在这节课中,你将学习事件和报警。
在这节课中,你将学习上图显示的主题。
通过展示在事件和警报方面的能力,你将了解安全事件层次结构并能够识别其分类。
当你审查安全事件时,你希望有足够的信息来决定行动方案,但不要因为信息太多而变得难以应对。FortiEDR聚合安全事件数据,以便你可以从高级警报开始,并根据需要向下钻取更多细节。例如,假设一个恶意软件在三个不同的设备上触发。每次在新设备上触发该进程时,都会创建一个单独的事件。如果按流程聚合事件,那么所有事件都将是同一个警报的一部分:三个事件汇总成一个警报。如果恶意软件试图通过网络通信,它可以尝试连接到许多网络目的地,并且每次尝试连接到一个新的目的地都会导致一个单独的原始事件。许多原始事件被汇总为单个事件,然后,在最高级别上,这些单个事件被汇总为警报。
FortiEDR如何检测和处理安全事件?FortiEDR推出了五种安全策略:执行预防(或NGAV),泄漏预防,勒索软件预防,设备控制和扩展检测。这些策略由一组与文件或流程行为相关的规则组成。安装在网络中的每一台设备上的FortiEDR收集器会对设备上的活动进行快照。当活动违反规则时,你将收到一个事件。例如,你可以看到上图中示例中的事件违反了“恶意文件检测”规则。检测到恶意文件意味着FortiEDR识别出该文件为恶意文件。当基于机器学习或其他分析对文件进行标记时,FortiEDR在看到该文件时就会发出警报。
规则是分配的操作。大多数情况下,默认动作为阻断。如果一个事件违反了规则,FortiEDR将自动阻止它。对于不太严重的规则(可疑但可能合法的行为),默认操作是Log。如果需要,你可以在SECURITY SETTINGS选项卡上更改这些操作。当一个事件违反了多个规则时,更严重的违反决定了操作。换句话说,如果一个规则设置为Block,另一个设置为Log,并且事件违反了这两个规则,那么事件将被阻塞。你可以在事件行的末尾看到所采取的操作。
上图展示了所有的事件操作。如果event VIEWER上的事件动作为Block,则表示收集器上的泄漏尝试被预防模式下的策略阻止。动作为模拟阻塞的事件,表示策略为模拟模式,如果处于预防模式,则泄漏尝试将被阻止。带有Log操作的事件,意味着安全策略中的规则只是记录事件,而不是阻止它。
分类是帮助你对事件进行优先排序的指南。恶意事件的分类表明,你应该尽可能快地调查和纠正事件,但安全事件可能不那么紧急。
分类是如何分配的?当事件发生时,核心自动为其分配分类。在这上图展示的例子中,在历史部分,你可以看到该事件最初被归类为恶意事件。这是对事件的即时响应的一部分。你会发现时间戳是2021年10月24日13点34分26秒。比赛结束后,FCS会对比赛进行更详细的审查,并决定是否要改变原来的分类。如果你再次查看示例,你将看到FCS将事件重新分类为安全事件。FCS响应事件的时间稍微长一些,你会注意到时间戳是13:34和46秒,这大约是核心记录事件的20秒之后。所以核心会立即对事件做出反应,如果需要的话,FCS会对分类进行微调。
作为管理控制台用户,你还可以根据分析手动重新分类事件。例如,如果你调查了一个可疑事件,并证实它是由恶意软件引起的,你可以将其标记为恶意的,这样如果它再次出现,你就知道它是坏的,你就不必再次调查它。
上图展示了所有的事件分类。首先是恶意事件。这些是最严重的事件,它们很糟糕,它们没有潜在的用途,你应该修复设备。
第二是可疑事件。可疑事件很可能是恶意软件,但还没有得到验证。你应该检查这些事件,以确保它们是不合法的,然后根据需要修复设备。
第三类没有定论。这种分类表明存在冲突信息,或者没有足够的信息来确定该事件是否是恶意软件。你应该回顾这些事件。如果确定为恶意事件,请修复设备。如果你确定它们是安全的,你可以创建一个异常,这样它就不会再次出现。
接下来是潜在的不受欢迎的程序,简称PUP。这些不一定是恶意软件,但它们是你不应该运行的进程。这些程序通常与合法软件(例如浏览器插件)捆绑在一起,或者它们可能是像种子这样的高风险应用程序。你应该检查这些事件,并决定是否删除程序或创建一个异常来允许它。
后两类是最不严重的。一个可能安全的分类意味着事件可能是合法的。100%的验证是不可能的,但是你可以假设风险很小。检查这些事件以确保它们看起来正常,然后创建一个异常。被分类为确认安全的软件绝对是合法的。通常,你不会在事件列表中看到安全事件。如果FortiEDR确定一个事件是安全的,它会自动创建一个异常并将该事件标记为过期。如果进程再次运行,它将被允许。
答案:B
现在你了解了事件和警报。接下来,你将了解事件查看器。
通过展示使用事件查看器的能力,你将知道如何通过FortiEDR事件查看器进行导航。
现在更详细地研究一下事件聚合。事件按设备或流程聚合为警报。每种聚合方法都适用于不同类型的调查。例如,如果你想查看单个恶意软件进程在你的网络中的影响,你可能需要选择进程视图。在上图中显示的示例中,事件是按流程聚合的。你可以看到,网络有两个事件涉及ConnectivityTestAppNew.exe。如果你在排除某个特定设备的故障,你可能想要选择设备视图,这样你就可以看到涉及该设备的所有事件。如果你想要查看警报中的事件,只需单击列表中的警报以展开它。
警报分类来自该警报中最严重的事件分类。因此,如果一个警报包含一个分类为恶意的事件和三个分类为不确定的事件,则该警报将被分类为恶意的。这个分类系统的目的是让你注意到最紧急的事件。警报还会从事件中获取它的接收日期,第一次接收到事件的最近日期就是警报的接收日期,在本例中是2021年12月5日。
原始事件聚合为事件。每个事件被分配一个唯一的事件ID。在这个例子中,列出的第一个ConnectivityTestAppNew事件是事件44010。如果单击该行,你将看到更多细节:用户、路径以及证书是否已签名。在行的末尾,你还将看到Raw数据项的数量—在本例中为3。一个事件可能只与一个原始事件关联,也可能与数百个原始事件关联。要查看原始事件详细信息,请单击该行左侧的三角形。
上图的示例展示了原始事件数据,你可以看到由FortiEDR收集的导致事件的每一份原始数据。在本例中,你可以看到事件43972,该事件中有三个原始事件,每个事件都有自己的原始ID。该文件在12月5日被阅读了34次。你会注意到,每个原始事件都被分配了一个原始ID。这些是独立于事件ID的。
只要适用,你可以在ADVANCED DATA窗格上查看每个原始事件的外部目标。
ADVANCED DATA窗格显示了导致安全事件的原因的图形表示。它包含三个选项卡:事件图、地理位置和自动化分析。Event Graph选项卡始终显示,其他两个选项卡仅在相关数据可用时才显示。Event Graph选项卡显示了导致安全事件的操作系统事件流。地理位置显示安全事件的目的地国家。Automated Analysis选项卡显示了FortiEDR如何对事件进行分类,以及分析内容的摘要。
指示事件状态的另一种方法是将其标记为已读或未读。单击事件行时,该事件将自动标记为已读。如果警报的所有事件都已读取,则将其标记为已读。已读事件以纯文本显示,未读事件以粗体显示。
可以手动将事件标记为已读或未读。例如,如果你想让其他人查看某个事件,你可以将其状态恢复为未读。选择事件复选框,在“标记为”下拉框中,选择“标记为已读”或“标记为未读”。
你如何找到一个事件?通常,你会想先查看优先级最高的项目。一种方法是根据状态进行过滤。默认情况下,只显示未处理的事件,因此你可以关注未处理的事件。你还可以使用筛选器查看未读事件、归档事件或设备控制事件,如果启用设备控制策略,则与已被阻塞的设备相关的事件。
你还可以使用排序来帮助确定事件的优先级。你可以按事件列表中的任何列标题排序。按日期排序是一个很好的方法,可以看到什么正在积极地影响你的系统。您将注意到每个事件的两个日期,一个是接收到的,这是该事件的第一次发生,第二个是最后更新的,这是事件的最近发生。在某些情况下,就像你在上图上看到的例子,这两个日期是相同的,但有时事件发生的时间不同,所以这些日期可能相隔几天或几周。
设备和流程视图也被设计用来帮助你更有效地工作。在设备视图中,你可以看到在特定设备上发生的所有事件。如果你正在调查某个特定用户报告的问题,那么这将非常有用。选择进程视图,你可以找到受特定进程影响的所有设备。这是一个查找特定进程的所有实例的有用视图,这个恶意软件影响了我的环境多少次?流程视图通常也是事件调优最有效的选择。
如果你正在寻找一个特定的事件,可以使用搜索功能。要进行简单的搜索,请在列表顶部的搜索字段中输入搜索词。如果你已经知道事件ID,你可以在这里输入它,你将立即找到它。如果你想通过多个条件进行搜索,你可以单击搜索字段右侧的灰色小箭头,以打开高级搜索窗口。在那里,你可以通过窗口中任何条件的组合进行搜索,你可以在右下角的示例中看到这一点。例如,你可能会搜索影响特定收集器的阻塞事件,或者在某一天涉及特定进程并被归类为恶意的事件。
有几种不同的方法来标记已处理的事件。首先,可以将事件标记为Handled。当你将事件标记为已处理时,其他管理控制台用户就知道你已经调查并处理了该事件,方法是修复感染或为安全进程创建异常。
若要处理事件,请选中与事件关联的复选框。可以为单个事件选择复选框,也可以为警报中的所有事件选择复选框。然后单击“处理事件”按钮。将打开“事件处理”弹出窗口。你可以使用此窗口中的设置更改事件分类。例如,可以根据你的发现将不确定的分类更改为安全或恶意的分类。最佳实践是加入注释,解释你如何处理事件。然后单击Save和Handled。
未处理的项目以深灰色标志显示,处理过的项目以浅灰色标志显示。如果要查看已处理的事件,请选择“全部”。默认视图是Unhandled,它只显示尚未处理的事件;本质上,就是你的待办事项清单。如果事件再次发生,它将被自动标记为Unhandled,以便你知道需要进一步调查。
你还可以归档一个事件。即使将筛选器设置为All,事件列表中也不会出现归档事件。要存档一个事件,请选中它的复选框,然后单击列表顶部的存档按钮。你还可以在“事件处理”窗口中选择“存档时处理”复选框来存档,并在一个步骤中标记为已处理。
将左侧的筛选器下拉列表更改为“已归档”,即可查看所有已归档事件。在高级搜索窗口中选择“包括归档事件”,也可以搜索归档事件。如果归档事件重复出现,将创建一个新事件,并出现在主事件列表中。
答案:A
答案:B
现在你了解了事件查看器。接下来,你将了解异常管理器。
通过演示如何使用异常管理器,你将了解如何创建和编辑异常。
IP集允许你定义一组特定的IP地址,如AWS IP、数据库服务器、域控制器等。你可以将IP集应用于事件异常,例如,你可以允许进程仅与谷歌IP通信,或者仅与你的信用卡服务器通信。
你可以根据需要创建任意多的IP集。可以选择单个添加IP地址、按范围添加IP地址、按子网添加IP地址。也可以将指定的IP地址排除在允许的范围内。
FortiEDR具有内部目标IP设置。你不能编辑列表中的IP地址,但你可以添加到列表中,并将地址放入排除IP列表中。
假设你调查了一个事件,你确定它是安全的。下一步是创建异常。异常是一种表示即使进程违反了规则,但你已经确定它是安全的方式。因此,如果这个过程再次违反了同样的规则,FortiEDR不会阻止它。
最佳实践是最小化异常覆盖的路径和目的地。你可以使用IP集并向文件路径添加通配符,以减少将异常应用到所有目的地或任何路径的需要。
Fortinet还建议对所有组应用例外,除非你有特定的理由不这样做。异常应用于收集器组,而不是单个收集器,因此,如果收集器移动到另一个组,它将丢失异常,除非对新组和旧组都应用相同的异常。应用异常可以消除这个问题并减少求助台请求。
现在,我们来快速了解一下如何应用和管理异常。当你单击事件列表中的事件以查看其详细信息时,你可以看到左侧的Exception按钮。当你单击Exception按钮时,你可以看到所选事件是否已经被现有的异常覆盖。当你看到没有铅笔的图标,只有左上角的绿色菱形时,没有例外。单击此按钮可创建一个新的异常。如果你在右上角看到带有绿色铅笔的图标,那么至少存在一个例外。单击此按钮查看异常并在需要时进行编辑。例如,你可能想知道异常是何时创建的,这样就可以确定你正在查看的事件是发生在异常创建之前还是之后。如果这是在之后发生的,你可能需要扩大参数。
如果希望查看环境中存在的所有异常,可以单击Exception Manager按钮。你可以搜索特定流程、事件ID等的异常,也可以使用高级搜索一次查找多个条件。你可以直接从异常管理器编辑异常—只需单击异常行右侧的异常图标。它与你在事件列表中看到的具有现有异常的事件的图标相同。你还可以删除异常—只需单击行尾的trash图标。你还可以选择将例外列表导出到PDF或Excel文件。
现在来看一下异常和操作顺序之间的关系。安全策略由规则组成,例外适用于特定的规则违反。FortiEDR以特定的顺序执行其策略。首先,当读取文件或试图执行文件时,会根据执行预防策略(NGAV)进行检查。这是大多数感染停止的地方。如果允许这个过程继续,感染后预防策略会检查所有试图连接的网络,而勒索软件预防会检查所有试图修改文件的行为。
为什么这很重要?在预防模式中,进程通常由第一条阻塞规则停止。例如,如果它在执行预防中被可疑文件检测规则停止,它将不会被外泄或勒索病毒预防策略检查。这意味着,如果你创建一个异常,允许进程运行,即使它违反了可疑文件检测规则,你可能不会看到任何其他违反规则。流程从未启动,因此它从未被其他策略检查。当你将异常放置到位时,如果流程与其他异常相违背,它仍然可能遇到进一步的阻塞事件。
答案:B
恭喜你!你已经完成了这一课。现在,你将回顾你在本课中涉及的目标。
通过掌握本课涉及的目标,你了解了有关FortiEDR安全事件和警报的更多信息。
482
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
