مراجعة قصص الاكتشاف والاستجابة (XDR الأمني) في مكان عمل القصص

تناقش هذه المقالة كيفية استخدام "Stories Workbench" لمراجعة القصص بحثًا عن التهديدات المحتملة في حسابك.

نظرة عامة على قصص الاكتشاف والاستجابة

Cato Detection & Response هي طبقة إضافية من الأمان تقوم بإنشاء قصص للتهديدات. عندما تقوم محركات Cato المتقدمة لتحليل البيانات المرورية بالعثور على تطابق لتهديد محتمل، فإنها تولد قصة. تحتوي القصة على بيانات من تدفقات المرور بخصائص مشتركة تتعلق بنفس التهديد. تُظهر صفحة "Stories Workbench" تفاصيل كل قصة لمساعدتك في فهم وتحليل التهديدات. يمكنك ترتيب وتصفية القصص للعثور على الهجمات المحتملة الأكثر أهمية، ثم التعمق في القصة لمزيد من التحقيق في التفاصيل.

هذه أمثلة للبيانات التي يمكن أن تتضمنها القصة:

  • مصادر في شبكتك

  • أهداف خارجية لحركة مرور الشبكة

  • التعرف والوصف للتهديد

  • المواقع الجغرافية ذات الصلة

  • التطبيقات ذات الصلة

  • الأحداث ذات الصلة

  • شعبية الهدف وفقًا لبيانات Cato الداخلية

  • الدرجة الخبيثة للهدف وفقًا لنماذج تعلم الآلة الخاصة بـ Cato

التراخيص المطلوبة

  • قد تكون هناك حاجة إلى تراخيص إضافية. لمزيد من المعلومات، يرجى الاطلاع على البداية مع Cato XDR.

عرض صفحة Stories Workbench

تعرض صفحة Stories Workbench ملخصًا للقصص المتعلقة بالتهديدات المحتملة في حسابك.

لعرض صفحة Stories Workbench:

  • من قائمة التنقل، انقر فوق الرئيسية > Stories Workbench.

فهم أعمدة القصص

Detection__Remediation_Stories_Workbench.png

عمود

الوصف

معرف

معرف Cato الفريد لهذه القصة

تم إنشاؤه

تاريخ أول تدفق للمرور للقصة

تم تحديثه

تاريخ أحدث تدفق للمرور للقصة

الأهمية

تحليل المخاطر الخاص بـ Cato للقصة (القيم من 1 - 10)

الدلالة

مؤشر الهجوم للقصة. لمزيد من المعلومات حول المؤشرات، يرجى الاطلاع على استخدام فهرس المؤشرات

المصدر

عنوان IP، اسم الجهاز، أو مستخدم SDP في شبكتك الذي يشارك في القصة

نوع المحرك

محرك الأمان الذي أنشأ القصة.

الحالة

  • في انتظار العميل - تم إرسال القصة للعميل وتنتظر الرد منهم

  • في انتظار المحللين - انتظار المزيد من المعلومات من محللي الأمان

  • مغلق - أغلق محللو الأمان القصة

تجميع القصص

لتوفير سياق عند مراجعة القصص، يمكنك عرض القصص في مجموعات يتم تعريفها بواسطة التفاصيل بما في ذلك المصدر، الدلالة، الحالة، والنوع. على سبيل المثال، يمكنك عرض جميع القصص المتعلقة بعنوان IP المصدر المحدد أو جميع قصص Cybersquatting معًا. هذا يمنحك منظورًا أوسع عند تحليل القصص، ويمكن أن يساعدك في الوصول إلى استنتاجات أسرع وأكثر دقة.

تسلط كل مجموعة الضوء على مستويات الأهمية للقصص في تلك المجموعة، بما في ذلك عدد القصص ذات الأهمية العالية، المتوسطة، والمنخفضة.

Stories_Workbench_Grouping.png

لتجميع القصص في Stories Workbench:

  1. من قائمة التنقل، انقر فوق الرئيسية > Stories Workbench.

  2. من قائمة التجميع حسب المنسدلة، اختر المعيار المطلوب.

    تظهر القصص في مجموعات قابلة للتوسيع.

تصفية القصص

هناك ثلاث طرق لتصفية البيانات في "Stories Workbench":

  • اختر فلتر مسبق تعيين

  • قم بتحديث الفلتر تلقائيًا باستخدام عنصر محدد

  • تكوين الفلتر يدويًا

المرشحات المسبقة

يمكنك اختيار فلتر مسبق للتركيز إما على قصص عمليات الشبكة أو عمليات الأمان. عند اختيار فلتر مسبق، يتم عرض أعمدة القصة الأكثر ملاءمة لذلك النوع من القصة بشكل افتراضي.

لاختيار فلتر مسبق:

  1. في شريط الفلتر، انقر فوق قائمة اختر مسبقات المنسدلة.

  2. اختر التعيين المسبق. تحدث "Stories Workbench" لعرض القصص التي تتطابق مع التعيين المسبق.

التصفية تلقائيًا لعنصر محدد

عند تحريك المؤشر فوق عنصر أو حقل حيث تتوفر خيار تصفية، يظهر زر TD_Filter.png. انقر على الرمز لعرض خيارات الفلتر:

  • إضافة إلى الفلتر - يضيف العنصر إلى الفلتر، و"Stories Workbench" الآن تعرض فقط القصص التي تشمل هذا العنصر. على سبيل المثال، إذا قمت بتصفية درجة أهمية محددة، فإن الصفحة تعرض فقط القصص التي لها هذه الدرجة.

  • استبعاد من الفلتر - يحدّث الفلتر لاستبعاد هذا العنصر، و"Stories Workbench" الآن تعرض فقط القصص التي لا تتضمن هذا العنصر.

يمكنك الاستمرار في إضافة عناصر إلى التصفية، انقر مرة أخرى على TD_Filter.png لتحديث التصفية واستمرار التعمق.

تحديد المدة الزمنية

المدى الزمني الافتراضي لـ "Stories Workbench" هو اليومين السابقين. يمكنك اختيار مدة زمنية مختلفة لإظهار فترة أطول أو أقصر. لمزيد من المعلومات، يرجى الاطلاع على تعيين مرشح النطاق الزمني.

المدة الزمنية القصوى لصفحة "Stories Workbench" هي 90 يومًا.

تكوين الفلتر يدويًا

يمكنك تكوين فلتر القصة يدويًا لمزيد من الدقة لتحليل القصص. بعد تكوين الفلتر، يتم إضافته إلى شريط الفلتر الخاص بالقصص ويتم تحديث الصفحة تلقائيًا لتظهر القصص التي تتطابق مع الفلتر الجديد.

لإنشاء فلتر:

  1. في شريط المرشح، انقر على Add2.png.

  2. ابدأ الكتابة أو اختر الحقل.

  3. اختر المشغل، الذي يحدد العلاقة بين الحقل والقيمة التي تبحث عنها.

  4. اختر القيمة.

  5. انقر فوق إضافة الفلتر. يتم إضافة الفلتر إلى شريط الفلتر ويتم تحديث Stories Workbench لعرض القصص بناءً على الفلترات.

إزالة الفلتر

يمكنك إزالة كل عنصر في الفلتر بشكل منفصل، أو إزالة الفلتر بأكمله.

لإزالة الفلترات لصفحة Stories Workbench:

  1. لإزالة مرشح واحد، انقر على remove.png بجانب المرشح (العنصر 1 أعلاه).

  2. لإزالة جميع الفلترات، انقر على X في نهاية شريط الفلتر الأيمن (العنصر 2 أعلاه).

التعمق وتحليل القصص

يمكنك النقر على أي قصة في "Stories Workbench" للتعمق والتحقيق في التفاصيل في صفحة مختلفة. تحتوي هذه الصفحة على عدد من الويدجات التي تساعدك في تقييم التهديد المحتمل الذي تم التعرف عليه بواسطة محرك منع التهديدات.

توليد ملخصات القصة بواسطة الذكاء الاصطناعي

يتضمن التعمق في "Stories Workbench" أداة تتيح لك إنشاء وصف للقصة بلغة طبيعية يتم توليده بواسطة الذكاء الاصطناعي، مما يوفر سياق غني ويساعدك في تقييم القصة بسرعة. يتم توليد ملخص القصة ديناميكيًا ليعكس الحالة الحالية للقصة. إذا تم تحديث القصة بمعلومات جديدة، يمكنك إعادة توليد الملخص ليعكس التغييرات.

  • يتم توليد ملخص القصة بواسطة الذكاء الاصطناعي فقط بناءً على طلب المدير

حماية البيانات الحساسة بالتفتيش

لحماية الأمان البيانات القوية أثناء نقل بيانات القصة إلى خدمات الذكاء الاصطناعي التابعة لجهات خارجية، يستخدم Cato التفتيش لضمان بقاء جميع البيانات الحساسة في منصة Cato XDR. يتضمن ذلك استبدال المعلومات الحساسة بمعرفات فريدة، أو "رموز"، مما يجعل البيانات عديمة الفائدة للجهات غير المصرح لها. لا يتم الكشف عن البيانات الحساسة أبدًا للخدمات الخارجية. يضمن هذا النهج سرية تفاصيل القصة، بما يتماشى مع التزامنا بمعايير قوية لخصوصية وأمان البيانات.

ملاحظة

ملاحظة: بسبب القيود المتعلقة بالذكاء الاصطناعي التوليدي، قد تحتوي المعلومات المقدمة في الملخصات القصصية أحيانًا على معلومات غير دقيقة.

فهم الويدجات الخاصة بالتعمق في القصة

Detection___Remediation_Callouts_PNG.png

هذه هي الويدجات الخاصة بالتعمق في القصة:

عنصر

اسم

الوصف

1

ملخص القصة

ملخص للمعلومات الأساسية عن القصة، متضمنًا:

  • فئة التهديد

  • شدة التهديد كما يحددها المحلل

  • الحكم على التهديد كما يحدده المحلل

  • نوع الهجوم (على سبيل المثال، إضافة المتصفح، التطبيق الشخصي، الماسح الضوئي، تطبيق الويب)

  • عدد الأجهزة المخترقة

  • عدد الإشارات (تدفقات المرور) المرتبطة بالهجوم

  • حالة القصة

انقر على More_icon.png لفتح لوحة إجراءات القصة وتغيير إعدادات القصة مثل حكم المحلل و الحالة.

2

الخط الزمني للقصة

يُظهر خطًا زمنيًا للقصة، مثل التغييرات التي تمت على حكم القصة وشدتها، ومتى تم تحديد أهداف جديدة تتعلق بالقصة

3

تفاصيل

المعلومات الرئيسية لتحليل القصة، بما في ذلك وصف التهديد، وتقنيات MITRE ATT&CK® المحددة للتهديد.

  • انقر فوق توليد ملخص AI لوصف قصة بلغة طبيعية يوفر سياقًا غنيًا ويساعدك في تقييم القصة بسرعة

تشمل التفاصيل الأخرى:

  • خطر تحليل التعلم الآلي - الدرجة العامة للخطر للقصة كما تُحسب بواسطة خوارزمية تحليل المخاطر بالتعلم الآلي من Cato (قيم من 1 إلى 10)

  • القرار المتوقع والنوع المتوقع بناءً على توقعات التعلم الآلي للحكم المحتمل ونوع البرمجيات الخبيثة الذي قد تحدده. تحلل خوارزميات التعلم الآلي الأحكام النهائية لقصص مشابهة

  • القصص المشابهة - تعرض قصصًا بنفس الإشارة أو الهدف. التفاصيل التي تُعرض لكل قصة تشمل: نوع تهديد القصة، حكم القصة (إذا كان متوفرًا)، ومستوى التشابه كما يُحسب بواسطة نموذج التعلم الآلي (موضح بنسبة مئوية). مرر الفأرة فوق القصة لعرض تصنيف أكثر تفصيلاً للتهديد

لمزيد من المعلومات حول إطار عمل MITRE ATT&CK®، يرجى الاطلاع على العمل مع لوحة معلومات MITRE ATT&CK®.

  • انقر على تقنية MITRE ATT&CK® لقراءة وصفها على موقع MITRE ATT&CK®

4

المصدر

معلومات أساسية عن الأجهزة في شبكتك المتأثرة بالتهديد

5

تحديد موقع الهجوم

يعرض الموقع الجغرافي للمصادر في شبكتك (أماكن برتقالية) والمصادر الخارجية (أماكن حمراء) المرتبطة بالتهديد. تشير الأسهم التي تربط المصادر إلى اتجاه الحركة

6

إجراءات الهدف

الأحداث المتعلقة بكل هدف، تشمل المعلومات التالية:

عمود

الوصف

الهدف

المجالات أو عناوين IP للمصادر الخارجية المحددة في تدفقات الحركة المرتبطة بالقصة

النوع

محرك الأمان الذي أنتج الأحداث المتعلقة بالهدف

الإجراء

الإجراء المتخذ على الحركة المتعلقة بالهدف

الأحداث ذات الصلة

يعرض توقيعات التهديد التي تظهر في الأحداث المتعلقة بالهدف.

  • مرر الفأرة فوق التوقيع لعرض سجل الحدث الملخص

  • انقر على التوقيع لفتح صفحة الأحداث مُفلترة مسبقًا للتوقيع

7

توزيع الهجوم

توزيع الزمن لتدفقات الهجوم ذات الصلة.

  • لجعل قراءة الرسم البياني أسهل، في الأهداف، انقر على هدف لإخفاء تلك البيانات عن الرسم البياني

  • لإظهار تفاصيل الهجوم، مرر الفأرة فوق الرسم البياني

8

الأهداف

يعرض بيانات لمصادر خارجية محتملة غير سليمة مرتبطة بالقصة خارج موقع شبكتك.

عمود

الوصف

تاريخ الإنشاء

تاريخ تسجيل مجال الهدف

الهدف

المجالات أو عناوين IP للمصادر الخارجية المحددة في تدفقات الحركة المرتبطة بالقصة

روابط الهدف

روابط للبحث عن الهدف في مجالات مختلفة من مصادر الاستخبارات التهديدية الخارجية.

لمزيد من المعلومات، انقر على أيقونة VirusTotal، أو اختر الموارد الأخرى من القائمة المنسدلة.

درجة الخبث

الدرجة الخبيثة للهدف وفقًا لخوارزميات استخبارات التهديد في Cato. تتراوح الدرجات من 0 (حميد) إلى 1 (خبيث)

الشعبية

مدى ظهور الهدف في مصادر البيانات الداخلية في Cato. القيم هي: غير شائع، منخفض، متوسط، مرتفع

الفئات

فئات Cato لمجال الهدف

تغذيات التهديد

عدد مصادر استخبارات التهديد في Cato التي اكتشفت الهدف كخبيث

محركات

عدد محركات الأمان الخارجية التي اكتشفت الهدف كخبيث

دولة المسجل

الدولة التي يتم تسجيل مجال الهدف فيها

نتائج بحث جوجل

عدد نتائج بحث جوجل للهدف

9

الأحداث المتعلقة بالهجوم

يعرض بيانات لعيّنة ممثلة من الأحداث المتعلقة بالهجوم.

عمود

الوصف

الهدف

المجال الهدف أو IP لتدفق الاتصالات ذي الصلة

وقت البدء

الطابع الزمني لبداية التدفق

الاتجاه

اتجاه التدفق. تشمل الاتجاهات:

  • وارد - حركة إلى شبكتك مصدرها مصدر خارجي

  • صادر - حركة من شبكتك إلى مصدر خارجي

  • متوجهة للشبكة الواسعة - حركة من شبكتك إلى موقع آخر في شبكتك

IP المصدر

عنوان IP المصدر في شبكتك الذي يرسل أو يستقبل التدفق

منفذ المصدر

منفذ المصدر في شبكتك الذي يرسل أو يستقبل التدفق

IP الهدف

عنوان IP الهدف الخارجي الذي يرسل أو يستقبل التدفق

منفذ الهدف

منفذ الهدف الخارجي الذي يرسل أو يستقبل التدفق

الطريقة

طريقة HTTP في التدفق (GET، POST، وهكذا)

الرابط الكامل URL

الرابط الكامل للموارد الخارجية في التدفق

العميل

نوع العميل في التدفق

تطبيق Cato

التطبيق Cato المستخدم في التدفق

البلد الوجهة

موقع عنوان IP الوجهة في التدفق

استجابة DNS IP

عنوان IP المُرجع بواسطة بحث DNS

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات