检测规则

检测规则是InsightIDR使用Rapid7广泛的威胁情报来检测威胁的逻辑。当满足规则的条件时发生检测。规则分为两类:用户行为分析攻击者行为分析.

InsightIDR检测规则页面允许您修改检测规则,创建自定义警报,订阅或参与Community Threats,并更深入地了解InsightIDR用于创建调查和跟踪重要事件的检测规则。

用户行为分析(UBA)

UBA检测将洞察应用于用户每天生成的数百万网络事件,以检测受损凭证、横向移动和其他恶意行为。在“用户行为分析”选项卡下查看UBA检测规则。

攻击者行为分析(ABA)

攻击者行为分析揭示了攻击者获取资产持久性以及向受害者机器发送和接收命令的有限方式。每个ABA检测规则查找唯一的攻击者行为。您可以在“攻击者行为分析”选项卡中查看过去30天内所有ABA检测规则和检测次数。您还可以查看规则逻辑相关的威胁团体主教法冠ATT&CK映射排序、筛选搜索检测规则。

规则逻辑

单击任何ABA检测规则并导航到规则逻辑选项卡以查看用SQL风格的搜索语言、日志条目查询语言(LEQL)编写的规则逻辑。规则逻辑查询公开检测规则搜索的内容,使您能够更好地了解InsightIDR如何生成检测。

威胁团体

威胁组是在特定攻击期间同时出现的已知恶意检测。在“攻击者行为分析”选项卡上,您可以查看与每个检测规则关联的威胁组,以及按威胁对检测规则进行分组。单击每个威胁组以了解更多上下文。

主教法冠ATT&CK

MITRE ATT&CK框架是MITRE创建的一个知识库,用于记录基于真实世界观察的战术和技术。该框架为团队提供了一个蓝图,通过识别攻击链中的威胁,将他们的检测工作重点放在哪里。有关MITRE ATT&CK框架的更多信息,请访问:https://attack.mitre.org/

每个Rapid7 ABA检测规则都映射到MITRE ATT&CK战术和技术,您可以在攻击者行为分析选项卡上的表中查看这些战术和技术。单击检测规则以查看相关的斜接ATT&CK映射。

您还可以在MITRE ATT&CK矩阵选项卡上找到所有MITRE ATT&CK战术和技术的详细视图。单击某项技术或子技术以查看MITRE建议的说明和缓解措施。Rapid7检测规则涵盖的技术和子技术由绿色条指示,并展开以显示关联规则。使用显示的战术和技术切换可查看整个MITRE ATT&CK框架,或仅查看Rapid7涵盖的战术和技术。

斜接附件和控制矩阵选项卡

对ABA检测规则进行排序和筛选

使用过滤器通过以下方式缩小ABA检测规则的范围:

  • 修改日期
  • 添加日期
  • 例外情况的数目
  • 数量的检测
  • 规则操作
  • 威胁
  • 主教法冠ATT&CK覆盖

使用表格标题中的向上和向下箭头对ABA检测规则进行排序。您可以使用切换按威胁对规则进行分组,或查看未分组的规则。

您可以使用搜索栏在ABA检测规则和威胁中搜索特定的恶意操作和行为。

例如,如果您认为您通过SSH易受攻击,则可以使用InsightIDR搜索可能针对您的攻击者行为。