警报

InsightIDR在运行的每一刻都会发现并收集来自其所有资产和端点的数千个威胁。然而,大量的活动将引起警报或触发警报,即使它们不是引人注目的威胁,这可能会很快导致调查这些警报的安全团队精疲力竭。

MDR的客户

警报设置可根据要求进行更改;请联系您的客户顾问。

了解不同类型的警报

提醒以电子邮件的形式发送给您,其中包含事件编号和简短描述,通知您InsightIDR捕捉到的值得注意的事件和可疑行为。

有几种不同类型的警报和警报设置可用:

显著事件

值得注意的事件不会产生警报或调查。

作为InsightIDR用户行为分析(UBA)的一部分,该解决方案监控并基线化每个用户的活动,为用户拥有哪些资产、访问哪些资产、从何处远程登录以及其他操作建立模式。

一些值得注意的事件有助于从该基线识别用户异常,如“新资产登录”或“首次从国家/地区进入”。其他值得注意的事件实际上是低保真警报,如“帐户锁定”或“病毒警报”。预计几乎任何网络在任何给定的一天都会经历大量值得注意的事件。这可防止InsightIDR向最终用户发出大量警报。

相反,当用户涉及“真实”警告以提供额外的上下文时,值得注意的事件会自动添加到调查时间线中。这有助于分析人员在不完全观察到这些显著事件的情况下更好地分析行为。

示例用例

警告“Bruteforce -域帐户”确实表明一个雇员John Doe被锁定在他的帐户之外,因为他是一个暴力企图的目标。

这种独特的两层检测系统可以标记异常事件,并将其包括在调查中,而不会让安全事件响应团队产生误报。值得注意的事件是介于预期行为和值得警惕的行为之间的事件。

可以修改默认的“规则动作”检测规则页面

内置的警报

InsightIDR在创建警报时检查以下事件:

警报名称

描述

创建的帐户

已创建一个新帐户。

在您基线化的前两周内,此警报处于非活动状态,以便在InsightIDR了解您的正常用户活动时抑制误报。但是,在90天内未对受限资产进行身份验证后,基线会过期。

启用帐户

管理员重新启用了以前禁用的用户帐户。

在您基线化的前两周内,此警报处于非活动状态,以便在InsightIDR了解您的正常用户活动时抑制误报。但是,在90天内未对受限资产进行身份验证后,基线会过期。

账户泄露

指示您环境中的某些帐户名存在于凭据转储中,这些凭据转储来自其他网站或其他外部源的外部数据泄露。如果您环境中的帐户与公共域中的帐户匹配,InsightIDR将生成此警报。这并不意味着公共域中存在的凭据与您的环境中使用的凭据匹配,但如果用户在这些第三方站点上重复使用与您的环境相同的密码,则可能会匹配。根据贵公司的密码策略和泄漏数据的年代,这些警报可能被认为是低保真度和更多信息。

帐户已锁定

帐户被锁定。

帐户密码重置

用户重置帐户的密码。

帐户特权升级

管理员已为该帐户分配了更高级别的权限。

帐户收到可疑链接

用户已收到一封电子邮件,其中包含社区或威胁源标记的链接。

帐户已解锁

之前被锁定的用户已被管理员解除锁定。

账户访问可疑链接

用户已访问跟踪的威胁列表上的链接url。

先进的恶意软件警告

一个先进的恶意软件系统发出了警报。

应用程序身份验证-新源

被允许的用户正在从新的源资产对应用程序进行身份验证。

应用验证-新用户

新用户正在对应用程序进行身份验证。

试图从禁用的帐户进行身份验证

被禁用的用户试图访问资产。

Denylisted应用身份验证

用户正在对您先前指示不允许他们访问的应用程序进行身份验证。

Denylisted身份验证

用户正在对您先前指示不允许其访问的系统进行身份验证。

暴力-资产

许多不同的账户试图验证同一资产。

暴力-域帐户

域帐户无法对同一资产进行身份验证。

域帐户要求在触发此警报之前的一小时内,对单个帐户进行100次失败的身份验证。

蛮力-本地帐户

本地帐户无法对同一资产进行身份验证。

本地帐户要求在触发此警报之前的一小时内,对单个帐户进行100次失败的身份验证。

检测规避-事件日志删除

用户已删除资产上的事件日志。

检测规避-本地事件日志删除

本地帐户删除资产上的事件日志。

漏洞缓解

已在某个进程中减少了利用漏洞的行为。

第一个进入身份验证从国家

日志含义帐号第一次接入网络。

在基线测试的前两周,这个警报是不活跃的,以便在InsightIDR了解你的正常用户活动时抑制假阳性。

首次管理操作

用户已执行管理操作。

资产上的标记哈希

已标记的进程哈希首次开始在资产上运行。

资产上标记的流程

标记的进程名第一次开始在资产上运行。

收获的证书

多个帐户正在尝试对单个异常位置进行身份验证。

蜂蜜文件访问

日志含义在共享文件服务器上访问蜂蜜文件。

亲爱的用户身份验证

试图使用蜂蜜用户帐户登录。

蜜罐的访问

试图连接到网络蜜罐。

从密码永不过期的帐户进入

密码永不过期的帐户已从外部位置访问网络。

来自社区的威胁

用户使用当前跟踪的威胁的一部分的IP地址登录到网络。

从禁用的帐户进入

已禁用的用户已登录到网络或受监视的云服务。

从域管理员进入

域管理员帐户已从外部位置访问网络。

从服务帐户进入

服务帐户已从外部位置访问网络。

免受威胁

用户从威胁列表中的IP地址访问网络。

Kerberos权限提升攻击

用户利用Windows Kerberos漏洞CVE-2014-6324提升其权限。

横向移动-管理员模仿

用户已通过管理员身份验证。

横向移动-域证书

域帐户试图在短时间内访问多个新资产。

此警报在运行期间处于非活动状态基线化时期,以便在InsightIDR了解你的正常用户活动时抑制假阳性。

横向移动-本地凭证

一个本地帐户在短时间内试图访问多个资产。

在基线测试的前两周,这个警报是不活跃的,以便在InsightIDR了解你的正常用户活动时抑制假阳性。

横向移动-服务帐户

服务帐户正在从新的源资产进行身份验证。

此警报在运行期间处于非活动状态基线化时期,以便在InsightIDR了解你的正常用户活动时抑制假阳性。

横向移动-观察用户模仿

用户已通过认证进入被监视用户的帐户。

LDAP管理员添加

用户已加入特权LDAP组。

本地蜂蜜证书特权升级尝试

本地蜂蜜证书特权升级尝试。

资产上的恶意哈希

在某个资产上发现恶意哈希。

多国家认证

用户在短时间内从许多不同的国家访问了网络。

多个组织认证

用户从多个外部组织访问网络速度过快。

网络访问威胁

用户访问了被跟踪威胁列表中的域或IP地址。

新的资产登录

用户正在对新资产进行身份验证。

新资产验证

用户在短时间内访问了大量的新资产。

此警报在运行期间处于非活动状态基线化时期,以便在InsightIDR了解你的正常用户活动时抑制假阳性。

已创建新的本地用户帐户

帐户已创建新的本地用户帐户。

检测到新的AWS区域

首次发现特定AWS区域的活动。

检测到新的AWS EC2实例族

首次启动了EC2实例系列。

新的AWS服务

AWS服务首次被使用。

密码设置为永不过期

用户密码设置为永不过期。

检测到协议中毒

检测到网络协议中毒。

检测到远程文件执行

检测到远程文件执行。

远程蜂蜜证书认证尝试

远程蜂蜜证书认证尝试。

受限资产身份验证-新源

一个被允许的用户正在从一个新的源资产向一个受限制的资产进行身份验证。

此警报在运行期间处于非活动状态基线化时期,以便在InsightIDR了解你的正常用户活动时抑制假阳性。

受限资产身份验证-新用户

新用户正在对受限资产进行身份验证。

此警报在运行期间处于非活动状态基线化时期,以便在InsightIDR了解你的正常用户活动时抑制假阳性。

检测到Spear网络钓鱼URL

用户访问了一个潜在的网络钓鱼域。

第三方警报-AWS GuardDuty

AWS GuardDuty已检测到可疑或恶意活动。

第三方警报-炭黑反应

炭黑反应已检测到可疑或恶意活动。

病毒警报

在资产上发现病毒。

无线多国认证

短时间内从多个国家使用移动设备登录网络。

无线多组织身份验证

用户使用来自大量不同组织的无线设备登录网络的速度过快。

区域政策违反

用户违反了InsightIDR中配置的网络区域策略。

基线期间的内置警报

InsightIDR了解其行为时,可以将资产或用户置于基线期。

基线是一种临时状态,不是永久的。它通常在InsightIDR数据库中创建特定用户或资产时启动。用户创建后21天,资产创建后14天。

显著事件和自定义警报不受基线的影响。但是,在基线期间不会生成以下内置警报:

警报名称 在基线期的影响
横向移动-域证书 如果用户或目标资产处于基线期,则不生成。
横向移动-服务帐户 如果任何用户、源或目标资产处于基线期,则不生成。
新资产验证 如果用户处于基线期,则不生成。
受限资产身份验证-新源 如果任何用户、源或目标资产处于基线期,则不生成。
受限资产身份验证-新用户 如果用户或资产处于基线期,则不生成。

其他资源

您还可以利用攻击者行为分析