ESCU Alert - Network Policy Change Analysis

چرا این هشدار صادر می‌شود؟

این قانون تغییرات اعمال شده روی دستگاه‌های زیرساختی شبکه مانند فایروال‌ها، روترها، سوییچ‌ها و لود بالانسرها را شناسایی می‌کند. این تغییرات می‌توانند شامل ویرایش قوانین دسترسی، تغییر تنظیمات مسیریابی، یا تغییرات در حساب‌های کاربری دستگاه باشند. این نمودار جایگاه فایروال‌ها و تجهیزات امنیتی را در کنترل جریان ترافیک نشان می‌دهد.

Event Type: config_change, policy_edit
Data Sources: Palo Alto, Cisco IOS, Fortinet, Checkpoint
MITRE Tactic: Impair Defenses (T1562)

مهاجمان پس از نفوذ، اغلب تنظیمات امنیتی را تضعیف می‌کنند (مثلاً باز کردن پورت‌ها) تا دسترسی خود را حفظ کنند یا مسیر خروج اطلاعات را هموار سازند.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

تضعیف امنیت: ایجاد قوانینی که به تمام ترافیک اجازه عبور می‌دهد یا غیرفعال کردن ویژگی‌های امنیتی مثل سامانه پیشگیری از نفوذ.
غیرفعال کردن لاگ‌گیری: دستوراتی برای خاموش کردن ارسال گزارش به سرور مرکزی جهت پنهان کردن ردپا.
ساخت کاربر ادمین: ایجاد یک کاربر جدید با سطح دسترسی بالا روی فایروال بدون فرآیند تایید شده.

سناریوهای متوسط

تغییرات مسیریابی: تغییر در جداول مسیریابی یا تغییر دروازه خروجی که می‌تواند ترافیک را به سمت شبکه مهاجم هدایت کند.
تغییرات دسترسی راه دور: تغییر در تنظیمات شبکه خصوصی مجازی یا تغییر در تونل‌زنی.
تغییر وضعیت رابط شبکه: خاموش یا روشن کردن رابط‌های فیزیکی یا مجازی.

سناریوهای کم‌خطر (مثبت کاذب)

تغییر توضیحات: ویرایش متن توضیحات رابط‌ها یا قوانین برای مستندسازی.
ذخیره تنظیمات: اجرای دستوراتی مثل ذخیره حافظه که معمولاً بخشی از فرآیند نگهداری است.
بکاپ‌گیری خودکار: ورود به سیستم توسط ابزارهای خودکار برای تهیه نسخه پشتیبان از پیکربندی.

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید یا مثبت کاذب بودن، این موارد را بررسی کنید:

نشانه قطعی خطر: تغییرات در خارج از ساعات کاری توسط کاربری که مسئول شبکه نیست یا استفاده از حساب‌های اشتراکی برای حذف قوانین امنیتی.

انطباق با تیکت: آیا برای این تغییر یک درخواست تغییر ثبت شده است؟
هویت کاربر: چه کسی تغییر را اعمال کرده؟ آیا آی‌پی منبع مربوط به شبکه مدیریت است یا یک آی‌پی ناشناس؟
نوع دستور: آیا دستور مخرب است (مثل توقف لاگ‌گیری) یا سازنده (مثل اضافه کردن شبکه محلی مجازی جدید)؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Network Device Logs (Syslog, TACACS+)
Audit Logs

دیتامدل‌های مورد استفاده

Change.Network_Changes

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌ها در Splunk، این فیلدها حیاتی هستند:

user

src_ip

command

dvc

action

dest