Commettre un enregistrement personnalisé pour surveiller les activités portuaires suspectes
La plateforme ExtraHop peut vous aider à gagner en visibilité et à accéder en temps réel aux premiers indicateurs d'attaque sur votre réseau. L'une des mesures de sécurité proactives que vous pouvez prendre consiste à surveiller les ports que vous considérez comme vulnérables aux chevaux de Troie et autres programmes malveillants.
Par exemple, 12345 étant une séquence facile à mémoriser, ce numéro est souvent sélectionné lors de la configuration d'un numéro de port par défaut pour un serveur ou un programme, faisant de cette valeur de port une cible populaire auprès des attaquants.
Dans cette procédure pas à pas, vous allez écrire un déclencheur qui valide chaque transaction dépassant une valeur de port suspecte dans un enregistrement, puis vous allez créer une requête pour consulter les enregistrements collectés.
Prérequis
- Vous devez avoir accès à un système ExtraHop avec un compte utilisateur doté de privilèges d' administration du système et des accès.
- Votre système ExtraHop doit être connecté à un espace de stockage des enregistrements.
- Votre réseau doit être configuré pour autoriser le trafic via le port 12345.
- Familiarisez-vous avec les concepts présentés dans cette procédure pas à pas en lisant le Enregistrements et déclencheurs.
- Familiarisez-vous avec les processus de création de déclencheurs en remplissant le Procédure pas à pas du déclencheur.
Écrivez le déclencheur
Dans les étapes suivantes, vous allez écrire un déclencheur qui recherche le trafic du serveur sur le port 12345, puis qui valide un enregistrement personnalisé de chaque transaction dans un espace de stockage des enregistrements.
Interrogez et visualisez les enregistrements personnalisés
Au cours des étapes suivantes, vous allez rechercher les enregistrements personnalisés enregistrés dans l'espace de stockage des enregistrements et créer une requête d'enregistrement enregistrée en fonction des critères de recherche.
Vérifiez les enregistrements pour détecter les indicateurs de programme malveillant
Si votre système est touché par une attaque de programme malveillant ou si vous découvrez qu'un nouveau programme malveillant circule, vous pouvez vérifier dans vos dossiers si votre système a été ciblé.
Par exemple, si vous apprenez qu'un nouveau cheval de Troie est souvent envoyé via le port 12345, vous pouvez ouvrir la requête Possible Trojans enregistrée ci-dessus et vérifier l'activité suivante :
- Transactions effectuées via des protocoles inattendus. Par exemple, vous pouvez vous attendre à voir du trafic IMAP sur le port 12345, mais pas du trafic SSH.
- Transactions effectuées via des protocoles non classifiés, qui sont affichées dans les résultats de la requête sous la forme tcp:12345. Les protocoles non classifiés ne sont pas reconnus par le système ExtraHop et peuvent être suspects.
- Adresses IP des clients associées à des transactions effectuées via des protocoles inattendus ou non classifiés, et si l'adresse IP provient d'un environnement local non fiable.
- Horodatage des transactions que vous trouvez douteuses et qui ont eu lieu en dehors des heures de bureau.
Le fait de limiter les transactions suspectes vous permet de déterminer si vous êtes confronté à un problème lié à un programme malveillant afin de pouvoir commencer à le résoudre.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?