概覽
TDM是Threat Detection Module的簡稱。於TDM概覽頁預設顯示一週的告警趨勢TOP10/事件TOP10/主機事件清單/網路事件清單,可使用Time Picker變更資料區間。
1. 告警
(1) 告警圓餅圖:依據告警嚴重程度劃分圓餅圖。
(2) 告警事件清單:依據規則名稱列出最後一次告警(時間)/告警筆數/嚴重程度清單。
(3) 點擊「檢視偵測」將開啟TDM偵測儀表板頁。
2.告警趨勢TOP10:預設顯示一週的TDM偵測告警時間趨勢圖。
點擊「檢視偵測」將開啟TDM偵測儀表板頁。
3. 事件TOP10:預設顯示一週主機事件時間趨勢圖。
點擊「檢視事件」將開啟TDM主機事件儀表板頁。
4. 主機事件:預設顯示一週主機事件統計清單。
點擊「檢視主機」將開啟TDM主機儀表板頁。
5. 網路事件:預設顯示一週網路事件統計清單。
點擊「檢視網路」將開啟TDM網路事件儀表板頁。
主機
於左側目錄選擇「TDM」->「主機」進入主機儀表板,於上方顯示主機數量/使用者認證/唯一IP的時間趨勢圖。
1. 主機頁籤:顯示主機名稱/最近一筆日誌時間/操作系統/操作系統版本。
2. 認證頁籤:預設顯示最近七天的主機及使用者認證資訊。
(1) 主機認證事件:主機認證事件之時間趨勢圖。
(2) 使用者認證事件:使用者認證事件資訊列表。
3. 事件頁籤:預設顯示最近七天的主機事件TOP10時間趨勢圖及事件資訊清單。
使用者
於左側目錄選擇「TDM」->「使用者」進入使用者儀表板,於上方顯示使用者數量/使用者認證時間趨勢圖。
1. 使用者頁籤:預設顯示最近七天使用者名稱/最近一筆日誌時間/主機名稱/網域/操作系統版本。
2. 認證頁籤
(1) 預設顯示最近七天的主機認證事件時間軸。
(2) 使用者認證事件:以清單顯示使用者名稱/成功及失敗認證事件總數/最後一次成功認證的時間、來源主機IP及網域/最後一次失敗認證的時間、來源主機IP及網域。
3. 事件頁籤:預設顯示最近七天的使用者事件TOP10時間趨勢圖及使用者事件資訊清單。
偵測
於左側目錄選擇「TDM」->「主機」進入主機儀表板,於上方顯示偵測事件TOP10的時間趨勢圖,並於下方列出偵測事件清單。
1. 偵測規則管理:點擊「規則管理」進入規則管理頁面。
自訂頁籤
(1) 新增自訂規則:點擊「新增」開啟新增規則編輯頁。
1-1. 基本資料填寫
1-1-1. 名稱:必填欄位,系統管理者自行輸入自訂偵測規則名稱,應低於128字元。
1-1-2. 描述:必填欄位,系統管理者自行輸入自訂偵測規則描述,應低於1024字元。
1-1-3. 嚴重程度:必選欄位,下拉選單選擇嚴重程度,嚴重/高/中/低。
1-1-4. 風險評分:必填欄位,選擇嚴重程度後,系統會自動帶入符合嚴重程度的風險評分,系統管理員亦可自行輸入,僅能輸入數字且值應該在1和100之間。
1-1-5. 標籤: 選填欄位,系統管理者可針對該偵測規則訂定標籤。
1-1-6. 網址:點擊icon,系統管理員可新增參考網址。
1-1-7. MITRE ATT&CK™ threat:點擊icon,系統管理員可新增策略網址。
1-2. 條件設定
1-2-1. 過濾條件名稱:必選欄位,下拉選單選擇過濾條件名稱。選擇後可點擊「預覽」查看符合過濾條件的日誌內容,預設顯示最近七天日誌內容。
1-2-2. 資料範圍:必填欄位,系統管理員輸入排程查詢的資料範圍,僅能輸入數字且值應該在1和99999之間,資料範圍不可大於執行頻率。
1-2-3. 門檻值:必填欄位,系統管理員下拉選單選擇判斷式並輸入筆數,僅能輸入數字且值應該在1和99999之間。
1-2-4. 執行頻率:必填欄位,系統管理員輸入排程的執行頻率,僅能輸入數字且值應該在1和99999之間。
1-3. 通報機制:勾選Checkbox選擇使用Email發送偵測通報,下拉選單選擇收信角色群組,系統管理員可自行輸入Email地址及自訂信件主旨。
1-4. 點擊「完成」將自訂偵測規則儲存。並需於自訂偵測管理頁面點擊「套用」才可啟用偵測作業。
(2) 匯入:點擊「匯入」icon,開啟檔案上傳視窗,可將自訂規則des3檔匯入。
(3) 匯出:於自訂規則管理列表頁,將欲匯出的自訂規則checkbox勾選後,點擊「匯出」,即可將指定規則以des3檔案形式匯出。
SAFE3頁籤
(1) SAFE3官方偵測規則管理列表:清單包含黑名單/中繼站清單及 https://github.com/elastic/detection-rules/tree/main/rules 所有項目。僅能提供編輯排程及通報設定。
(2) 列表功能介紹
2-1. 點擊官方偵測告警標題「^」icon可展開規則清單。
2-2. 點擊icon,可複製官方規則至自訂規則頁籤。
2-3. 點擊icon,可查看事件清單,內容包含基本資料及事件清單。
(3) 編輯官方偵測規則:點擊icon,開啟編輯規則頁面。
3-1. 基本資料:預設系統自行填入,不可編輯。
3-2. 條件設定
3-2-1. 過濾條件名稱:不可編輯。
3-2-2. 資料範圍:必填欄位,系統管理員輸入排程查詢的資料範圍,僅能輸入數字且值應該在1和99999之間,資料範圍不可大於執行頻率。
3-2-3. 門檻值:必填欄位,系統管理員下拉選單選擇判斷式並輸入筆數,僅能輸入數字且值應該在1和99999之間。
3-2-4. 執行頻率:必填欄位,系統管理員輸入排程的執行頻率,僅能輸入數字且值應該在1和99999之間。
3-3. 通報機制:勾選Checkbox選擇使用Email發送偵測通報,下拉選單選擇收信角色群組,系統管理員可自行輸入Email地址及自訂信件主旨。
3-4. 點擊「完成」將官方偵測規則儲存。並需於偵測管理頁面點擊「套用」才可啟用偵測作業。
網路
1. 以世界地圖呈現網路流量圖。
2. 四宮格:顯示網路事件數/DNS查詢數/唯一流量ID個數/網路輸入及網路輸出流量。
3. 折線圖:顯示唯一的私有來源/目標IP個數時間軸。
黑名單
1. 於左側目錄點擊「TDM」>「黑名單」進入黑名單管理頁,系統管理員可於此處新增/刪除黑名單主機,並於偵測官方頁籤啟用Black List告警。
(1) 新增黑名單:點擊「新增+」icon,開啟新增黑名單輸入框,於輸入框輸入黑名單主機IP後點擊「儲存」。
(2) 匯入黑名單
2-1. 匯入範本下載:點擊icon可下載黑名單匯入範本CSV檔。
2-2. 更新黑名單:將黑名單CSV檔上傳於上傳輸入框,點擊「更新」,完成黑名單更新。
(3) 刪除黑名單:點擊icon,將黑名單主機刪除。