Types de comportement malveillant
Cette page offre une description des noms que nous utilisons pour les comportements malveillants détectés sur les ordinateurs ou les serveurs.
Restriction
Les informations affichées ici ne s’appliquent pas à l’ancienne fonction « Détecter les comportements malveillants (HIPS) » dans Sophos Central
Nos classifications de comportement sont conformes à la structure MITRE ATT&CK. Nous rapportons chaque détection à l’aide d’une norme de dénomination fournissant des informations sur l’attaque.
Vous distinguerez deux types de détection, dont la structure de dénomination est illustrée ci-dessous.
Exemples de noms de détection
Type de détection | Structure de dénomination |
---|---|
Comportement malveillant | Tactic_1a (T1234.123) |
Comportement malveillant en mémoire | Tactic_1a (T1234.123 mem/family-a) |
Le nom de détection est composé des éléments suivants :
- Type de tactique MITRE («
Tactic_1a
» dans le tableau ci-dessus). - Numéro de technique MITRE («
T1234.123
» dans le tableau ci-dessus). - Famille de malwares, pour les menaces trouvées en mémoire («
mem/family-a
» dans le tableau ci-dessus).
Type de tactique MITRE
La première partie d’un nom de détection indique la tactique MITRE utilisée. Retrouvez plus de renseignements sur Tactiques Entreprise de MITRE.
Préfixe | Tactique MITRE |
---|---|
Access_ | TA0001 Accès initial |
Exec_ | TA0002 Exécution |
Persist_ | TA0003 Persistance |
Priv_ | TA0004 Escalade des privilèges |
Evade_ | TA0005 Évasion de défense |
Cred_ | TA0006 Accès aux codes d’accès |
Discovery_ | TA0007 Découverte |
Lateral_ | TA0008 Mouvement latéral |
Collect_ | TA0009 Collection |
Exfil_ | TA0010 Exfiltration |
C2_ | TA0011 Commande et contrôle |
Impact_ | TA0040 Impact |
De plus, certaines règles contextuelles utilisent les préfixes suivants :
Préfixe | Description |
---|---|
Disrupt_ | Bloquer des comportements malveillants associés aux attaques d’adversaires actifs. |
Cleanup_ | Supprimer des artefacts malveillants associés à une autre détection de blocage. |
Vous pouvez supprimer les événements de détection comportementale de la même façon que vous arrêtez la détection d’un ransomware. Vous pouvez également annuler les actions de remédiation, telles que la restauration de fichiers supprimés ou de clés de registre, de la même façon que vous arrêtez la détection d’une application. Voir Traitement des menaces.
Numéro de technique MITRE
Ce nombre indique la technique MITRE (et la sous-technique) la plus étroitement associée à l’événement de détection.
Par exemple, une détection associée à une activité PowerShell malveillante affiche « T1059.001 » dans son nom. Retrouvez plus de renseignements sur https://attack.mitre.org/techniques/T1059/001/
Retrouvez plus de renseignements sur les techniques sur la page Techniques Entreprise de MITRE.
Famille de malware
Si les détections incluent une menace reconnue trouvée en mémoire, la dernière partie du nom indique la famille de malware à laquelle elle appartient.
Exemples de noms de détection
Voici quelques exemples de noms de détection et de leur signification.
Nom de la détection | Technique MITRE | Commentaire |
---|---|---|
Exec_6a (T1059.001) | Interpréteur de commandes et de scripts : PowerShell | Activité PowerShell malveillante. |
C2_4a (T1059.001 mem/meter-a) | Interpréteur de commandes et de scripts : PowerShell | Threads Meterpreter détectés en mémoire lors d’une activité PowerShell malveillante. |
C2_10a (T1071.001) | Protocole de couche d’application : Protocoles Web | Activité réseau malveillante sur HTTP(S). Téléchargement malveillant ou connexion Commande et contrôle. |
C2_1a (T1071.001 mem/fareit-a) | Protocole de couche d’application : Protocoles Web | Logiciel malveillant Fareit détecté en mémoire, permettant une connexion Commande et contrôle via HTTP(S). |
Impact_4a (T1486 mem/xtbl-a) | Données chiffrées pour Impact | Ransomware Xtbl trouvé dans les fichiers de chiffrement de la mémoire. |
Exec_13a (T1055.002 mem/qakbot-a) | Injection de processus : Injection d’exécutable portable | Malware Qakbot détecté en mémoire lors de l’exécution d’un malware. |
Exec_14a (T1055.012 mem/androm-a) | Injection de processus : Process Hollowing (processus creux) | Malware Andromeda trouvé en mémoire lorsque un malware est en cours d’exécution (car il utilise la technique « Process Hollowing »). |
Priv_1a (T1068) | Exploitation pour l’escalade des privilèges | Activité malveillante dans laquelle le processus tente de faire remonter son niveau de privilège. |