تتناول هذه المقالة كيفية استخدام كتالوج الإشارات للحصول على مزيد من المعلومات حول النشاط الضار المحتمل الذي تم تحديده بواسطة طبقة الأمان "Cato Detection & Response".
لمزيد من المعلومات حول الاكتشاف والاستجابة، يرجى الاطلاع على مراجعة قصص الاكتشاف والاستجابة XOps في أداة العمل للقصص.
يتضمن كتالوج الإشارات تفسيرات ومعلومات مرجعية لمئات الإشارات (مؤشرات الهجوم) التي يتم تحديدها بواسطة محركات الأمان "Detection & Response". الإشارة هي مجموعة من الأفعال والسلوكيات التي يمكن أن تشير إلى نية لتنفيذ هجوم، حتى لو لم يتم تحديد اختراق أمني فعلي بعد. على سبيل المثال، قد يشير توليد استضافة لحركة مرور تعرض خصائص "C&C" إلى هجوم برمجي خبيث. عندما تقوم المحركات بتحليل بيانات حركة المرور وتحديد تطابق لإشارة ما، فإنها تقوم بإنشاء قصة أمنية تظهر في صفحة أداة العمل للقصص، بما في ذلك الإشارة للقصة وبيانات أخرى للمساعدة في التحقيق في التهديد. يوفر كتالوج الإشارات وصفاً كاملاً لجميع الإشارات.
يمكنك البحث بسهولة وتصنيف الكتالوج للعثور على الإشارات والتحقق لمعرفة أي الإشارات تتعلق باستراتيجية هجوم محددة. يتيح لك الكتالوج أيضًا البحث عن إشارة محددة لمعرفة ما إذا كانت مشمولة بواسطة محركات "Detection & Response"، وعرض أحدث الإشارات، وعرض سجلات الأحداث المرتبطة بالإشارة.
يضم كتالوج الإشارات معلومات لعدد من أنواع الإشارات التهديدية التي يتم اكتشافها بواسطة محركات "Detection & Response" المختلفة. هذه وصفات مختصرة لبعض من المحركات المختلفة وأنواع الإشارات التي يحددونها، للحصول على قائمة كاملة، انظر مرحباً بكم في خدمة Cato XOps.
-
وقاية التهديدات - يكتشف مجموعة محددة من سلوكيات الهجوم في أحداث IPS
-
عمليات الموقع - يحدد مشكلات الشبكة مثل تدهور الاتصال
-
اصطياد التهديدات - يحدد مجموعة واسعة من سلوكيات الهجوم في الأحداث وبيانات حركة المرور الغنية
-
شذوذ الاستخدام - يحدد الإشارات التي تتعلق بتطبيقات تعرض استخدامًا غير عادي. على سبيل المثال، تطبيق يستخدم عرض نطاق أعلى من المعتاد
-
شذوذ الأحداث - يكتشف الإشارات التي تتضمن كيانًا في الشبكة يثير عددًا غير عادي من الأحداث الأمنية
-
شذوذ التجربة - يكتشف التغييرات الكبيرة في تجربة تطبيق أو أداء الشبكة لتطبيق ما
يرdetermال الترخيص الخاص بالاكتشاف والاستجابة نوع الأنواع المفعلة لحسابك. يظهر كتالوج الإشارات ترخيصك الحالي، وما إذا كانت إشارة معينة متاحة لذلك الترخيص. عندما تكون الإشارة غير متاحة لترخيصك، لن يتم إنشاء وعرض قصص تعتمد على تلك الإشارة في أداة العمل للقصص. لمزيد من المعلومات حول مستويات ترخيص XOps، انظر مرحباً بكم في خدمة Cato XOps.
لإظهار كتالوج الإشارات:
-
من قائمة التنقل، انقر فوق الموارد > كتالوج الإشارات.
يحتوي كتالوج الإشارات على هذه الأعمدة:
-
ID - المعرف للإشارة الذي تستخدمه محركات "Detection & Response"
-
الإشارة - اسم فئة الإشارة. يمكن أن تشمل الفئة عدة إشارات مختلفة ذات سلوكيات متشابهة
-
وصف للإجراءات والسلوكيات المشبوهة للإشارة
-
متاح في الحساب - ما إذا كانت الإشارة مفعلة للحساب بناءً على مستوى ترخيص "Detection & Response".
لمزيد من المعلومات حول توفر الإشارة، انظر أنواع الإشارات والترخيص.
-
مرجع MITRE - يظهر تقنيات التهديد ذات الصلة بإطار عمل MITRE ATT&CK® للإشارة. للمزيد حول إطار عمل MITRE ATT&CK®، انظر استخدام لوحة معلومات MITRE ATT&CK®
-
انقر على المرجع لفتح صفحة الأحداث المفلترة مسبقًا لتقنية MITRE ATT&CK®
-
-
النوع - يظهر محرك "Detection & Response" الذي يحدد الإشارة
قم بتعيين الفلاتر التالية للعثور بسهولة على الإشارات ذات الصلة:
-
ID - اختر ID للإشارة لعرض الإشارة
-
يمكنك استخدام قائمة الوضع المنسدلة لتصفية الكتالوج لعرض الإشارات الجديدة فقط.
تعتبر الإشارات جديدة إذا أضيفت مؤخرًا إلى الكتالوج وتظهر مع تسمية جديد. التسمية لا تشير إلى إطار زمني محدد
-
الإشارة - اختر فئة الإشارة لتصفية الكتالوج لعرض الإشارات في تلك الفئة
-
ابحث في حقل الوصف عن الإشارات ذات الصلة.
-
متاح في الحساب - تصفية الكتالوج لعرض الإشارات التي هي متاحة أو غير متاحة للحساب فقط.
لمزيد من المعلومات حول توفر الإشارة، انظر أنواع الإشارات والترخيص.
-
تقنية MITRE - اختر تقنية هجوم كما هو معرف في إطار عمل MITRE ATT&CK® لعرض الإشارات المتعلقة بالتقنية
-
النوع - اختر محرك "Detection & Response" لتصفية الكتالوج لعرض الإشارات التي يحددها المحرك
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.