Eventi di sicurezza

Disponibile in:ENIT

La pagina Eventi contiene gli Alert di sicurezza (Eventi) generati da tutti gli Honeypot.

Anatomia di un Evento

Gli eventi sono composti da diversi campi:

  • Title indica il tipo di evento, ad esempio un Bruteforce Attack su un Honeypot.
  • Description descrive cosa è successo e fornisce informazioni, come l’IP di origine.
  • Severity definisce il livello di rischio dell’evento.
  • Status segnala lo stadio attuale nel ciclo di vita dell’evento.
  • Device mostra il nome del Honeypot che ha generato l’evento.
  • Handler viene assegnato tramite le collaboration utilities e serve a ottimizzare il lavoro di squadra.
  • Created at indica l’orario di creazione, sia come data assoluta sia come tempo trascorso.

Aprendo il dettaglio di un evento, ulteriori informazioni tecniche vengono aggiunte dal Detection Engine durante le fasi di arricchimento e correlazione.

Comprendere la Severity

La Severity definisce la probabilità che un evento sia malevolo ed è determinata dal Detection Engine.
Hoxey non segue la classificazione tipica perché gli Honeypot, essendo trappole, hanno un comportamento diverso. Ciò che su un SIEM potrebbe essere considerato un evento Info/Low, come un accesso SSH, su un Honeypot è Critical.

I livelli e il loro significato in questo contesto sono:

  • Info non è un alert di sicurezza, ma un messaggio di sistema proveniente dall'Engine.
  • Low non segnala un’intrusione, ma è utile conoscerlo nel contesto generale quando ci sono alert più gravi.
  • Medium opera a livello di rete e non necessariamente è diretto solo all'Honeypot. Va preso seriamente e valutato. Un esempio tipico è una scansione delle porte che potrebbe provenire da un sistema di sicurezza legittimo.
  • High è diretto all'Honeypot e indica attività malevole, con margine di errore minimo.
  • Critical segnala attività interna all'Honeypot, una chiara conferma di un’intrusione.

INFO: Con il nostro sistema di classificazione, il livello a cui analizzare con attenzione è "Medium".

Esempio di Evento

Collaboration utilities

Le utilità di collaborazione sono strumenti utilizzati dai Membri del Team per comunicare rapidamente tra loro l’attività corrente sugli eventi, evitando di replicare inutilmente il lavoro altrui.
Possono essere ignorate, ma in ambienti complessi con più persone che monitorano il sistema possono far risparmiare tempo prezioso in caso di attacco.

Possono essere utilizzate nella sezione quick actions della lista eventi o all’interno di ciascun dettaglio.
Il pulsante “Assign to me” imposta automaticamente lo status dell’evento su “In Progress” e il Membro del Team diventa l’Handler, segnalando agli altri che l’evento è in triage.
“Mark as resolved” è autoesplicativo.

Ciclo di vita di un evento

Lo status di un evento indica lo stadio attuale del suo ciclo di vita.
Quando un evento viene ricevuto, passa attraverso i filtri prima di comparire nella pagina eventi.

  • Filtered significa che l’evento è stato intercettato da un filtro e dovrebbe essere ignorato, salvo forti correlazioni con altri eventi di severità Medium o superiore.
  • Pending indica che l’evento non è ancora stato risolto o gestito. A seconda della severity può essere ignorato.
  • In Progress segnala che un membro del team ha preso in carico l’evento e lo sta gestendo. Si imposta automaticamente cliccando “Assign to me”.
  • Resolved viene impostato da un membro del team e indica che il triage dell’evento è completato.
  • Expired viene impostato automaticamente dal sistema per gli eventi "Pending" o "In Progress" dopo 15 giorni.

Ti è stato utile?

Entra nell'Alveare per intelligence sugli attaccanti e webinar sulla cybersecurity - spiegati facilmente da un vero Hacker

Entra nell'Alveare - GratisPrenota una Demo