ATD: Detección de amenazas automatizadas de NetWitness Suite

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Detección de amenazas automatizadas de RSA NetWitness® Suite usa módulos preconfigurados de ESA Analytics para identificar tipos de amenazas específicos. Un módulo ESA Analytics es una canalización que consta de objetos de actividad que enriquecen un evento con información adicional a través de cálculos matemáticos. Los módulos ESA Analytics residen dentro de los servicios ESA Analytics. Los servicios ESA Analytics utilizan agregación basada en consultas (QBA) para recopilar eventos filtrados para los módulos desde Concentrators. Solo los datos que requiere un módulo se transfieren entre el Concentrator y el sistema ESA Analytics.

Hay dos servicios de ESA que se pueden ejecutar en un host de ESA:

  • Event Stream Analysis (ESA Correlation Rules)
  • Event Stream Analytics Server (ESA Analytics)

El primer servicio es Event Stream Analysis, un servicio que crea alertas a partir de reglas de ESA, también conocido como ESA Correlation Rules, las cuales se crean manualmente o se descargan desde Live. El segundo servicio es ESA Analytics, un servicio que se utiliza para Detección de amenazas automatizadas. Dado que el servicio ESA Analytics usa módulos preconfigurados para Detección de amenazas automatizadas, no es necesario crear ni descargar reglas para utilizarla.

En Detección de amenazas automatizadas de NetWitness Suite están disponibles actualmente dos módulos Suspicious Domains, Command and Control (C2) for Packets y C2 for Logs.

Debido a que cada módulo ESA Analytics tiene distintos requisitos de datos, asegúrese de que se cumplan todos los requisitos específicos de cada módulo antes de implementar un módulo para Detección de amenazas automatizadas.

Detección de amenazas automatizadas para Suspicious Domains

Los módulos Suspicious Domains examinan el tráfico HTTP para detectar dominios que posiblemente sean servidores de comando y control de malware que se conectan a su ambiente. Una vez que Detección de amenazas automatizadas para Suspicious Domains de NetWitness Suite examina el tráfico HTTP, genera puntajes según diversos aspectos del comportamiento del tráfico (como la frecuencia y la regularidad con las cuales se establece contacto con un dominio determinado). Si estos puntajes alcanzan un umbral establecido, se genera una alerta de ESA. Esta alerta de ESA se reenvía a la vista Respond. La alerta en la vista Respond se enriquece con datos que ayudan a interpretar los puntajes para determinar los pasos de moderación que se deben seguir. 

Los módulos Suspicious Domain de Detección de amenazas automatizadas proporcionan un puntaje para detectar las comunicaciones de comando y control. Las comunicaciones de comando y control se producen cuando el malware ha puesto en riesgo un sistema y envía datos a un origen. A menudo, el malware de comando y control se puede detectar a través de un comportamiento de Beacon. La señalización ocurre cuando el malware envía comunicaciones periódicas al servidor de comando y control para informarle que se ha puesto en riesgo una máquina y que espera más instrucciones. La capacidad de detectar el malware en esta etapa de riesgo puede evitar que se produzcan daños a la máquina en riesgo y se considera una etapa crítica en la “cadena de ataques”.  

Detección de amenazas automatizadas de NetWitness Suite resuelve varios problemas comunes que se producen cuando se busca malware:

  • Capacidad de usar algoritmos en lugar de firmas. Debido a que muchos creadores de malware han comenzado a usar segmentos de código polimórfico o cifrado para los cuales es muy difícil crear una firma, es posible que en ocasiones este enfoque no detecte el malware. Debido a que Detección de amenazas automatizadas de NetWitness Suite usa un algoritmo basado en comportamiento, puede detectar el malware de forma más rápida y eficaz.
  • Capacidad de automatizar la búsqueda. La búsqueda manual en los datos es un método eficaz de encontrar malware, pero también es extremadamente lento. La automatización de este proceso permite que un analista use su tiempo con mayor eficacia. 
  • Capacidad de buscar un ataque rápidamente. En lugar de la creación de lotes y el posterior análisis de los datos, Detección de amenazas automatizadas los analiza a medida que NetWitness Suite los recopila, lo cual permite la detección de los ataques casi en tiempo real. 

Flujo de trabajo del módulo Suspicious Domains

Detección de amenazas automatizadas de NetWitness Suite funciona de manera muy similar a un sistema de filtrado. Comprueba si se produce un comportamiento determinado (o si existen ciertas condiciones) y, si se produce ese comportamiento o condición, continúa con el paso siguiente del proceso. Esto ayuda a hacer que el sistema sea eficiente y libera recursos, de modo que los eventos que no se consideran amenazas no se mantengan en la memoria. En el siguiente diagrama se proporciona una versión simplificada del flujo de trabajo del módulo Suspicious Domains. 

Flujo de trabajo de C2

1.) Los paquetes o los registros se enrutan a ESA. Los paquetes o los registros HTTP se analizan en el Decoder o en el Log Decoder y se envían al host de ESA.

2.) Se comprueba la lista blanca. Si creó una lista blanca mediante Context Hub, ESA comprueba esta lista para descartar dominios. Si un dominio del evento está en la lista blanca, se ignora el evento.

3.) Se comprueba el perfil de dominio. Detección de amenazas automatizadas comprueba si el dominio se vio recientemente (aproximadamente tres días), si tiene pocas conexiones de IP de origen, muchas conexiones sin un remitente o conexiones con un agente de usuario poco frecuente.  Si una o varias de estas condiciones son verdaderas, se comprueba el Beacon periódico en el dominio.

4.) Se comprueba el Beacon periódico del dominio. La señalización ocurre cuando el malware envía comunicaciones periódicas al servidor de comando y control para informarle que se ha puesto en riesgo una máquina y que espera más instrucciones. Si el sitio muestra un comportamiento de Beacon, se comprueba la información de registro del dominio. 

5.) Se comprueba la información de registro del dominio. Se usa el servicio Whois para ver si el dominio se registró recientemente o si está por vencer. Los dominios que poseen una vida útil muy breve a menudo son aspectos distintivos del malware. 

6.) Puntajes de agregados de Command and Control (C2). Cada uno de los factores anteriores genera un puntaje independiente, el cual se pondera para indicar diversos niveles de importancia. Los puntajes ponderados determinan si se debe generar una alerta. Si se genera una alerta, las alertas agregadas aparecen en la vista Respond y, posteriormente, se pueden investigar más a fondo desde ahí. Una vez que las alertas comienzan a aparecer en la vista Respond, continúan agregándose bajo el incidente asociado. Esto facilita ordenar los volúmenes de alertas que pueden generarse para un incidente de comando y control. 

Los analistas pueden ver las alertas en la vista Respond.

Detección de amenazas automatizadas para Suspicious Domains en paquetes frente a registros de proxy web

RSA NetWitness Suite brinda la capacidad de realizar la Detección de amenazas automatizadas para Suspicious Domains mediante paquetes o registros de proxy web. Aunque los datos de paquetes se pueden transmitir del cable a la instalación de NetWitness Suite y analizar directamente, si tiene la capacidad de usar un proxy web en la instalación, su uso puede ser de gran utilidad. Debido a que algunas instalaciones utilizan traducción de red o cifrado SSL, la dirección IP de origen real de una conexión saliente se puede enmascarar si la observa en el nivel de los paquetes. Mediante el uso de un proxy web, obtiene el beneficio de su capacidad de acelerar y descifrar el tráfico SSL, así como de rastrear las direcciones IP de origen reales del tráfico que monitorea.

Tanto Dominios sospechosos para paquetes (C2 para paquetes) como Dominios sospechosos para registros (C2 para registros) deben producir los mismos resultados. Desde un punto de vista de resultados, usar uno sobre el otro no representa ninguna ventaja real.

You are here
Table of Contents > Detección de amenazas automatizadas de NetWitness Suite

Attachments

    Outcomes