警报
在InsightIDR运行的每一刻,它都会从它的所有资产和端点找到并收集数以千计的威胁。然而,大量的活动会引起警报或触发警报,即使它们不是高调的威胁,这可能很快导致调查这些警报的安全团队精疲力竭。
MDR的客户
可根据要求更改警报设置;请联系您的客户顾问。
了解不同类型的警报
提醒以电子邮件的形式发送给您,其中包含事件编号和简短描述,通知您InsightIDR捕捉到的值得注意的事件和可疑行为。
有几种不同类型的警报和警报设置可用:
著名的事件
值得注意的事件不会产生警报或调查。
作为InsightIDR用户行为分析(UBA)的一部分,该解决方案监视和基线每个用户的活动,建立一个模式,用户拥有哪些资产,他们访问哪些资产,他们从哪里远程登录,以及其他操作。
一些值得注意的事件有助于识别用户的异常情况,如“新资产登录”或“首次从国家进入”。其他值得注意的事件是有效的低保真警报,如“帐户锁定”或“病毒警报”。预计几乎任何电视台在任何一天都将经历大量值得注意的事件。这可以防止InsightIDR向最终用户发出警报。
相反,当用户涉及“真实”警告以提供额外的上下文时,值得注意的事件会自动添加到调查时间线中。这有助于分析人员在不完全观察到这些显著事件的情况下更好地分析行为。
示例用例
警告“Bruteforce -域帐户”确实表明一个雇员John Doe被锁定在他的帐户之外,因为他是一个暴力企图的目标。
这种独特的两层检测系统标记异常事件,并将其纳入调查,而不会使安全事件响应团队出现误报。值得注意的事件是介于预期行为和值得警惕行为之间的事件。
可以修改默认的“规则动作”检测规则页面.
内置的警报
InsightIDR在创建警报时检查以下事件:
警报的名字 |
描述 |
|---|---|
创建账户 |
已创建新帐户。 |
帐户启用 |
管理员重新启用了以前禁用的用户帐户。 |
帐户泄漏 |
指示您环境中的某些帐户名出现在来自其他网站或其他外部来源的外部数据泄露的凭据转储中。如果您环境中的帐户与公共域中的帐户匹配,InsightIDR将生成此警报。这并不意味着公共域中的凭据与您的环境中使用的凭据匹配,但如果用户在这些第三方站点上重用了与您的环境中使用的相同的密码,则可能匹配。根据您公司的密码政策和泄漏数据的年龄,这些警告可能被认为是低保真度和更多信息。 |
账户锁定 |
帐户被锁定。 |
账户密码重置 |
日志含义重置帐户密码。 |
帐户特权升级 |
管理员已为该帐户分配更高级别的权限。 |
账户收到可疑链接 |
用户收到一封电子邮件,其中包含由社区或威胁源标记的链接。 |
账号解锁 |
之前被锁定的用户已被管理员解除锁定。 |
帐户访问可疑链接 |
用户访问了跟踪的威胁列表中的链接url。 |
先进的恶意软件警告 |
一个先进的恶意软件系统发出了警报。 |
应用程序身份验证——新来源 |
被允许的用户正在从新的源资产对应用程序进行身份验证。 |
应用验证-新用户 |
新用户正在对应用程序进行身份验证。 |
试图从禁用的帐户进行身份验证 |
被禁用的用户试图访问资产。 |
Denylisted应用身份验证 |
用户正在对您先前指示不允许他们访问的应用程序进行身份验证。 |
Denylisted身份验证 |
用户正在对您先前指示不允许他们访问的系统进行身份验证。 |
Brute force -资产 |
许多不同的账户试图验证同一资产。 |
蛮力-域帐户 |
域帐户对同一资产的认证过度失败。 |
蛮力-本地帐户 |
本地帐户对同一资产认证过度失败。 |
检测规避-删除事件日志 |
用户删除资产的事件日志。 |
检测规避-本地事件日志删除 |
本地帐户删除资产上的事件日志。 |
利用减轻 |
在一个过程中,漏洞被缓解了。 |
第一个进入身份验证从国家 |
日志含义帐号第一次接入网络。 |
第一次管理动作 |
用户执行了管理操作。 |
资产上的标记散列 |
标记的进程哈希第一次开始在资产上运行。 |
资产上标记的流程 |
标记的进程名第一次开始在资产上运行。 |
收获的凭证 |
多个账户试图验证一个不同寻常的地点。 |
蜂蜜文件访问 |
日志含义在共享文件服务器上访问蜂蜜文件。 |
亲爱的用户身份验证 |
有人试图使用蜂蜜用户帐户登录。 |
蜜罐的访问 |
有人试图连接网络蜜罐。 |
从密码永不过期的帐户进入 |
拥有永不过期密码的帐户已从外部位置访问网络。 |
来自社区的威胁 |
用户使用当前跟踪的威胁的一部分的IP地址登录到网络。 |
从禁用的帐户进入 |
被禁用的用户已经登录网络或被监控的云服务。 |
从域管理员进入 |
域管理员帐号从外部访问网络。 |
从服务帐户进入 |
服务帐户已从外部位置访问网络。 |
进入的威胁 |
用户从威胁列表中的IP地址访问网络。 |
Kerberos特权提升利用 |
用户利用Windows Kerberos漏洞CVE-2014-6324提升权限。 |
横向移动-管理员模仿 |
用户已通过管理员身份验证。 |
横向移动-域证书 |
域帐户在短时间内试图访问多个新资产。 |
横向移动-本地证书 |
一个本地帐户在短时间内试图访问多个资产。 |
横向移动-服务帐户 |
正在从新的源资产对服务帐户进行身份验证。 |
横向移动-观察用户模仿 |
用户已通过认证进入被监视用户的帐户。 |
LDAP管理员添加 |
用户已加入特权LDAP组。 |
本地蜂蜜证书特权升级尝试 |
本地蜂蜜证书特权升级尝试。 |
资产上的恶意哈希 |
在某个资产上发现恶意哈希。 |
多个国家认证 |
用户在短时间内从许多不同的国家访问网络。 |
多个组织认证 |
用户从多个外部组织访问网络速度过快。 |
网络访问威胁 |
用户访问了被跟踪威胁列表中的域或IP地址。 |
新的资产登录 |
用户正在对新资产进行身份验证。 |
新资产验证 |
用户在短时间内访问了大量的新资产。 |
创建新的本地用户帐号 |
用户已创建新的本地用户。 |
检测到新的AWS区域 |
AWS区域内的活动首次出现。 |
检测到新的AWS EC2实例族 |
第一次启动了一个EC2实例族。 |
新的AWS服务 |
首次使用AWS服务。 |
密码设置为永不过期 |
用户密码设置为永不过期。 |
协议中毒检测 |
已检测到网络协议中毒。 |
检测到远程文件执行 |
已检测到远程文件执行。 |
远程蜂蜜证书认证尝试 |
远程蜂蜜证书认证尝试。 |
限制资产认证-新的来源 |
一个被允许的用户正在从一个新的源资产向一个受限制的资产进行身份验证。 |
限制资产认证-新用户 |
新用户正在对受限资产进行身份验证。 |
鱼叉钓鱼URL检测 |
用户访问了一个潜在的网络钓鱼域。 |
第三方警报- AWS警卫值班 |
AWS GuardDuty发现可疑或恶意活动。 |
第三方警报-炭黑反应 |
炭黑反应已检测到可疑或恶意活动。 |
病毒警报 |
在资产中发现病毒。 |
无线多国认证 |
短时间内从多个国家使用移动设备登录网络。 |
无线多组织身份验证 |
用户使用无线设备从大量不同的组织快速登录到网络。 |
区域政策违反 |
用户违反了InsightIDR中配置的网络区域策略。 |
基线期间的内置警报
当InsightIDR了解资产或用户的行为时,可以将其置于基线期。
基线是一种临时状态,不是永久的。它通常在InsightIDR数据库中创建特定用户或资产时启动。用户创建后21天,资产创建后14天。
显著事件和自定义警报不受基线的影响。然而,以下内置警报将不会在基线期间生成:
| 警报的名字 | 在基线期的影响 |
|---|---|
| 横向移动-域证书 | 如果用户或目标资产处于基线期,则不生成。 |
| 横向移动-服务帐户 | 如果任何用户、源或目标资产处于基线期,则不生成。 |
| 新资产验证 | 如果用户处于基线期,则不生成。 |
| 限制资产认证-新的来源 | 如果任何用户、源或目标资产处于基线期,则不生成。 |
| 限制资产认证-新用户 | 如果用户或资产处于基线期,则不生成。 |
其他资源
你也可以利用攻击者行为分析.