Site icon

חיפוש חתימת רשת Defender for Endpoint

חיפוש חתימת רשת Defender for Endpoint

באבטחה המונח הכללי של חתימה היא תבנית אופיינית המשויכת לפעולה ואף לתקיפה זדונית בעמדות קצה, רשתות ומערכות. חתימה יכולה להיות סדרה של בתים בקובץ בתעבורת רשת, רצפי הוראות זדונים ידועים המשמשים אפליקציות. זיהוי מבוסס חתימות הוא אחת הטכניקות הנפוצות ביותר המשמשות לזיהוי איומים. איומים אלה מוכרים בד"כ בחתימה של קוד זדוני בקבצים, אך קיימים באזורים נוספים.

למשל, באנטי-וירוס וחתימת קובץ. חתימה היא ערך נומרי ייחודי שהוא פונקציה של הווירוס בהתאם לסוג מנוע הסריקה. החתימה יכולה להיות חתימה סטטית שהיא למעשה ערך HASH של פיסת קוד ייחודית של אותו וירוס או חתימה מבוססת התנהגות, כלומר, אם אפליקציה מנסה לבצע פעולות כלשהן המוגדרות על ידי האנטי-וירוס כחשודות, היא תעצור את פעולתה ותתריע בהתאם. זיהוי מבוסס חתימות הוא מתודולוגיה המשמשת חברות אבטחת סייבר לזיהוי תוכנות זדוניות שכבר התגלו בטבע, קיבלו סיווג ונמצאים בבסיס הנתונים.

אם כך מהי חתימה בתעבורת רשת? למשל, מערכות למניעת חדירות (IPS) משווות את התעבורה נגד חתימות של איומים ידועים וחסימת תעבורה כאשר איום זוהה. חדירות לרשת הן התקפות על או שימוש לרעה אחר משאבי רשת. למערכות IPS מספר שיטות לאיתור ומניעת תעבורת רשת חשודה:

זיהוי תעבורה עם MDE

Defender for Endpoint המוכר כ MDE אוסף, מנטר, מנתח ומספק מידע על תעבורת הרשת אשר יוצאת מתוך עמדת קצה לרשת פנימית או חיצונית. MDE אינו בא להחליף כלים כמו IPS או Deep Packet Security אבל יכול לתת את המידע הנדרש כאשר מתבצעת פעולת רשת שאינה לגיטימית.

הטבלה DeviceNetworkEvents כוללת שדה בשם NetworkSignatureInspeced שנועד להציג מידע אודות פעולות בתעבורת רשת. שדות נלווים אוספים מידע נוסף מעבר למה שאירוע רשת סטנדרטי מאחסן. במקרה של סוג הפעולה החדש עםהערך של NetworkSignatureInspected, יש את SignatureName, SignatureMatchedContent וכן SamplePacketContent.

בממשק החיפוש, בין אם זה ברמת ציר זמן או באמצעות Advanced Hunting היכולות החיפוש והסריקות מאפשרות לזהות ולחשוף פרטי תעבורת רשת של תחנות קצה, כתובות, זיהוי חתימה ועוד.

SignatureName

מתייחס לשם תבנית התנועה שזוהתה. חתימות נוכחיות מזהות תעבורה כגון SSH, HTTP, DNS וכן FTP. למשל, ניתן לראות את החתימות הייחודיות שזוהו בסביבה על ידי הפעלת שאילתת החיפוש הבאה:

// Show the traffic pattern from the last 15 days
DeviceNetworkEvents
| where ActionType == "NetworkSignatureInspected"
| where Timestamp > ago(15d)
| extend SigName = parse_json(AdditionalFields).SignatureName,
        SigMatchedContent = parse_json(AdditionalFields).SignatureMatchedContent,
        SigSampleContent = parse_json(AdditionalFields).SignatureSampleContent
//| distinct tostring(SigName)
| project Timestamp, DeviceName, ActionType,SigName, RemoteIP, RemotePort

SignatureMatchedContent

שדה אשר מציג פיילואד בתעבורה והגורם שהפעיל את זיהוי החתימה. בהתאם לחתימה, שדה זה עשוי להכיל נתוני טקסט רגיל, נתונים מקודדים או ערכי hex. דוגמאות לערכים אפשריים שיכולים להופיע בשדה SignatureMatchedContent מפורטות להלן.

שם חתימה התאמת חתימה
HTTP_Client GET /msdownload/update/v3/static/trustedr/en/authrootstl.cab?117b4e4cedd HTTP/1.1
DNS_Request r%E9%01%00%00%00%01%0%00%06eu-v20%06events%04data%09microsoft%03com
r%E9%01%00%00%00%00%00%06eu-v20%06events%04data%09microsoft%03com
SMB_Client %00%00%E8%FESMB

SamplePacketContent

מזהה נוסף במאפשר למצוא תוכן נוסף של פיילואד ותנועה. בהתאם לחתימה, הדבר עשוי לשקף את הערך SignatureMatchedContent או הסטות אחרות באותו חיבור רשת.

אם כך, מהם התרחישים בהם ניתן לאתר פכולה שאינה חוקית? להלן מספר תרחישים שבהם ניתן להשתמש במידע והערך הנלווה של NetworkSignatureInspected

קישורים נוספים

Exit mobile version