Smart Monitor & Splunk Cases

Выявление взломанного ПК, атакующего сеть изнутри

Пример корреляции событий, поступающих от антивируса (SSEP), системы защиты от несанкционированного доступа (SecretNet) и системы обнаружения вторжений (Континент Детектор Атак).

 Задача

Оперативное реагирование на вирусное заражение. Подавление активности инфицированных АРМ и предотвращение дальнейшего развития атаки на внутренние ресурсы сети.

 Информационные источники

SecretNet, SSEP, Active Directory, Континент ДА

 Решение

В качестве примера в этом кейсе используются средства защиты производства компании Код Безопасности: SecretNet, SSEP, Континент ДА

Причиной первоначального беспокойства являются события вирусной инфекции двух АРМ со схожими сигнатурами вирусов. Это еще не эпидемия, но обращает на себя внимание.

Дальше строится корреляция с выявленными на IDS сетевыми атаками с этих машин.

Чтобы понять, не произошел ли захват учетных записей пользователей на зараженных машин, производится анализ текущих сессий. Для этого анализируются активные сессии пользователей из журналов СЗИ от НСД SecretNet и сопоставляются по временем с событиями от антивируса и IDS.

Поняв, какие учетные записи пользователей потенциально задействованы в атаке, проверяем журналы доступа операционных систем.

Находим аномальное для данных пользователей поведение: попытки аутентификации на внутренних серверах компании, к которым пользователи по профилю работы не обращаются.

В результате локализуем инфицированные АРМ для последующего разбора инцидента и предотвращения распространения вирусной инфекции.

 Визуальные представления

Панель расследования инцидента

Панель расследования инцидента

Инфицировано 2 АРМ с адресами 192.168.10.10 и 192.168.10.11. Об инфекции сообщило средство антивирусной защиты Детектор атак выявил аномальную сетевую активность с зараженных ПК. Средство защиты от НСД сопоставило время атаки и пользователей зараженных АРМ, сессии которых активны в настоящий момент. На красной плашке видно число неудачных попыток аутентификации скомпрометированных учетных записей пользователей на различные АРМ за час.

 Дополнительная информация

4.2/5 rating (6 votes)