تحليل قصص XOps UEBA للاستخدام وأنماط الأحداث الشاذة

توضح هذه المقالة كيفية استخدام قصص XOps وقصص العمل النقدية وتحليل القصة للكشف عن السلوك الشاذ الذي اكتشفته محركات شذوذ الاستخدام وشذوذ الأحداث.

لمزيد من المعلومات حول استخدام قصص العمل، انظر مراجعة اكتشاف واستجابة قصص XOps في قصص العمل.

نظرة عامة

تكتشف خدمة XOps من Cato الأنشطة الشاذة بناءً على تحليل سلوك المستخدم والكيان (UEBA)، والتي قد تشير إلى تهديد أمني. محركات شذوذ الاستخدام وشذوذ الأحداث تراقب وتحلل حركة مرور الشبكة لتحديد السلوكيات غير العادية التي قد تكون علامات على حسابات مخترقة، تهديدات داخلية، وهجمات متقدمة. تدمج هذه المحركات تقنيات التعلم الآلي والنمذجة الإحصائية مع التدريب على حركة مرور الشبكة لبناء نماذج سلوك أساسية للمستخدمين والكيانات في حسابك. استنادًا إلى هذه النماذج، يمكن للمحركات التعرف على أنواع مختلفة من الأنماط الشاذة.

هذه هي وصفات مختصرة لمحركات شذوذ UEBA الخاصة بـ XOps وأنواع الأنماط الشاذة التي تحددها:

شذوذ الاستخدام - يحدد الأنماط الشاذة ذات الصلة بالاستخدام غير المعتاد في التطبيقات. على سبيل المثال، يقوم المستخدم بتحميل المزيد من البيانات لتطبيق أكثر من المعتاد
شذوذ الأحداث - يكتشف الأنماط الشاذة التي تتضمن كيانًا في الشبكة يثير عددًا غير عادي من أحداث الأمان. على سبيل المثال، موقع في الشبكة يثير عددًا كبيرًا من أحداث حظر جدار الإنترنت أكثر من المعتاد

عندما تولد محركات شذوذ UEBA الخاصة بـ XOps قصة، يمكنك مراجعتها في قصص العمل والبحث عنها للحصول على المزيد من التحليل لبيانات القصة.

المتطلبات الأساسية

قصص شذوذ الاستخدام وشذوذ الأحداث متاحة فقط للعملاء XOps وMDR. لمزيد من المعلومات حول شراء XOps أو الاشتراك في خدمة MDR، يرجى الاتصال بممثل Cato الخاص بك.

التنقيب والتحليل في قصص شذوذ UEBA

يمكنك النقر على قصة شذوذ الاستخدام أو شذوذ الأحداث في قصص العمل للتنقيب والتحقق من التفاصيل في صفحة مختلفة. تحتوي هذه الصفحة على عدد من أدوات العرض التي تساعدك في تقييم التهديد المحتمل.

عرض قصة الأمان

انقر على قصة الأمان في صفحة قصص العمل لعرض التفاصيل للقصة UEBA.

لعرض صفحة قصص العمل:

من قائمة التنقل، انقر الصفحة الرئيسية > قصص العمل.

توليد ملخصات القصص بواسطة الذكاء الاصطناعي

يشمل التنقيب في قصص العمل أداة تسمح لك بإنشاء وصف القصة بلغة طبيعية مولد بواسطة الذكاء الاصطناعي، الذي يوفر سياقًا غنيًا ويساعدك في تقييم القصة بسرعة. يتم توليد ملخص القصة ديناميكيًا ليعكس حالة القصة الحالية. إذا تم تحديث القصة بمعلومات جديدة، يمكنك إعادة توليد الملخص لتعكس التغييرات.

يتم توليد ملخص القصة بواسطة الذكاء الاصطناعي فقط عند الطلب بواسطة المسؤول

حماية البيانات الحساسة بالتشفير

لحماية بيانات القصة بشكل قوي أثناء انتقالها إلى خدمات الذكاء الاصطناعي الخارجية، يستخدم Cato التشفير لضمان بقاء جميع البيانات الحساسة في المنصة XOps الخاصة بـ Cato. يشمل ذلك استبدال المعلومات الحساسة بمعرفات فريدة، أو "رموز"، مما يجعل البيانات بلا معنى لكيانات غير معتمدة. لم يتم الكشف عن البيانات الحساسة أبدًا للخدمات الخارجية. يضمن هذا النهج سرية تفاصيل القصة، مما يتوافق مع التزامنا بمعايير الخصوصية وأمان البيانات القوية.

ملاحظة

ملاحظة: نظرًا لقيود الذكاء الاصطناعي التوليدي، قد تحتوي المعلومات المقدمة في ملخصات القصص على عدم دقة أحيانًا.

فهم أدوات شذوذ UEBA

هذه هي أدوات العرض لقصة شذوذ الاستخدام أو شذوذ الأحداث:

البند	الاسم	الوصف
1	ملخص القصة	ملخص المعلومات الأساسية عن القصة، بما في ذلك: اسم الشذوذ إشارة إلى الهجوم المكتشف المنتج Producer (المحرك) الذي تولد القصة خطورة المحلل - خطورة التهديد حكم المحلل للتهديد نوع الهجوم تصنيف مفصل للتهديد كما هو محدد بواسطة المحلل حالة القصة
2	جدول زمني للقصة	يعرض جدول زمني للقصة، مثل التغييرات التي أُجريت على حكم القصة وخطورتها، ومتى تم تحديث الحالة
3	تفاصيل	تفاصيل أساسية عن القصة، بما في ذلك وصف وملخص التهديد انقر توليد ملخص بواسطة الذكاء الاصطناعي للحصول على وصف القصة بلغة طبيعية، الذي يوفر سياقًا غنيًا ويساعدك في تقييم القصة بسرعة الإشارة الأولى - وقت الإشارة الأولى (تدفق حركة المرور) المرتبط بالشذوذ تاريخ الإنشاء - وقت توليد القصة آخر تحديث - وقت آخر تحديث للقصة، مثل هدف جديد أو تغيير في الحكم الأهمية - درجة الخطر العامة للقصة كما يحسبها خوارزمية تحليل الخطر بواسطة التعلم الآلي لـ Cato (القيم من 1 (أقل أهمية) إلى 10 (الأكثر أهمية)) فترة التدريب - فترة التدريب لنموذج التعلم الآلي لتحديد السلوك الشاذ معرف الإشارة - المعرف للإشارة المستخدمة بواسطة محركات XOps. يمكنك استخدام المعرف للبحث عن الإشارة في فهرس الإشارات تاجات MITRE - تقنيات MITRE ATT&CK® المحددة للتهديد. لمزيد من المعلومات حول إطار العمل MITRE ATT&CK®، انظر استخدام لوحة معلومات MITRE ATT&CK®. انقر على تقنية MITRE ATT&CK® لقراءة وصفها على موقع MITRE ATT&CK® الحكم المتوقع والنوع المتوقع بناءً على تنبؤات التعلم الآلي للحكم المحتمل ونوع البرمجيات الضارة الذي قد تكتشفه. تحلل خوارزميات التعلم الآلي الأحكام النهائية للقصص المشابهة قصص مشابهة - تعرض القصص ذات الأهداف المشابهة. التفاصيل المعروضة لكل قصة تشمل: نوع تهديد القصة، حكم القصة (إذا كان متاحًا)، ودرجة التشابه كما يحسبها نموذج التعلم الآلي (مشار إليه بالنسبة المئوية). مرر الفأرة فوق القصة لعرض تصنيف أكثر تفصيلاً للتهديد
4	توزيع الشذوذ	رسم بياني للسلوك الشاذ للأيام الأربعة عشر الماضية. بالنسبة لقصص شذوذ الاستخدام، يعرض الرسم البياني بيانات للتطبيقات ذات الصلة. بالنسبة لقصص شذوذ الأحداث، يعرض الرسم البياني بيانات للأحداث ذات الصلة. لعرض تفاصيل الشذوذ، مرر الفأرة فوق الرسم البياني للتحقيق بشكل أكثر قربًا في التطبيقات أو الأحداث المختلفة المكتشفة في الشذوذ، انقر على زر التبديل لتطبيق أو حدث لتشغيل أو إيقاف الرسم البياني الخاص به. انقر على عرض الكل لفتح شاشة تحليلات التطبيقات مسبقة الفلترة للتطبيقات المتعلقة بالشذوذ
5	المصدر	معلومات أساسية عن الجهاز في شبكتك المرتبط بالشذوذ
6	أهم التطبيقات	أهم التطبيقات المرتبطة بالشذوذ، مع تفاصيل ذات صلة. على سبيل المثال، يظهر تطبيق لشذوذ عرض النطاق الترددي الصاعد مع إجمالي مقدار التحميل من التطبيق انقر على عرض الكل لفتح شاشة تحليلات التطبيقات مسبقة الفلترة للتطبيقات المتعلقة بالشذوذ
7	أهم الخوادم/الوجهات	أهم الخوادم والوجهات المشاركة في الشذوذ، مع تفاصيل ذات صلة. على سبيل المثال، يظهر خادم لشذوذ عرض النطاق الترددي الصاعد مع إجمالي مقدار التحميل إلى الخادم انقر على عرض الكل لفتح شاشة تحليلات التطبيقات وعرض الوجهات مسبقة الفلترة للتطبيقات المتعلقة بالشذوذ
8	أهم المُضيفين	أهم المُضيفين المرتبطين بالشذوذ، مع تفاصيل ذات صلة. على سبيل المثال: يظهر مُضيف لشذوذ عرض النطاق الترددي الصاعد مع عدد التحميل من المُضيف المُضيفون لشذوذ في سلوك المستخدم يعرضون عناوين IP للمستخدم في الاتصالات ذات الصلة بالشذوذ انقر على عرض الكل لفتح شاشة تحليلات التطبيقات وعرض المُضيفين مسبقة الفلترة للتطبيقات المتعلقة بالشذوذ
9	الأهداف	يعرض البيانات للمصادر المحتمل أن تكون ضارة خارج موقع شبكتك ذات الصلة بالقصة. هذه هي أوصاف أعمدة الجدول المستهدف: المستهدف - النطاقات أو عناوين IP للمصادر الخارجية المحددة في تدفقات المرور ذات الصلة بالقصة. تاريخ الإنشاء - تاريخ تسجيل النطاق المستهدف. روابط الهدف - روابط للبحث عن الهدف في مصادر الاستخبارات المتعلقة بالتهديدات الخارجية. للحصول على معلومات إضافية، انقر على أيقونة VirusTotal أو اختر موارد أخرى من القائمة المنسدلة. درجة التهديد - درجة الخطر للهدف وفقًا لخوارزميات الاستخبارات المتعلقة بالتهديدات من كاتو. نطاق الدرجات من 0 (آمن) إلى 1 (ضار) الشعبية - مدى تكرار ظهور الهدف في مصادر البيانات الداخلية من كاتو. القيم هي: غير شائع، منخفض، متوسط، عالي الفئات - فئات كاتو للنطاق المستهدف تغذية التهديدات - عدد مصادر الاستخبارات المتعلقة بالتهديدات من كاتو التي اكتشفت الهدف كضار المحركات - عدد محركات الأمن الخارجية التي اكتشفت الهدف كضار بلد المسجل - البلد الذي يتم فيه تسجيل النطاق المستهدف نتائج البحث في جوجل - عدد نتائج البحث في جوجل عن الهدف
10	أهم الاتصالات	البيانات لأهم الاتصالات ذات الصلة بالشذوذ. على سبيل المثال، بالنسبة لشذوذ عرض النطاق الترددي للمستخدم الصاعد في SDP، الاتصالات التي تستخدم معظم عرض النطاق الترددي للتحميل. هذه هي أوصاف أعمدة الجدول: التطبيق - التطبيق المكتشف في تدفق حركة الاتصالات عنوان IP المصدر - عنوان IP المصدر في شبكتك الذي يرسل أو يستقبل التدفق الوجهة - عنوان IP أو النطاق الخارجي المستهدف الذي يرسل أو يستقبل التدفق التدفقات - عدد التدفقات المرتبطة بالاتصال تحميل - استخدام عرض النطاق الترددي للتحميل رفع - استخدام عرض النطاق الترددي للرفع الاستخدام - إجمالي استخدام عرض النطاق الترددي

المتطلبات المسبقة لقصص شذوذ UEBA

تتطلب بعض المؤشرات التي تكتشفها محرك اكتشاف الشذوذ تهيئة موصل أو ترخيص محدد أو كلاهما. يسرد هذا الجدول المتطلبات المسبقة لهذه المؤشرات. إذا لم يتم إدراج مؤشر في الجدول، فلا توجد متطلبات مسبقة إضافية.

المؤشر	المتطلبات المسبقة
شذوذ في تسجيل دخول المستخدم الفاشل	ترخيص CASB وواحد على الأقل من هذه الموصلات: Salesforce GitHub Azure ID
تحميل ضخم (شذوذ أحداث تحميل المستخدم)	ترخيص CASB
تحميل ضخم (شذوذ أحداث تحميل الموقع)	ترخيص CASB
رفع ضخم (شذوذ أحداث رفع المستخدم)	ترخيص CASB
رفع ضخم (شذوذ أحداث رفع الموقع)	ترخيص CASB
حذف ضخم (نشاط حذف غير اعتيادي - مستخدم)	ترخيص CASB
حذف ضخم (نشاط حذف غير اعتيادي - موقع)	ترخيص CASB
إنشاء ضخم (نشاط إنشاء ملفات غير اعتيادي - مستخدم)	ترخيص CASB
استخدام أول ملاحظ لبروتوكولات مهملة أو غير معتمدة - موقع	ترخيص منع التهديدات
استخدام أول ملاحظ لبروتوكولات مهملة أو غير معتمدة - مستخدم	ترخيص منع التهديدات
شذوذ حركة المرور C&C - المستخدم	ترخيص منع التهديدات
C&C أول مرة رفع إلى سلة S3C شذوذ حركة المرور - الموقع	ترخيص منع التهديدات
أول مرة رفع إلى سلة S3	ترخيص CASB ومكافحة البرمجيات الضارة
شذوذ حذف البريد	ترخيص CASB وهذه الموصلات M365-Exchange أنشطة تدقيق Microsoft Exchange