« Netskope 网络数据包捕获集成 »
Elastic 文档 Elastic 集成

网络信标识别

编辑

网络信标识别

编辑

版本

1.2.2 (查看全部)

兼容的 Kibana 版本

8.10.1 或更高版本

支持的无服务器项目类型
这是什么?

安全

订阅级别
这是什么?

白金版

支持级别
这是什么?

Elastic

网络信标识别包包含一个框架,用于识别您环境中的信标活动。该框架为威胁猎手和分析师提供了重要的入侵指标 (IoC),作为调查的起点,并帮助他们监控网络流量中的信标活动。此软件包根据 Elastic License 2.0 获得许可。

有关更多详细信息,请参阅以下博客

安装

编辑
  1. 添加集成包:通过 管理 > 集成 > 网络信标识别 安装该软件包。配置集成名称和代理策略。单击“保存并继续”。
  2. 检查转换的运行状况:计划每小时运行一次转换。此转换创建索引 ml_beaconing-<VERSION>。要检查转换的运行状况,请转到“管理” > “堆栈管理” > “数据” > logs-beaconing.pivot_transform-default-<VERSION> 下的“转换”。

  3. 仪表板的数据视图配置:为了使仪表板按预期工作,需要在 Kibana 中配置以下设置

    • 确保已安装并运行透视转换。

    • 转到 管理 > 堆栈管理 > Kibana > 数据视图。单击 创建数据视图,并使用以下设置

      • 名称:ml_beaconing
      • 索引模式:ml_beaconing.all
      • 选择 显示高级设置 并启用 允许隐藏和系统索引
      • 自定义数据视图 ID:ml_beaconing
Data Exfiltration Detection Rules

在“安全”>“规则”中,使用“使用案例:C2 信标检测”标记进行筛选

转换

编辑

要检查已安装的资产,您可以导航到 堆栈管理 > 数据 > 转换

转换名称 用途 源索引 目标索引 别名

beaconing.pivot_transform

标记您环境中的信标活动

logs-*

ml_beaconing-[版本]

ml_beaconing.all

在查询目标索引以了解有关信标活动的信息时,我们建议使用目标索引的别名 (ml_beaconing.all)。如果底层软件包升级,别名将有助于维护先前的发现。

如果要修改任何软件包组件,可以按照 这些步骤手动安装软件包。

仪表板

编辑

网络信标识别有三个仪表板

  • 网络信标:用于监控信标活动的主仪表板
  • 信标向下钻取:向下钻取相关的事件日志以及与信标活动相关的一些统计信息
  • 按进程名称随时间推移受到影响的主机:监控信标进程在您环境中的主机上的传播

功能详细信息

编辑

此功能使用 转换按主机和进程名称对网络数据进行分类,然后在主机-进程名称对上运行脚本度量聚合。对于给定的时间窗口,脚本度量聚合检查每对的以下内容

  • 以规则间隔重复的信号,并考虑这些间隔中的微小变化。
  • 从源到目标发送的字节的低变化。
  • 从目标到源发送的字节的低变化。

每小时运行一次的转换还会筛选掉常见的已知应用程序和 IP,以减少误报。转换输出有关检测、进程和主机指标的信息,例如

screenshot

上面突出显示的值是信标行为的典型值,可以帮助您进行调查。

例外列表自定义

编辑

您可以在两个位置自定义此检测的例外列表中的进程。第一个位置是在转换中:这些转换包含常见的进程,因此将某些进程保留在此处有利于转换的性能和数据处理。您可以在下一节中阅读有关如何自定义转换的更多信息。

我们还在规则中提供默认的例外列表,您可以在 UI 中检查和自定义。可以在此处查看源。

进一步自定义

编辑

高级用户还可以调整脚本度量聚合的参数,例如抖动百分比或时间窗口。导航到 Elastic 集群上的“转换”并找到此软件包安装的转换(搜索 beaconing)。您可以通过单击 .json 选项卡来浏览该处的转换源;也可以在此处查看最新版本的源代码。

要覆盖默认参数:停止软件包安装的转换,克隆转换,更改克隆的转换的参数,然后启动克隆的转换。可配置的参数是

  • number_buckets_in_range:时间窗口分割成的时段存储桶数。使用更多存储桶可以提高各种统计信息的估计值,但也增加了资源使用量。
  • time_bucket_length:每个时间存储桶的长度。更高的值表示更长的时间窗口。将此值设置为更高的值可以检查极低频率的信标。
  • number_destination_ips:要在结果中收集的目标 IP 数。将此值设置为更高的值会增加资源使用量。
  • max_beaconing_bytes_cov:低源和目标字节方差测试中有效负载字节的最大变异系数。较高的值会增加将流量标记为信标的可能性,从而提高 召回率,同时降低 精确率
  • max_beaconing_count_rv:高频率信标测试中存储桶计数的最大相对方差。与 max_beaconing_bytes_cov 一样,调整此参数需要在召回率和精确率之间进行权衡。
  • truncate_at:在计算 max_beaconing_bytes_covmax_beaconing_count_rv 时丢弃的存储桶值的下限和上限。这允许您忽略流量模式中的偶尔变化。但是,如果您保留的数据分数太小,这些测试将不可靠。
  • min_beaconing_count_autocovariance:低频率信标测试中信号的最小自相关。降低此值通常会增加恶意命令和控制信标的召回率,同时降低精确率。
  • max_jitter:假设周期性信标可能的最大 抖动量,以其周期的分数表示。

您还可以更改转换查询。默认查询会在 6 小时的时间范围内查找信标活动,但您可以更改它。

信标并非恶意软件独有。许多合法的良性进程也表现出类似信标的活动。为了减少误报,转换查询中的默认筛选器会排除属于两组的已知信标进程和 IP

  • 源 IP 是本地的,目标是远程的。
  • 目标 IP 在已知的 Microsoft IP 地址块中。

您可以在转换中创建其他筛选器,以满足您的环境需求。

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.2.2

错误修复 (查看拉取请求)
将字段 event.ingested 添加到转换,解决检测规则备份时间戳

8.10.1 或更高版本

1.2.1

增强 (查看拉取请求)
改进软件包安装文档

8.10.1 或更高版本

1.2.0

增强 (查看拉取请求)
更新转换例外列表

8.10.1 或更高版本

1.1.0

增强 (查看拉取请求)
更新软件包文档

8.10.1 或更高版本

1.0.0

增强 (查看拉取请求)
软件包的初始版本(支持无服务器)

8.10.1 或更高版本
« Netskope 网络数据包捕获集成 »