Tipi di comportamenti dannosi
Questa pagina descrive i nomi che utilizziamo per i comportamenti dannosi rilevati su computer o server.
Restrizione
Questa pagina non riguarda la funzionalità legacy "Rileva comportamento dannoso (HIPS)" in Sophos Central
Le nostre classificazioni dei comportamenti sono in linea con il framework MITRE ATT&CK. Ogni rilevamento viene segnalato utilizzando uno standard di denominazione che fornisce informazioni sull'attacco.
Potrebbero essere visualizzati due tipi di rilevamento, con la struttura di denominazione mostrata di seguito.
Esempi di nomi di rilevamento
Tipo di rilevamento | Struttura di denominazione |
---|---|
Comportamento dannoso | Tactic_1a (T1234.123) |
Comportamento dannoso in memoria | Tactic_1a (T1234.123 mem/family-a) |
Il nome del rilevamento è composto dalle seguenti parti:
- Tipo di tattica MITRE (“
Tactic_1a
” nella tabella sopra). - Numero di tecnica MITRE ("
T1234.123
" nella tabella sopra). - Famiglia di malware, per le minacce individuate nella memoria (“
mem/family-a
” nella tabella sopra).
Tipo di tattica MITRE
La prima parte del nome di un rilevamento indica la tattica MITRE utilizzata. Per informazioni dettagliate, vedere le MITRE Enterprise Tactics (Tattiche Enterprise MITRE).
Prefisso | Tattica MITRE |
---|---|
Access_ | TA0001 Initial Access |
Exec_ | TA0002 Execution |
Persist_ | TA0003 Persistence |
Priv_ | TA0004 Privilege Escalation |
Evade_ | TA0005 Defense Evasion |
Cred_ | TA0006 Credential Access |
Discovery_ | TA0007 Discovery |
Lateral_ | TA0008 Lateral Movement |
Collect_ | TA0009 Collection |
Exfil_ | TA0010 Exfiltration |
C2_ | TA0011 Command and Control |
Impact_ | TA0040 Impact |
Oltre a quanto indicato sopra, alcune regole contestuali utilizzano i seguenti prefissi:
Prefisso | Descrizione |
---|---|
Disrupt_ | Blocca i comportamenti dannosi associati agli attacchi dei cybercriminali. |
Cleanup_ | Rimuove gli elementi dannosi associati a un altro rilevamento risultato in un blocco. |
Gli eventi del rilevamento basato sui comportamenti possono essere sospesi nello stesso modo in cui si interrompe il rilevamento del ransomware. È anche possibile ripristinare le azioni correttive (ad es. il ripristino di file o chiavi di registro eliminati) nello stesso modo in cui si interrompe il rilevamento di un’applicazione. Vedere Come procedere con le minacce.
Numero di tecnica MITRE
Questo numero indica la tecnica (e sottotecnica) MITRE maggiormente associata all'evento di rilevamento.
Ad esempio, un rilevamento associato a un'attività PowerShell dannosa include “T1059.01” nel nome. Per maggiori informazioni, consultare la pagina https://attack.mitre.org/techniques/T1059/001/
Per informazioni dettagliate sulle tecniche, vedere le MITRE Enterprise Techniques (Tecniche Enterprise MITRE).
Famiglia di malware
Se i rilevamenti includono una minaccia riconosciuta, individuata nella memoria, la parte finale del nome indica la famiglia di malware a cui appartiene.
Esempi di nomi di rilevamento
Ecco alcuni esempi di nomi di rilevamento e cosa significano.
Nome di rilevamento | Tecnica MITRE | Commento |
---|---|---|
Exec_6a (T1059.001) | Command and Scripting Interpreter: PowerShell | Attività PowerShell dannosa. |
C2_4a (T1059.001 mem/meter-a) | Command and Scripting Interpreter: PowerShell | Thread Meterpreter individuati in memoria durante l'attività PowerShell dannosa. |
C2_10a (T1071.001) | Application Layer Protocol: Web Protocols | Attività di rete dannosa su HTTP(S). Molto probabilmente download dannoso o connessione di Comando e controllo. |
C2_1a (T1071.001 mem/fareit-a) | Application Layer Protocol: Web Protocols | In memoria è stato rilevato malware Fareit, che effettua una connessione di comando e controllo su HTTP(S). |
Impact_4a (T1486 mem/xtbl-a) | Data Encrypted for Impact | In memoria è stato rilevato ransomware Xtbl, che agisce cifrando i file. |
Exec_13a (T1055.002 mem/qakbot-a) | Process Injection: Portable Executable Injection | In memoria è stato rilevato malware Qakbot all'esecuzione del malware. |
Exec_14a (T1055.012 mem/androm-a) | Process Injection: Process Hollowing | In memoria è stato rilevato malware Andromeda all'esecuzione del malware (in quanto utilizza il process hollowing). |
Priv_1a (T1068) | Exploitation for Privilege Escalation | Attività dannosa in cui il processo tenta di ottenere livelli più elevati di privilegi. |