概覽

TDM是Threat Detection Module的簡稱。於TDM概覽頁預設顯示一週的告警趨勢TOP10/事件TOP10/主機事件清單/網路事件清單,可使用Time Picker變更資料區間。

safe3107

1. 告警

    (1) 告警圓餅圖:依據告警嚴重程度劃分圓餅圖。

    (2) 告警事件清單:依據規則名稱列出最後一次告警(時間)/告警筆數/嚴重程度清單。

    (3) 點擊「檢視偵測」將開啟TDM偵測儀表板頁。

2.告警趨勢TOP10:預設顯示一週的TDM偵測告警時間趨勢圖。

    點擊「檢視偵測」將開啟TDM偵測儀表板頁。

3. 事件TOP10:預設顯示一週主機事件時間趨勢圖。

    點擊「檢視事件」將開啟TDM主機事件儀表板頁。

4. 主機事件:預設顯示一週主機事件統計清單。

    點擊「檢視主機」將開啟TDM主機儀表板頁。

5. 網路事件:預設顯示一週網路事件統計清單。

    點擊「檢視網路」將開啟TDM網路事件儀表板頁。

主機

於左側目錄選擇「TDM」->「主機」進入主機儀表板,於上方顯示主機數量/使用者認證/唯一IP的時間趨勢圖。

safe3108

1. 主機頁籤:顯示主機名稱/最近一筆日誌時間/操作系統/操作系統版本。

2. 認證頁籤:預設顯示最近七天的主機及使用者認證資訊。

(1) 主機認證事件:主機認證事件之時間趨勢圖。

(2) 使用者認證事件:使用者認證事件資訊列表。

safe3109

3. 事件頁籤:預設顯示最近七天的主機事件TOP10時間趨勢圖及事件資訊清單。

safe3109

 

使用者

於左側目錄選擇「TDM」->「使用者」進入使用者儀表板,於上方顯示使用者數量/使用者認證時間趨勢圖。

safe3109

1. 使用者頁籤:預設顯示最近七天使用者名稱/最近一筆日誌時間/主機名稱/網域/操作系統版本。

2. 認證頁籤

safe3109

(1) 預設顯示最近七天的主機認證事件時間軸。

(2) 使用者認證事件:以清單顯示使用者名稱/成功及失敗認證事件總數/最後一次成功認證的時間、來源主機IP及網域/最後一次失敗認證的時間、來源主機IP及網域。

3. 事件頁籤:預設顯示最近七天的使用者事件TOP10時間趨勢圖及使用者事件資訊清單。

safe3109

偵測

於左側目錄選擇「TDM」->「主機」進入主機儀表板,於上方顯示偵測事件TOP10的時間趨勢圖,並於下方列出偵測事件清單。

safe3107

1. 偵測規則管理:點擊「規則管理」進入規則管理頁面。

safe3107

自訂頁籤
(1) 新增自訂規則:點擊「新增」開啟新增規則編輯頁。

safe3107

 

 1-1. 基本資料填寫

  1-1-1. 名稱:必填欄位,系統管理者自行輸入自訂偵測規則名稱,應低於128字元。

  1-1-2. 描述:必填欄位,系統管理者自行輸入自訂偵測規則描述,應低於1024字元。

  1-1-3. 嚴重程度:必選欄位,下拉選單選擇嚴重程度,嚴重/高/中/低。

  1-1-4. 風險評分:必填欄位,選擇嚴重程度後,系統會自動帶入符合嚴重程度的風險評分,系統管理員亦可自行輸入,僅能輸入數字且值應該在1和100之間。

  1-1-5. 標籤: 選填欄位,系統管理者可針對該偵測規則訂定標籤。

  1-1-6. 網址:點擊icon,系統管理員可新增參考網址。

  1-1-7. MITRE ATT&CK™ threat:點擊icon,系統管理員可新增策略網址。

 1-2. 條件設定

safe3107

 

  1-2-1. 過濾條件名稱:必選欄位,下拉選單選擇過濾條件名稱。選擇後可點擊「預覽」查看符合過濾條件的日誌內容,預設顯示最近七天日誌內容。

safe3107

  1-2-2. 資料範圍:必填欄位,系統管理員輸入排程查詢的資料範圍,僅能輸入數字且值應該在1和99999之間,資料範圍不可大於執行頻率。

  1-2-3. 門檻值:必填欄位,系統管理員下拉選單選擇判斷式並輸入筆數,僅能輸入數字且值應該在1和99999之間。

  1-2-4. 執行頻率:必填欄位,系統管理員輸入排程的執行頻率,僅能輸入數字且值應該在1和99999之間。

 1-3. 通報機制:勾選Checkbox選擇使用Email發送偵測通報,下拉選單選擇收信角色群組,系統管理員可自行輸入Email地址及自訂信件主旨。

safe3107

 1-4. 點擊「完成」將自訂偵測規則儲存。並需於自訂偵測管理頁面點擊「套用」才可啟用偵測作業。

(2) 匯入:點擊「匯入」icon,開啟檔案上傳視窗,可將自訂規則des3檔匯入。

safe3107

(3) 匯出:於自訂規則管理列表頁,將欲匯出的自訂規則checkbox勾選後,點擊「匯出」,即可將指定規則以des3檔案形式匯出。

safe3107

 SAFE3頁籤
(1) SAFE3官方偵測規則管理列表:清單包含黑名單/中繼站清單及 https://github.com/elastic/detection-rules/tree/main/rules 所有項目。僅能提供編輯排程及通報設定。

safe3107

(2) 列表功能介紹

safe3107

 2-1. 點擊官方偵測告警標題「^」icon可展開規則清單。

safe3107

 

safe3107

 2-2. 點擊safe3126icon,可複製官方規則至自訂規則頁籤。

 2-3. 點擊safe3126icon,可查看事件清單,內容包含基本資料及事件清單。

safe3107

 

safe3107

(3) 編輯官方偵測規則:點擊icon,開啟編輯規則頁面。

 3-1. 基本資料:預設系統自行填入,不可編輯。

safe3107

 3-2. 條件設定

safe3107

  3-2-1. 過濾條件名稱:不可編輯。

  3-2-2. 資料範圍:必填欄位,系統管理員輸入排程查詢的資料範圍,僅能輸入數字且值應該在1和99999之間,資料範圍不可大於執行頻率。

  3-2-3. 門檻值:必填欄位,系統管理員下拉選單選擇判斷式並輸入筆數,僅能輸入數字且值應該在1和99999之間。

  3-2-4. 執行頻率:必填欄位,系統管理員輸入排程的執行頻率,僅能輸入數字且值應該在1和99999之間。

 3-3. 通報機制:勾選Checkbox選擇使用Email發送偵測通報,下拉選單選擇收信角色群組,系統管理員可自行輸入Email地址及自訂信件主旨。

safe3107

 3-4. 點擊「完成」將官方偵測規則儲存。並需於偵測管理頁面點擊「套用」才可啟用偵測作業。

safe3107

網路

1. 以世界地圖呈現網路流量圖。

safe3107

2. 四宮格:顯示網路事件數/DNS查詢數/唯一流量ID個數/網路輸入及網路輸出流量。

3. 折線圖:顯示唯一的私有來源/目標IP個數時間軸。

黑名單

1. 於左側目錄點擊「TDM」>「黑名單」進入黑名單管理頁,系統管理員可於此處新增/刪除黑名單主機,並於偵測官方頁籤啟用Black List告警。

safe3134

(1) 新增黑名單:點擊「新增+」icon,開啟新增黑名單輸入框,於輸入框輸入黑名單主機IP後點擊「儲存」。

safe3135

(2) 匯入黑名單

safe3136

2-1. 匯入範本下載:點擊safe3138icon可下載黑名單匯入範本CSV檔。

2-2. 更新黑名單:將黑名單CSV檔上傳於上傳輸入框,點擊「更新」,完成黑名單更新。

safe3139

(3) 刪除黑名單:點擊safe3140icon,將黑名單主機刪除。

safe3141