تحليل قصص XOps UEBA للاستخدام والحدث التشوهات

توضح هذه المقالة كيفية استخدام XOps Stories Workbench وصفحة تفاصيل القصة لتحليل قصص XOps للسلوك الشاذ الذي تكتشفه محركات التشوهات في الاستخدام والفعاليات.

لمزيد من المعلومات حول استخدام Stories Workbench راجعمراجعة قصص الكشف والاستجابة XOps في منصة القصص.

ملاحظة

ملاحظة: XOps هي طبقة التحليل الموحدة من Cato للأمن والعمليات، التي تقدم رؤى وإرشادات تصحيح. XOps قد حلت محل XDR، لمزيد من المعلومات انظر XOps FAQ.

نظرة عامة

تكتشف خدمة Cato's XOps (سابقًا XDR) الأنشطة الغير طبيعية استنادًا إلى تحليلات سلوك المستخدم والكيان (UEBA)، والتي قد تشير إلى تهديد أمني. تعمل محركات الاستخدام غير الطبيعي ومخالفات الأحداث على مراقبة وتحليل حركة المرور بالشبكة لتحديد السلوكيات غير العادية التي قد تكون علامات على حسابات تم اختراقها، تهديدات داخلية وهجمات متقدمة. تتضمن هذه المحركات تقنيات التعلم الآلي والنماذج الإحصائية مع تدريب على حركة المرور بالشبكة لبناء نماذج سلوك أساسية للمستخدمين والكيانات في حسابك. استنادًا إلى هذه النماذج، يمكن للمحركات تحديد أنواع مختلفة من المخالفات.

هذه أوصاف موجزة لمحركات تشوهات UEBA من XOps وأنواع التشوهات التي تحددها:

مخالفة الاستخدام - يحدد المخالفات المتعلقة بالاستخدام غير العادي في التطبيقات. على سبيل المثال، قام مستخدم بتحميل المزيد من البيانات إلى تطبيق أكثر من المعتاد
مخالفة الأحداث - يكتشف المخالفات التي تتضمن كيان في الشبكة يقوم بتشغيل عدد غير عادي من الفعاليات الأمنية. على سبيل المثال، موقع على الشبكة يقوم بتشغيل بشكل ملحوظ المزيد من فعاليات حظر انترنت فايروال أكثر من المعتاد

عندما تنتج محركات تشوهات UEBA من XOps قصة، يمكنك مراجعتها في Stories Workbench والتعمق لتحليل بيانات القصة بشكل أكبر.

المتطلبات المسبقة

قصص تشوهات الاستخدام وتشوهات الأحداث متاحة فقط لعملاء XOps وMDR. لمزيد من المعلومات حول شراء XOps، أو الاشتراك في خدمة MDR، يرجى الاتصال بممثل Cato الخاص بك.

التعمق وتحليل قصص الشذوذ في UEBA

يمكنك النقر على قصة مخالفة الاستخدام أو مخالفة الأحداث في Stories Workbench للتنقيب واستكشاف التفاصيل في صفحة مختلفة. تحتوي هذه الصفحة على عدد من الأدوات التي تساعدك في تقييم التهديد المحتمل.

عرض قصة أمان

انقر على قصة أمان في صفحة Stories Workbench لإظهار التفاصيل الخاصة بقصة UEBA.

لعرض صفحة "Stories Workbench":

من قائمة التنقل، انقر الرئيسية > Stories Workbench.

إنشاء ملخصات قصص الذكاء الاصطناعي

يشمل التنقيب في Stories Workbench أداة تتيح لك إنشاء وصف قصة بلغة طبيعية يتم توليده بواسطة الذكاء الاصطناعي، مما يوفر سياقًا غنيًا ويساعدك على تقييم القصة بسرعة. يتم توليد ملخص القصة بشكل ديناميكي ليعكس الحالة الحالية للقصة. إذا تم تحديث القصة بمعلومات جديدة، يمكنك إعادة توليد الملخص ليعكس التغييرات.

يتم إنشاء ملخص القصة بواسطة الذكاء الاصطناعي فقط حسب الطلب من قبل المشرف

حماية البيانات الحساسة باستخدام الرموز

للحماية القوية للبيانات أثناء نقل بيانات القصة إلى خدمات الذكاء الاصطناعي الخارجية، يستخدم Cato الترميز لضمان بقاء جميع البيانات الحساسة في منصة XOps التابعة لـ Cato. هذا يشمل استبدال المعلومات الحساسة بمعرفات فريدة أو "رموز"، مما يجعل البيانات بلا معنى للكائنات غير المصرح لها. لا يتم أبداً عرض البيانات الحساسة للخدمات الخارجية. يضمن هذا الأسلوب سرية تفاصيل القصة، بما يتماشى مع التزامنا بمعايير الخصوصية وأمن البيانات القوية.

ملاحظة

ملحوظة: نظرًا لقيود الذكاء الاصطناعي التوليدي، قد تحتوي المعلومات المقدمة في ملخصات القصص على أخطاء في بعض الأحيان.

فهم أدوات الشذوذ في UEBA

هذه هي الأدوات لقصة مخالفة الاستخدام أو مخالفة الأحداث:

عنصر	اسم	الوصف
1	ملخص القصة	ملخص للمعلومات الأساسية عن القصة، بما في ذلك: اسم المخالفة علامة لـ الهجوم المكتشف الاكتشاف& الاستجابة المنتج (المحرك) الذي قام بتوليد القصة حدة المحلل - حدة التهديد قضاء المحلل للتهديد نوع الهجوم التصنيف التفصيلي للتهديد حسب تحديده بواسطة المحلل حالة القصة
2	الخط الزمني للقصة	يعرض خطًا زمنيًا للقصة، مثل التغييرات التي تم إجراؤها على قضاء القصة وحدتها، وعندما يتم تحديث الحالة
3	تفاصيل	التفاصيل الأساسية حول القصة، بما في ذلك وصف التهديد والملخص انقر توليد ملخص الذكاء الاصطناعي للحصول على وصف قصة بلغة طبيعية يوفر سياقًا غنيًا ويساعدك على تقييم القصة بسرعة الإشارة الأولى - زمن الإشارة الأولى (تدفق المرور) المرتبطة بالمخالفة تاريخ الإنشاء - وقت إنشاء القصة آخر تحديث - وقت التحديث الأخير للقصة، مثل هدف جديد أو قضاء متغير الحرجية - درجة المخاطر الإجمالية للقصة كما تحسبها خوارزمية تحليل المخاطر التعلم الآلي من كاتو (القيم من 1 (الأقل حرجًا) إلى 10 (الأكثر حرجًا)) فترة التدريب - فترة التدريب للنموذج التعلم الآلي لتحديد السلوك غير الطبيعي معرف التوضيح - المعرّف المستخدم للتوضيح في محركات XOps. يمكنك استخدام المعرف للبحث عن التوضيح في كتالوج التوضيحات علامات MITRE - تقنيات MITRE ATT&CK® المحددة للتهديد. لمزيد من المعلومات حول إطار عمل MITRE ATT&CK®، انظر استخدام لوحة معلومات MITRE ATT&CK®. انقر على تقنية MITRE ATT&CK® لقراءة وصفها على موقع MITRE ATT&CK® الإلكتروني القضاء المتوقع و النوع المتوقع بناءً على تنبؤات التعلم الآلي للقضاء المحتمل والنوع المحتمل للبرمجيات الضارة التي قد تقوم بتحديدها. تحلل خوارزميات التعلم الآلي القضايا النهائية لقصص مماثلة قصص مماثلة - يعرض قصصًا لها أهداف مماثلة. التفاصيل المعروضة لكل قصة تشمل: نوع تهديد القصة، حكم القصة (إذا كان متاحًا)، ومستوى التشابه كما يحسب بواسطة نموذج التعلم الآلي (يشير إليه بالنسبة المئوية). حرك الماوس فوق القصة لإظهار تصنيف أكثر تفصيلاً للتهديد
4	توزيع المخالفات	رسم بياني للسلوك غير الطبيعي لمدة 14 يومًا الماضية. لقصص مخالفة الاستخدام، يظهر الرسم البياني البيانات للتطبيقات ذات الصلة. لقصص مخالفة الأحداث، يظهر الرسم البياني البيانات للأحداث ذات الصلة. لإظهار تفاصيل المخالفة، قم بتحريك الفأرة فوق الرسم البياني لتحليل أقرب للتطبيقات المختلفة أو الأحداث التي تم اكتشافها في المخالفة، انقر على زر تبديل التطبيق أو الحدث لتشغيل الرسم البياني أو إيقافه. انقر عرض الكل لفتح شاشة تحليلات التطبيقات والمصفاة مسبقًا للتطبيقات المتعلقة بالمخالفة
5	المصدر	معلومات أساسية حول الجهاز في شبكتك المرتبط بالمخالفة
6	أفضل التطبيقات	أعلى التطبيقات المتعلقة بالمخالفة، مع تفاصيل ذات صلة. على سبيل المثال، يظهر تطبيق لخلل عرض النطاق الترددي المرتفع مع إجمالي مقدار التحميل من التطبيق انقر عرض الكل لفتح شاشة تحليلات التطبيقات والمصفاة مسبقًا للتطبيقات المتعلقة بالمخالفة
7	أفضل الخوادم/الوجهات	أفضل الخوادم والوجهات المشاركة في المخالفة، مع تفاصيل ذات صلة. على سبيل المثال، يظهر خادم لخلل عرض النطاق الترددي المرتفع مع الإجمالي الكلي للتحميل إلى الخادم انقر عرض الكل لفتح شاشة تحليلات التطبيقات وإظهار الوجهات المصفاة مسبقًا للتطبيقات المتعلقة بالمخالفة
8	أعلى المضيفين	أعلى المضيفين المرتبطين بالمخالفة، مع تفاصيل ذات صلة. على سبيل المثال: يظهر مضيف لخلل عرض النطاق الترددي المرتفع مع عدد التحميلات من المضيف يظهر مضيفون لمخالفة في سلوك المستخدم عناوين IP للمستخدم في الاتصالات المتعلقة بالمخالفة انقر عرض الكل لفتح شاشة تحليلات التطبيقات وإظهار المضيفين المصفاة مسبقًا للتطبيقات المتعلقة بالمخالفة
9	أهداف	يعرض بيانات للمصادر الضارة المحتملة خارج موقع شبكتك المتعلقة بالقصة. هذه هي أوصاف أعمدة جدول الهدف: الهدف - دومين أو عناوين IP لمصادر خارجية محددة في تدفقات المرور المتعلقة بالقصة تاريخ الإنشاء - تاريخ تسجيل دومين الهدف روابط الهدف - روابط للبحث عن الهدف في مختلف مصادر معلومات التهديد الخارجية. لمزيد من المعلومات، انقر فوق رمز VirusTotal أو اختر موارد أخرى من القائمة المنسدلة. Malicious Score - درجة الخبث للهدف وفقًا لخوارزميات استخبارات التهديدات من Cato. تتراوح الدرجات من 0 (حميد) إلى 1 (خبث) Popularity - مقدار تكرار ظهور الهدف في مصادر البيانات الداخلية لـ Cato. القيم هي: غير شائع، منخفض، متوسط، مرتفع Categories - فئات Cato لمجال الهدف Threat Feeds - عدد مصادر استخبارات التهديدات من Cato التي اكتشفت الهدف على أنه خبيث المحركات - عدد محركات الأمان الخارجية التي اكتشفت الهدف على أنه ضار Registrant Country - البلد الذي تم تسجيل مجال الهدف فيه Google Search Hits - عدد نتائج بحث Google للهدف
10	اتصالات القمة	البيانات الخاصة بأفضل الاتصالات المتعلقة بالشذوذ. على سبيل المثال، بالنسبة لشذوذ زيادة عرض النطاق الترددي لأعلى لمستخدم SDP، الاتصالات التي تستخدم معظم عرض النطاق الترددي للتحميل. هذه أوصاف لأعمدة الجدول: Application - التطبيق المكتشف في تدفق الحركة للاتصال Source IP - عنوان IP المصدر في شبكتك التي ترسل أو تستقبل التدفق Destination - عنوان IP أو مجال الهدف الخارجي الذي يرسل أو يستقبل التدفق Flows - عدد التدفقات المرتبطة بالاتصال Download - استخدام عرض النطاق الترددي للتنزيل Upload - استخدام عرض النطاق الترددي للتحميل Usage - إجمالي استخدام عرض النطاق الترددي

المتطلبات المسبقة لقصص الشذوذ في UEBA

بعض الإشارات المكتشفة بواسطة محرك كشف الشذوذ تتطلب تكوين موصل، ترخيص معين أو كلاهما. يسرد هذا الجدول المتطلبات الأساسية لهذه الإشارات. إذا لم يتم إدراج إشارة في الجدول، فلا توجد متطلبات إضافية.

دلالة	المتطلبات الأساسية
شذوذ في تسجيل الدخول للمستخدم الفاشل	ترخيص CASB وواحد على الأقل من هذه الموصلات: Salesforce GitHub Azure ID
تحميل جماعي (شذوذ في أحداث تنزيل المستخدم)	ترخيص CASB
تحميل جماعي (شذوذ في أحداث تنزيل الموقع)	ترخيص CASB
تحميل جماعي (شذوذ في أحداث تحميل المستخدم)	ترخيص CASB
تحميل جماعي (شذوذ في أحداث تحميل الموقع)	ترخيص CASB
حذف جماعي (نشاط حذف غير عادي - المستخدم)	ترخيص CASB
حذف جماعي (نشاط حذف غير عادي - الموقع)	ترخيص CASB
إنشاء جماعي (نشاط إنشاء ملفات غير عادي - المستخدم)	ترخيص CASB
الاستخدام الأول لبروتوكولات مهجورة أو غير مصرح بها - الموقع	ترخيص منع التهديدات
الاستخدام الأول لبروتوكولات مهجورة أو غير مصرح بها - المستخدم	ترخيص منع التهديدات
شذوذ حركة C&C - المستخدم	ترخيص منع التهديدات
C&C أول تحميل لنشاط إلى حاوية S3C - الموقع	ترخيص منع التهديدات
أول تحميل لنشاط إلى حاوية S3	ترخيص CASB وAnti-Malware
شذوذ حذف البريد	ترخيص CASB وهذه الموصلات M365-Exchange أنشطة التدقيق لـ Microsoft Exchange

تحليل قصص XOps UEBA للاستخدام والحدث التشوهات

ملاحظة

نظرة عامة

المتطلبات المسبقة

التعمق وتحليل قصص الشذوذ في UEBA

عرض قصة أمان

إنشاء ملخصات قصص الذكاء الاصطناعي

حماية البيانات الحساسة باستخدام الرموز

ملاحظة

فهم أدوات الشذوذ في UEBA

المتطلبات المسبقة لقصص الشذوذ في UEBA

هل كان هذا المقال مفيداً؟

لا توجد تعليقات