Polityka ostrzeżeń jest zbiorem reguł wyróżniających spośród wszystkich zdarzeń te, które zamierzamy oznaczyć stosownymi ostrzeżeniami (alertami).
Producent udostępnia politykę domyślną (Xcitium Predefined Policy), bez możliwości edycji oraz narzędzie do definiowania własnej polityki.
Aby zdefiniować politykę, wybieramy opcję [+Create Policy], wpisujemy jej nazwę własną i naciskamy Enter.
Każdy klient, może w danej chwili korzystać z dokładnie jednej polityki ostrzeżeń. Wybraną politykę uruchamiamy przyciskiem [Activate].
Events
Polityka alertów, podzielona jest na 8 sekcji dotyczących różnych zdarzeń, na które EDR ma docelowo reagować:
– Process Events – reguły powiadamiające o wywołaniu procesów przez aplikację. Przewiduje 1 typ zdarzenia: —— Create Process – uruchomienie nowego procesu.
– Registry Events – reguły powiadamiające o zmianach w rejestrze systemu Windows w punktach końcowych. Przewidują 3 typy zdarzeń: —— Delete Registry Key – usunięcie klucza z rejestru. —— Delete Registry Value – usunięcie wartości klucza. —— Set Registry Value – zwiana wartości klucza w rejestrze.
– File Events – reguły powiadamiające o modyfikacjach plików systemowych. Przewidują 2 typy zdarzeń: —— Write File – utworzenie lub zmiana zawartości pliku. —— Delete File – usunięcie pliku.
– Security Events – reguły powiadamiające o działaniu innych podsystemów bezpieczeństwa: —— Antivirus – silnik antywirusowy —— Containment – lokalny sandbox —— Application Control – kontrola aplikacji —— Autoruns Control – kontrola autostartu —— Virtual Desktop – działanie wirtualnego pulpitu (zwirtualizowanej instancji systemu).
– Download Events – reguły powiadamiające o pobieraniu plików za pośrednictwem przeglądarek, wiadomości e-mail, folderów udostępnionych lub dysków zewnętrznych. Przewidują 3 typy zdarzeń: —— File Copy from Shared Folder – skopiowanie pliku z folderu współdzielonego. —— File Copy from USB Disk – skopiowanie pliku z dysku USB. —— Email Download – pobranie poczty elektronicznej.
– Upload Events – reguły powiadamiające o przesyłaniu plików do folderów udostępnionych lub na dyski zewnętrzne. Przewidują 2 typy zdarzeń: —— File Copy to Shared Folder – skopiowanie pliku do folderu współdzielonego. —— File Copy to USB Disk – skopiowanie pliku na dysk USB.
– Defense+ Events – reguły powiadamiające o próbach uzyskania dostępu do krytycznych funkcji systemu operacyjnego lub przeprowadzenia ataków. Przewidują 8 typów zdarzeń: —— Access Raw Disk – niskopoziomowy dostęp do dysku. —— Access Keyboard – dostęp do klawiatury. —— Access Screen – dostęp do ekranu. —— Set Windows Hook – ustawienie systemowego punktu zaczepienia (użycie mechanizmu przechwytywania zdarzeń). —— Virtual Memory Access – dostęp do pamięci wirtualnej, —— Access Microphone – dostęp do mikrofonu. —— Code Injection – wstrzyknięcie (potencjalnie złośliwego) kodu. —— Open Process – otwarcie procesu.
– Network Events – reguły powiadamiające o wszelkich usługach nasłuchujących na portach i połączeniach sieciowych w punktach końcowych. Przewidują 2 typy zdarzeń: —— Network Listen – nasłuch sieci. —— Network Connection – nawiązanie połączenia sieciowego.
Conditions (EDR)
Aby dodać regułę EDR, decydujemy się na jedną z 7 sekcji (dowolną oprócz “Security Events”) i naciskamy Add New.
W oknie Add Condition, konfigurujemy następujące pola:
– Event Type [1] – wybieramy typ zdarzenia. Typy zdarzeń zależne są od sekcji, w której definiujemy regułę.
– Event Name [2] – nazwa własna zdarzenia. Widoczna później jako “Adaptive Event Name”.
Wybór, z rozwijanej listy, jednej z 14 taktyk naruszenia cyberbezpieczeństwa:
Każda z taktyk ma przypisaną listę technik, określającą JAK potencjalny cyberprzestępca mógłby osiągnąć swoje cele.
Nazwa taktyki mówi nam, CO potencjalny cyberprzestępca mógłby usiłować osiągnąć:
– Initial Access – intruz próbuje dostać się do naszej sieci.
Techniki:
– Execution – intruz próbuje uruchomić złośliwy kod.
Techniki: – Persistence – intruz próbuje utrzymać swoją pozycję w naszych zasobach.
Techniki: – Privilege Escalation – intruz próbuje uzyskać wyższy poziom uprawnień.
– Lateral Movement – intruz próbuje przemieszczać się w naszym środowisku (zasobach/infrastrukturze).
Techniki: – Collection – intruz próbuje zebrać od nas dane istotne dla jego celów.
Techniki: – Exfiltration – intruz próbuje wykraść dane.
Techniki: – Command and Control – intruz próbuje komunikować się z zaatakowanymi systemami, celem przejęcia nad nimi kontroli.
Techniki: – Impact – intruz próbuje zakłócać pracę systemów lub manipulować nimi, w dalszej kolejności także niszczyć systemy i dane.
Techniki: – Resource Development – intruz próbuje zebrać i skonfigurować zasoby/usługi, których może użyć do wsparcia swoich działań.
Techniki: – Reconnaissance – intruz próbuje zebrać informacje, które może wykorzystać do planowania przyszłych operacji.
Techniki:
Obiektem jest zasób, w którym wystąpił incydent. Na przykład punkt końcowy.
Podmiotem jest źródło incydentu. Na przykład użytkownik lub proces, który uzyskał dostęp do zasobu.
UWAGA!
Ustawienia Tactic, Technique, Object i Subject są opcjonalne i nie mają wpływu na działanie EDR.
Służą ocenie potencjalnego zagrożenia przez administratora,
oraz według uznania oznaczenia zagrożenia sygnaturą MITRE.
Reguły wykonania alertu
Aby dodać regułę, naciskamy [+] Add Rule [7] i wprowadzamy jej parametr, operator i wartość.
Zbędne reguły usuwamy opcją [X] Delete [9].
Aby dodać grupę reguł, naciskamy ⊕ Add Group [8], a następnie definiujemy reguły wewnątrz grupy.
Grupy reguł powiązane są operatorami logicznymi AND|OR [10].
Operator AND oznacza, że wszystkie pojedyncze reguły w grupie muszą zostać spełnione, aby wartość logiczna grupy wynosiła 1.
Operator OR oznacza, że dowolna, przynajmniej jedna pojedyncza reguła w grupie musi zostać spełniona, aby wartość logiczna grupy wynosiła 1.
Wartość Score [11] oznacza potencjalny poziom zagrożenia (od 0 do 10) dla warunku ostrzeżenia, którego reguły ustalamy.