检测规则

检测规则是逻辑InsightIdr用于使用RAPID7的广泛威胁情报来检测威胁。当满足规则的条件时,会发生检测。规则分为两类:用户行为分析攻击者行为分析

InsightIdr检测规则页面允许您修改检测规则创建自定义警报,订阅或参与Community Threats,并更深入地了解InsightIDR用于创建调查和跟踪重要事件的检测规则。

用户行为分析(UBA)

UBA检测将洞察应用到用户每天生成的数百万网络事件,以检测被泄露的凭证、横向移动和其他恶意行为。在“用户行为分析”页签下查看UBA检测规则。

攻击者行为分析

攻击者行为分析公开了攻击者在资产上获得持久性的有限方式,并向受害者发送和接收命令。每个ABA检测规则捕捞唯一的攻击者行为。您可以在攻击者行为分析选项卡中看到所有ABA检测规则和过去30天内的检测次数。您也可以查看规则逻辑、相关威胁组主教法冠ATT&CK映射, 和排序,过滤搜索检测规则。

规则逻辑

单击任何ABA检测规则并导航到规则逻辑选项卡以查看以我们的SQL样式搜索语言编写的规则逻辑,日志条目查询语言(LEQL)。规则逻辑查询暴露了检测规则搜索的内容,从而为您提高了InsightIdr如何生成检测的可见性。

威胁组

威胁组是已知的恶意检测,在特定攻击期间一起出现在一起。在“攻击者行为分析”选项卡上,您可以通过威胁查看与每个检测规则关联的威胁组,以及组检测规则。有关更多上下文,请单击每个威胁组。

主教法冠ATT&CK

MITRE ATT&CK框架是MITRE创建的一个知识库,用于记录基于真实世界观察的战术和技术。该框架为团队提供了一份蓝图,通过识别攻击链中的哪些威胁,可以将探测工作的重点放在哪里。有关MITRE ATT&CK框架的更多信息,请访问:https://attack.mitre.org/

每个Rapid7 ABA检测规则映射到MITRE ATT&CK策略和技术,可以在攻击者行为分析选项卡的表格中查看。单击某条检测规则中的,可查看对应的MITRE ATT&CK映射。

排序和过滤ABA检测规则

使用过滤器来缩小你的ABA检测规则:

  • 日期修改
  • 日期了
  • 例外
  • 数量的检测
  • 规则诉讼
  • 威胁
  • 临床att&ck覆盖范围

排序ABA检测规则使用表头中的向上和向下箭头。您可以使用切换键按威胁对规则进行分组,或查看未分组的规则。

您可以通过搜索栏查询具体的恶意动作和行为,包括“ABA检测规则”和“威胁”。

例如,如果您认为自己通过SSH易受攻击,那么可以使用InsightIDR搜索可能针对您的攻击者行为。