hệ cha/con, tên process, hash và các điểm dữ liệu khác.
Các nhà phân tích có thể xoay quanh bất kỳ điểm dữ liệu nào để khám phá thêm. Ví dụ: nhà phân tích có thể yêu cầu biểu đồ mối đe dọa để xem việc tái hiện từng bước trực quan về phát hiện, bao gồm các quy trình, file, registry key đã được chạm vào... Thông tin theo ngữ cảnh không giới hạn đối với thiết bị; các nhà phân tích có thể tra cứu mã hash trên VirusTotal bằng một cú nhấp chuột hoặc xem xét các lần đăng nhập thất bại/thành công cho một người dùng cụ thể trên toàn bộ khu vực của bạn. Những hiểu biết này cung cấp bối cảnh có giá trị cho nhà phân tích.
Việc phát hiện có thể đến từ khắp nơi trong môi trường của Doanh nghiệp: điểm cuối (endpoint), máy chủ (server), tường lửa (firewall), email, đám mây (cloud), thiết bị di động (mobile), Office 365, v.v. Bổ sung mới nhất cho Sophos Data Lake là khả năng nhập (import) các sự kiện từ Office 365, cho phép bạn xem các sự kiện từ Exchange, SharePoint, OneDrive, Azure Active Directory, PowerBI, Teams, v.v. Các nhà phân tích có thể tương quan giữa các phát hiện từ các sản phẩm của Sophos và những gì đang được ghi trong nhật ký kiểm tra Office 365. Sophos XDR cũng sẽ tìm kiếm dữ liệu Office 365 để phát hiện, cung cấp điểm số rủi ro và đưa chúng đến sự chú ý của một nhà phân tích, theo cách tương tự như một sản phẩm của Sophos.
Lưới của bạn càng lớn, bạn càng có cơ hội bắt được tín hiệu độc hại trước khi thiệt hại được thực hiện. Xem video này để biết tổng quan về chức năng Phát hiện Sophos XDR.
Cuộc chơi đang diễn ra
Với sự hiểu biết chi tiết về một phát hiện này, các nhà phân tích sau đó có thể đi sâu hơn, tạo ra một trường hợp (case) và thực hiện một cuộc điều tra đầy đủ. Nhà phân tích là thám tử, chắp nối các manh mối (phát hiện) từ môi trường của họ, ghi chép và truy tìm từng đầu mối tiềm năng, nâng cao hiểu biết, cho đến khi họ vạch ra nguyên nhân gốc rễ và giải quyết vụ việc.
Nếu một phát hiện đủ nghiêm trọng, hệ thống sẽ tự động tương quan và bao gồm các tín hiệu thích hợp và các phát hiện vào một case sẵn sàng để nhà phân tích xem xét. Ngoài ra, sự bổ sung phù hợp với ngữ cảnh đối với các phát hiện trong trường hợp này sẽ được trình bày. Điều này cung cấp bức tranh đầy đủ về những gì đang xảy ra trong môi trường và tiết kiệm thời gian quý báu cho nhà phân tích.
Các case cũng có thể được tạo theo cách thủ công bởi nhà phân tích khi họ thấy một phát hiện thu hút sự quan tâm của họ. Người phân tích có thể chỉ định mức độ ưu tiên (thấp, trung bình, cao) cho từng case của mình và có các trạng thái khác nhau (Not started, In Progress, On Hold, Archived, Closed) và có thể được gán cho một hoặc nhiều nhà phân tích.
Từ Case Investigation Dashboard, một nhà phân tích có cái nhìn tổng quan về mọi trường hợp. Thông tin như priority, title, status, assigned analyst, người đã tạo ra nó, tuổi của case, số lượng thiết bị bị ảnh hưởng và phát hiện, thời gian sửa đổi gần đây nhất, lần phát hiện đầu tiên và cuối cùng và bản tóm tắt.
Khi một nhà phân tích đang làm việc với một case, họ có rất nhiều thông tin trong tầm tay, cho phép họ tập trung. Các phát hiện có thể được thêm vào hoặc loại bỏ khỏi một case. Nhà phân tích có thể xem xét chi tiết của thiết bị và thậm chí thiết lập phiên Phản hồi trực tiếp (Live Response) để thực hiện hành động trực tiếp và thực hiện các tác vụ trên thiết bị bị ảnh hưởng. Có thể là một trong những người dùng được liệt kê trong case gần đây ví dụ như đã có 20 lần đăng nhập không thành công, tiếp theo là một lần đăng nhập thành công?
Nếu nhà phân tích muốn xem xét một phát hiện cụ thể và theo dõi đường dẫn (breadcrumbs), họ chỉ cần mở rộng phát hiện, kiểm tra chi tiết hoặc xoay quanh bất kỳ thông tin nào khác có thể chứng minh giá trị của case.
Trong quá trình điều tra, một nhà phân tích cũng có thể ghi chú. Đây có thể là thông tin về những khám phá của họ hoặc tư vấn cho các nhà phân tích khác về những nhiệm vụ mà họ đã hoàn thành. Ghi chú trường hợp (case note) là định dạng miễn phí và được điền sẵn với mẫu điều tra. Mẫu này có thể được sử dụng để nhắc nhà phân tích về những gì cần điều tra. Có bất kỳ IP, domain hoặc URL nội bộ/bên ngoài nào được kết nối với thiết bị không? Bất kỳ đăng nhập RDP/SSH bên ngoài nào trong khoảng thời gian được phát hiện? Việc phát hiện có xác định được bất kỳ port lắng nghe nào không? Việc phát hiện có liên quan đến tự động chạy hoặc một dịch vụ không? Đây là một mẫu mở rộng, được xây dựng bởi những thợ săn mối đe dọa có kinh nghiệm của Sophos, có thể huấn luyện và nhắc nhở các nhà phân tích về các khu vực tiềm năng cần điều tra.
Với tất cả các thông tin liên quan trong tầm tay của họ, nhà phân tích có thể theo dõi mọi hướng dẫn, xem bức tranh toàn cảnh, hiểu các phát hiện và giải quyết trường hợp!
Kết luận
Khách hàng đã có một nền tảng vững chắc với Sophos XDR tập trung vào việc tối ưu hóa khả năng phòng ngừa. Với ít nhiễu hơn, các nhà phân tích có thể tập trung thời gian có hạn, quý giá và giữ an toàn cho Doanh nghiệp của mình. Sophos XDR đang cho phép khách hàng của Sophos ở mọi quy mô tối ưu hóa khả năng bảo vệ và giảm thiểu thời gian phát hiện, điều tra và ứng phó với các mối đe dọa.
Để biết thêm chi tiết vui lòng liên hệ với chúng tôi theo các thông tin dưới đây.
EmeraldETL là Công Ty chuyên về Công Nghệ, là Đại lý của rất nhiều dòng sản phẩm bảo mật cao cấp tại Việt Nam. Cung cấp từ những dòng bảo mật doanh nghiệp đến bảo mật đa quốc gia.
- Trụ sở: Tầng 2, 27A Hoàng Việt, Phường 4, Quận Tân Bình, TP.HCM
- Hotline: 0913324060
Các thiết bị bảo mật Sophos đang được nhiều Doanh nghiệp quan tâm nhiều nhất. Tìm hiểu thêm tại đây: Sophos | Sophos Firewall | Tường lửa Sophos
