Пример расследования инцидента с помощью KUMA

Выявление атаки на IT-инфраструктуру организации с помощью KUMA состоит из следующих шагов:

1. Предварительная подготовка
2. Назначение алерта пользователю
3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
4. Анализ информации об алерте
5. Проверка на ложное срабатывание
6. Определение критичности алерта
7. Создание инцидента
8. Расследование
9. Поиск связанных активов
10. Поиск связанных событий
11. Запись причин инцидента
12. Реагирование
13. Восстановление работоспособности активов
14. Закрытие инцидента

В описании шагов приводится пример действий по реагированию, которые мог бы выполнить аналитик при обнаружении инцидента в IT-инфраструктуре организации. Вы можете посмотреть описание и пример для каждого шага, перейдя по ссылке в его названии. Примеры относятся непосредственно к описываемому шагу.

Условия инцидента, для которого приводятся примеры, см. в разделе Условия возникновения инцидента.

Более подробную информацию о способах и инструментах реагирования вы можете посмотреть в документе Руководство по реагированию на инциденты информационной безопасности. На сайте Securelist "Лаборатории Касперского" вы также можете ознакомиться с дополнительными рекомендациями по выявлению инцидентов и реагированию.

Условия возникновения инцидента

Параметры компьютера (далее также "актива"), на котором произошел инцидент:

• ОС актива – Windows 10.
• Программное обеспечение актива – Kaspersky Endpoint Agent, Kaspersky Endpoint Security.

Параметры KUMA:

• Настроена интеграция с Active Directory, Kaspersky Security Center, Kaspersky Endpoint Detection and Response.
• Установлены правила корреляции SOC_package из комплекта поставки программы.

Злоумышленник, заметив не заблокированный компьютер администратора, выполнил следующие действия на этом компьютере:

1. Скачал вредоносный файл со своего сервера.
2. Выполнил команду для создания ключа реестра в ветви \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
3. Добавил скачанный на первом шаге файл в автозапуск с помощью реестра.
4. Очистил журнал событий безопасности Windows.
5. Завершил сессию.

Шаг 1. Предварительная подготовка

Предварительная подготовка включает следующие этапы:

1. Мониторинг событий.

   Когда в KUMA создан и настроен коллектор, программа записывает события информационной безопасности, зарегистрированные на контролируемых элементах IT-инфраструктуры организации, в базу событий. Вы можете найти и просмотреть эти события.

2. Создание коррелятора и правил корреляции.

   При обнаружении последовательности событий, удовлетворяющих условиям правила корреляции, программа создает алерты. Если для нескольких событий срабатывает одно и то же правило корреляции, все эти события привязываются к одному алерту. Вы можете использовать правила корреляции из комплекта поставки и создавать их вручную.

3. Настройка отправки уведомлений об алерте на один или несколько адресов электронной почты.

   Если отправка уведомлений настроена, при получении нового алерта KUMA отправляет на указанный адрес или адреса электронной почты уведомление. В уведомлении отображается ссылка на алерт.

4. Добавление активов.

   Вы можете выполнить на активе действия по реагированию (например, заблокировать запуск файла), только если актив добавлен в KUMA.

   Для выполнения действий по реагированию необходима интеграция KUMA с Kaspersky Security Center и Kaspersky Endpoint Detection and Response.

   Пример В рамках предварительной подготовки аналитик выполнил следующие действия: Установил и привязал к коррелятору правила корреляции SOC_package из комплекта поставки. Настроил отправку уведомлений об алертах на свой адрес электронной почты. Импортировал в KUMA активы из Kaspersky Security Center. Согласно условиям инцидента, после того, как администратор выполнил вход в свою учетную запись, был запущен вредоносный файл, который злоумышленник добавил в автозапуск Windows. От актива в KUMA поступили события из журнала событий безопасности Windows. Для этих событий сработали правила корреляции. В результате в базу алертов KUMA были записаны следующие алерты: R223_Сбор информации о процессах. R050_Очистка журнала событий Windows.R295_Манипуляции с системой непривилегированным процессом. R097_Манипуляции с загрузочным скриптом. R093_Изменение критичных веток реестра. В информации об алерте указаны названия правил корреляции, по которым были созданы алерты, и время первого и последнего событий, созданных при повторном срабатывании правил. На адрес электронной почты аналитика пришли уведомления об алертах. Аналитик перешел по ссылке на алерт R093_Изменение критичных веток реестра из уведомления.

Шаг 2. Назначение алерта пользователю

Вы можете назначить алерт себе или другому пользователю.

Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта

На этом этапе вам нужно просмотреть информацию об алерте и убедиться, что данные событий алерта соответствуют сработавшему правилу корреляции.

Шаг 4. Анализ информации об алерте

На этом этапе вам нужно проанализировать информацию об алерте, чтобы определить, какие данные требуется для дальнейшего анализа алерта.

Шаг 5. Проверка на ложное срабатывание

На этом этапе вам нужно убедиться, что активность, по которой сработало правило корреляции, не является нормальной для IT-инфраструктуры организации.

Шаг 6. Определение критичности алерта

При необходимости вы можете изменить уровень критичности алерта.

Шаг 7. Создание инцидента

Если в ходе выполнения шагов 3–6 становится понятно, что алерт требует расследования, вы можете создать инцидент.

Шаг 8. Расследование

Этот этап включает просмотр информации о связанных с инцидентом активах, учетных записях, алертах в информации об инциденте.

Информация о затронутых активах и учетных записях отображается на вкладке Связанные активы и Связанные пользователи в информации об инциденте.

Шаг 9. Поиск связанных активов

Вы можете просмотреть алерты, которые происходили на связанных с инцидентом активах.

Шаг 10. Поиск связанных событий

Вы можете расширить расследование, выполнив поиск событий из связанных алертов.

События можно найти в базе событий KUMA вручную или выбрать любой из связанных алертов и в информации о нем нажать на кнопку Найти в событиях (Инциденты → необходимый инцидент → Связанные алерты → необходимый алерт → Связанные активы → Найти в событиях). Найденные события можно привязать к выбранному алерту, предварительно отвязав алерт от инцидента.

Шаг 11. Запись причин инцидента

Вы можете внести необходимую для расследования информацию в журнал изменений инцидента.

Шаг 12. Реагирование на инцидент

Вы можете выполнить следующие действия по реагированию:

1. Выполнить сетевую изоляцию актива.
2. Запустить антивирусную проверку.
3. Запретить запуск файла на активах.

   Перечисленные действия доступны при интеграции KUMA с Kaspersky Security Center и Kaspersky Endpoint Detection and Response.

   Пример У аналитика есть информация о связанных с инцидентом активах и об индикаторах компрометации, которая поможет в выборе действий по реагированию. В рамках рассмотренного инцидента рекомендуется выполнить следующие действия: Запустить внеплановую антивирусную проверку актива, на котором был добавлен файл в автозапуск. Задача антивирусной проверки запускается через Kaspersky Security Center. Изолировать актив от сети на время антивирусной проверки. Изоляция актива выполняется с помощью Kaspersky Endpoint Detection and Response. Поместить файл ChromeUpdate.bat в карантин и создать правила запрета на запуск этого файла на других активах организации. Правило запрета на запуск файла создается с помощью Kaspersky Endpoint Detection and Response.

Шаг 13. Восстановление работоспособности активов

После того как IT-инфраструктура будет очищена от следов присутствия злоумышленника, вы можете отключить правила запрета и сетевой изоляции активов в Kaspersky Endpoint Detection and Response.

Шаг 14. Закрытие инцидента

После того как были приняты меры по очистке IT-инфраструктуры организации от следов присутствия злоумышленника, вы можете закрыть инцидент.