التعمق وتحليل قصص أمان XOps

تتناول هذه المقالة كيفية استخدام صفحة قصة الكشف والاستجابة لتحليل القصص للتهديدات المحتملة في حسابك.

نظرة عامة

يمكنك النقر على قصة في مشغل قصص القصص للتعمق والتحقيق في التفاصيل في صفحة قصة الكشف والاستجابة. تحتوي هذه الصفحة على نظرة عامة على القصة وملخص للقصص ذات الصلة. تحتوي النظرة العامة على عدد من الويدجتات التي تساعدك على تقييم التهديد المحتمل المحدد بواسطة محركات XOps، بينما يساعدك ملخص القصص ذات الصلة على وضع القصة في سياق أوسع للتحليل.

توليد ملخصات القصص بالذكاء الاصطناعي

يتضمن التعمق في القصص مشغلًا يتيح لك إنشاء وصف للقصة بلغة طبيعية يتم إنشاؤه بواسطة الذكاء الاصطناعي، مما يوفر سياق غني ويساعدك على تقييم القصة بسرعة. يتم إنشاء ملخص القصة ديناميكيًا ليعكس الحالة الحالية للقصة. إذا تم تحديث القصة بمعلومات جديدة، يمكنك إعادة إنشاء الملخص ليعكس التغييرات.

  • يتم توليد ملخص القصة بالذكاء الاصطناعي حسب الطلب بواسطة المسؤول

حماية البيانات الحساسة باستخدام الترميز

لتأمين نقل البيانات أثناء إرسال بيانات القصة إلى خدمات الذكاء الاصطناعي التابعة لجهات خارجية، يستخدم Cato الرموز لضمان بقاء جميع البيانات الحساسة في منصة XOps الخاصة بـ Cato. يتضمن ذلك استبدال المعلومات الحساسة بمؤشرات فريدة، أو «رموز»، مما يجعل البيانات بلا معنى للكيانات غير المصرح لها. لا يتم كشف البيانات الحساسة أبدًا إلى خدمات الجهات الخارجية. هذا النهج يضمن سرية تفاصيل القصة، مما يتماشى مع التزامنا بمعايير خصوصية البيانات والأمان القوية.

ملاحظة

ملاحظة: بسبب القيود المتعلقة بالذكاء الاصطناعي التوليدي، قد تحتوي المعلومات المقدمة في ملخصات القصص على أحيانًا على أخطاء.

التحليل العميق ودراسة القصص

تتضمن قصة الكشف والاستجابة ويدجتات لتقييم التهديد المحدد. داخل القصة، يمكنك مراجعة التنبيهات ذات الصلة والأدلة الداعمة مثل العمليات والملفات وقيم السجل والمهام المجدولة ونشاط الشبكة. يتم تقديم هذه الأدلة في أحد الأشكال التالية:

  • شجرة عمليات زمنية تقدم في سياق تنبيه محدد. يساعد هذا في فهم تسلسل الأحداث التي بدت مشبوهة وأثارت التنبيه.

    ملاحظة: قد يكون هذا غير متوفر في بعض القصص بسبب مشاكل في اتصال API.

  • جدول الأدلة الذي يقدم نظرة عامة على الأدلة الخاصة بالقصة. يساعد هذا في تقييم مدى انتشار الأنشطة الخبيثة أو المشبوهة على جهاز النقطة النهائية.

فهم عناصر واجهة عرض القصة

Detection___Response_Story_Overview.png

هذه هي ويدجتات نظرة عامة على القصة:

ملاحظة

ملاحظة: ليس كل ويدجت موجود في كل قصة. تعتمد الويدجتات الموجودة في كل قصة على نوع القصة والبيانات المتاحة.

الاسم الوصف
ملخص القصة

تُظهر النظرة العامة ملخصًا للمعلومات الأساسية حول القصة، بما في ذلك:

  • إشارة للهجوم المكتشف
  • محرك الاكتشاف والاستجابة الذي أنشأ القصة
  • حدة التهديد كما تم تحديدها من قبل المحلل
  • الحكم على التهديد كما تم تحديده من قبل المحلل
  • نوع الهجوم (مثلاً، ملحق متصفح، تطبيق أصلي، ماسح ضوئي، تطبيق ويب)
  • التصنيف التفصيلي للتهديد كما تم تحديده من قبل المحلل (مثلاً، فحص المنافذ، المجال الذي تم تسجيله حديثًا، فحص SMB)
  • عدد الأجهزة المخترقة
  • عدد الإشارات (تدفقات الزيارات) المرتبطة بالهجوم
  • مدة القصة منذ إنشائها
  • حالة القصة

استخدم القائمة المنسدلة الإجراءات واختر إدارة القصة لتغيير إعدادات القصة مثل حكم المحلل، حدة المحلل، الحالة، والتصنيف.

تُوفر علامة التبويب القصص ذات الصلة سياقًا للقصة التي تقوم بالتحقيق فيها من خلال السماح لك سريعًا بمراجعة القصص التي لها نفس المصدر والقصص التي لها خصائص مماثلة تتضمن مصادر مختلفة على شبكتك.
الجدول الزمني للقصة يعرض الجدول الزمني للقصة، مثل التغييرات التي تم إجراؤها على حكم القصة وحدتها، ومتى تم تحديد أهداف جديدة تتعلق بالقصة
التفاصيل

المعلومات الرئيسية لتحليل القصة، بما في ذلك وصف التهديد، وتقنيات ATT&CK® لـ MITRE التي تم تحديدها للتهديد.

  • انقر فوق توليد ملخص AI للحصول على وصف القصة بلغة طبيعية يوفر سياقًا غنيًا ويساعدك على تقييم القصة بسرعة

تشمل التفاصيل الأخرى:

  • الحتمية - النتيجة العامة للمخاطر للقصة كما تم حسابها من خلال خوارزمية تحليل المخاطر الخاصة بـ Cato (القيم تتراوح من 1 - 10)

    يقوم نموذج التعلم الآلي، المعروف باسم الغابة العشوائية، بحساب الحتمية عن طريق تحليل عوامل محددة من استخبارات التهديد (TI) والبيانات الناتجة عن تدفقات الشبكة والأحداث.

    الغابة العشوائية هي نوع من نماذج التعلم الآلي التي تجمع بين نتائج العديد من "أشجار القرار" الصغيرة لتحسين الدقة والموثوقية. إنه مفيد بشكل خاص في تقييم البيانات المعقدة متعددة العوامل مثل التهديدات الأمنية.

    لتقييم الحتمية، يأخذ النموذج في الاعتبار عوامل مهمة مثل:

    • نوع نظام التشغيل
    • شعبية النطاق ضمن Cato
    • تصنيف العميل
    • نوع محرك الأمن الذي ينشئ الأحداث (إذا كان ذا صلة)
    • الإجراءات المتخذة (قف، راقب، إلخ)
    • تقنيات MITRE
    • موقع IP
    • بيانات Whois

    بإجمالي، يُقيّم النموذج أكثر من 40 عاملاً لضمان تقييم شاملاً ودقيقًا لحتمية القصة.

  • الحكم المتوقع والنوع المتوقع بناءً على توقعات التعلم الآلي للحكم المحتمل ونوع البرمجيات الخبيثة المحتمل تحديده. تحلل خوارزميات التعلم الآلي الأحكام النهائية للقصص المشابهة

للمزيد حول إطار عمل ATT&CK® لـ MITRE، انظر استخدام لوحة معلومات ATT&CK® لـ MITRE.

  • انقر على تقنية ATT&CK® لـ MITRE لقراءة وصفها على موقع MITRE ATT&CK®
الكيانات الكيانات التي حدثت فيها القصص. قد تكون هذه الكيانات مستخدمين، مواقع، مخازن بيانات، تطبيقات، إلخ.
التنبيهات/الحوادث/الاكتشافات

يعرض تفاصيل للتنبيهات المتعلقة بالقصة.

  • قم بتوسيع تنبيه لعرض شجرة العمليات الزمنية للأدلة المتعلقة بالتنبيه، بما في ذلك العمليات والملفات وقيم السجل
  • انقر على عنصر في شجرة العمليات للتعمق أكثر وعرض البيانات التفصيلية حول الدليل

هذه هي الأعمدة الموجودة في الجدول:

  • وصف للنشاط المشبوه
  • الأهمية - درجة المخاطرة الإجمالية للتنبيه كما تم حسابها بواسطة خوارزمية تحليل المخاطر للتعلم الآلي في Cato (القيم من 1 - 10)

  • تقنيات MITRE - تقنيات MITRE ATT&CK® المحددة للتهديد

    لمزيد من المعلومات عن إطار عمل MITRE ATT&CK®، راجع استخدام لوحة معلومات MITRE ATT&CK®.

  • الحالة - يُظهر ما إذا كان التنبيه جديدًا أو تم حله بالفعل
  • تاريخ أول نشاط - تاريخ النشاط المشبوه الأول الذي تم اكتشافه للتنبيه
  • تاريخ آخر نشاط - تاريخ النشاط المشبوه الأخير الذي تم اكتشافه للتنبيه
  • اسم التهديد - اسم البرمجيات الخبيثة المكتشفة. على سبيل المثال: Trojan:Win32/Startpage
  • الوصف والإجراءات الموصى بها - انقر على عرض للحصول على وصف موجز للتنبيه وخطوات موصى بها للتحقيق والتخفيف من التهديد
  • الهدف - عنوان URL المطلوب في التنبيه
  • عنوان IP الوجهة - عنوان IP البعيد المتورط في القصة
أدلة

يجمّع تفاصيل لكل العمليات والملفات وقيم التسجيل المحددة في الأدلة للقصص المختلفة للتنبيهات.

بعض الأعمدة في جدول الأدلة مشتركة بين جميع أنواع الأدلة، وبعضها خاص لكل نوع.

هذه هي الأعمدة التي تظهر لجميع أنواع الأدلة:

  • الحكم - الحكم الذي تم إنشاؤه بواسطة المدافع للقطعة من الأدلة (خبيث, مشبوه, لم يتم العثور على تهديدات)
  • حالة الاسترداد - يعرض ما إذا كان التهديد قد تم استرداده
  • تم الإنشاء - تاريخ ووقت تسجيل الحدث

هذه هي الأعمدة الخاصة بكل نوع من أنواع الأدلة:

  • العمليات:

    • اسم العملية - اسم الملف القابل للتنفيذ للعملية
    • معرف العملية - رقم الهوية المعين من Windows للعملية
    • سطر أوامر العملية - الوسيطات التي تم تمريرها للعملية في Windows. يمكن أن يكشف هذا عن سياق مهم بشأن تنفيذ عملية مشبوهة
    • مسار الملف - موقع الملف القابل للتنفيذ للعملية على جهاز نقطة النهاية

  • الملفات:

    • مسار الملف - موقع الملف على جهاز نقطة النهاية
    • اسم الملف - اسم الملف بما في ذلك الامتداد
    • حجم الملف - حجم الملف بالبايت أو الكيلوبايت أو الميجابايت

  • السجل:

    • اسم مفتاح السجل
    • نوع قيمة السجل - صيغة البيانات المخزنة في قيمة السجل
    • قيمة السجل - قيمة إدخال السجل
موقع جغرافي للهجوم يعرض الموقع الجغرافي للمصادر داخل شبكتك (المواقع البرتقالية) والمصادر الخارجية (المواقع الحمراء) المتعلقة بالتهديد. الأسهم التي تربط المصادر تشير إلى اتجاه الحركة
إجراءات الهدف

الأحداث المتعلقة بكل هدف، بما في ذلك المعلومات التالية:

عمود وصف
هدف المجالات أو عناوين IP للمصادر الخارجية المحددة في تدفقات الحركة المتعلقة بالقصة
نوع محرك الأمان الذي أنشأ الأحداث المتعلقة بالهدف
إجراء الإجراء المتخذ على الحركة المتعلقة بالهدف
أحداث ذات صلة

يظهر توقيعات التهديد التي تظهر في الأحداث المتعلقة بالهدف.

  • قم بتمرير الماوس فوق التوقيع لعرض ملخص سجل الأحداث
  • انقر فوق التوقيع لفتح صفحة الأحداث التي تمت تصفيتها مسبقًا للعلامة
توزيع الهجوم

توزيع الوقت للتدفقات المتعلقة بالهجوم.

  • لتسهيل قراءة الرسوم البيانية، في الأهداف، انقر على هدف لإخفاء تلك البيانات من الرسم البياني
  • لعرض تفاصيل الهجوم، قم بتمرير الماوس فوق الرسم البياني
الأهداف

يعرض البيانات للمصادر المحتملة الخبيثة خارج موقع شبكتك المتعلقة بالقصة.

عمود وصف
تاريخ الإنشاء تاريخ تسجيل النطاق المستهدف
هدف المجالات أو عناوين IP للمصادر الخارجية المحددة في تدفقات الحركة المتعلقة بالقصة
روابط الهدف

روابط للبحث عن الهدف في مصادر استخبارات التهديدات الخارجية المختلفة.

لمزيد من المعلومات، انقر على رمز VirusTotal، أو اختر موارد أخرى من القائمة المنسدلة.
درجة الخبث درجة خبث الهدف وفقًا لخوارزميات الاستخبارات التهديدية من كاتو. تتراوح الدرجات من 0 (آمن) إلى 1 (خبيث)
شعبية كيف يظهر الهدف بشكل متكرر في مصادر بيانات كاتو الداخلية. القيم هي: غير شعبي، منخفض، متوسط، مرتفع
الفئات فئات كاتو الخاصة بالنطاق المستهدف
مصادر التهديد عدد مصادر استخبارات التهديدات من كاتو التي اكتشفت الهدف كخبيث
المحركات عدد محركات الأمان التابعة لجهات خارجية التي اكتشفت الهدف كخبيث
بلد المسجل البلد الذي سُجل فيه النطاق المستهدف
نتائج بحث جوجل عدد نتائج بحث جوجل للهدف
الأنماط المتعلقة بالهجوم

يعرض بيانات لعينة تمثيلية من الأحداث المتعلقة بالهجوم.

عمود وصف
هدف النطاق المستهدف أو IP لتدفق الاتصال ذو الصلة
وقت البدء الطابع الزمني لبداية التدفق
الاتجاه

اتجاه التدفق. تشمل الاتجاهات:

  • وارد - حركة مرور إلى شبكتك مصدرها خارجي
  • صادر - حركة مرور من شبكتك إلى مصدر خارجي
  • عابر عبر الشبكة الواسعة - حركة مرور من شبكتك إلى موقع آخر على شبكتك
IP المصدر عنوان IP المصدر في شبكتك الذي يرسل أو يستقبل التدفق
منفذ المصدر منفذ المصدر في شبكتك الذي يرسل أو يستقبل التدفق
IP الوجهة عنوان IP الخارجي المستهدف الذي يرسل أو يستقبل التدفق
منفذ الوجهة المنفذ الخاص بالهدف الخارجي الذي يرسل أو يستقبل التدفق
طريقة طريقة HTTP في التدفق (GET، POST، وما إلى ذلك)
عنوان URL كامل عنوان URL الكامل للموارد الخارجية في التدفق
عميل نوع تطبيقات العميل التي تعمل على نظام التشغيل الذي أنشأ تدفق الشبكة هذا (على سبيل المثال، Chrome)
تطبيق كاتو تطبيق كاتو المستخدم في التدفق
بلد الوجهة موقع IP الوجهة في التدفق
استجابة DNS IP عنوان IP الذي تم إرجاعه بواسطة البحث في DNS

أحداث تسجيل الدخول

(يتطلب هذا الواجهة توصيل معرف Microsoft Entra)

الرسوم البيانية حسب تفصيل البيانات من أحداث تسجيل الدخول للمستخدم من يوم التنبيه بالإضافة إلى اليومين السابقين. استخدم القائمة المنسدلة لاختيار نوع البيانات المعروضة على الرسوم البيانية. هذه هي الخيارات:

  • IP المصدر - عنوان IP للمصدر المكتشف في حدث تسجيل الدخول
  • موقع تسجيل الدخول - الموقع الجغرافي الذي تم منه إجراء تسجيل الدخول
  • تصنيف العميل - نوع العميل المستخدم لتسجيل الدخول (على سبيل المثال، اسم المتصفح وإصداره)

  • وكيل المستخدم - وكيل المستخدم المستخدم في تسجيل الدخول كما يظهر في حقل وكيل المستخدم في رأس HTTP للمرور. هذه أمثلة لقيم وكيل المستخدم:

    • Chrome/90.0.4430.212
    • Safari/537.36
    • Mozilla/5.0 (Windows NT 10.0; Win64; x64)
  • نوع نظام التشغيل - نوع نظام التشغيل على الجهاز المستخدم لتسجيل الدخول (على سبيل المثال، Windows، macOS)
  • إصدار نظام التشغيل - رقم الإصدار لنظام التشغيل على الجهاز المستخدم لتسجيل الدخول

أحداث تسجيل الدخول على المستخدم

(يتطلب هذا المكون الإضافي موصل Microsoft Entra ID)

يُظهر البيانات من أحداث تسجيل الدخول الخاصة بالمستخدم من يوم التنبيه واليومين السابقين.

هذه هي الأعمدة في الجدول:

  • الوقت لحدث تسجيل الدخول
  • اسم المستخدم لتسجيل الدخول
  • IP المصدر - عنوان IP للمصدر المكتشف في حدث تسجيل الدخول
  • موقع تسجيل الدخول - الموقع الجغرافي الذي تم منه إجراء تسجيل الدخول
  • الإجراء - نتيجة محاولة تسجيل الدخول (القيم: فشل، نجح، تم رفض الوصول)
  • سبب الفشل - تفسير لنتائج تسجيل الدخول عندما تكون فشلت أو تم رفض الوصول
  • التطبيق - التطبيق الذي حاول المستخدم تسجيل الدخول إليه
  • تصنيف العميل - نوع العميل المستخدم لتسجيل الدخول (على سبيل المثال، اسم المتصفح وإصداره)
  • نوع نظام التشغيل - نوع نظام التشغيل على الجهاز المستخدم لتسجيل الدخول (على سبيل المثال، Windows، macOS)
  • إصدار نظام التشغيل - رقم الإصدار لنظام التشغيل على الجهاز المستخدم لتسجيل الدخول

  • وكيل المستخدم - وكيل المستخدم المستخدم في تسجيل الدخول كما يظهر في حقل وكيل المستخدم في رأس HTTP للمرور. هذه أمثلة لقيم وكيل المستخدم:

    • Chrome/90.0.4430.212
    • Safari/537.36
    • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

فهم ملخص القصص ذات الصلة

XDR_Related_Stories.png

يوفر ملخص القصص ذات الصلة سياقًا للقصة التي تحقق فيها من خلال السماح لك بمراجعة القصص بسرعة مع نفس المصدر والقصص ذات الخصائص المماثلة التي تتضمن مصادر مختلفة على شبكتك. يعرض الملخص التفاصيل الرئيسية لكل قصة ذات صلة، ويسمح لك بسهولة فتح لوحة عمل القصص المصفاة مسبقًا للقصص ذات الصلة أو صفحة قصة الكشف والاستجابة لقصة محددة ذات صلة.

هذه هي الجداول في ملخص القصص ذات الصلة:

  • يسمح لك جدول أفضل القصص المشابهة برؤية سريعة إذا تم إشراك مصادر أخرى في شبكتك في قصص ذات خصائص مشابهة لهذه القصة التي تحقق فيها، مثل نفس المؤشر أو الهدف. يُظهر هذا الجدول ما يصل إلى أعلى 5 قصص مشابهة حسب درجة تشابه الأهداف. الجدول غير مقيد بفترة زمنية محددة.
  • يُظهر جدول القصص على المصدر جميع القصص التي تم إنشاؤها بواسطة المصدر في هذه القصة ضمن النطاق الزمني المحدد. النطاق الزمني الافتراضي هو آخر أسبوعين. هذا يتيح لك تقييم السياق الأوسع للنشاط لهذا المصدر. على سبيل المثال، يمكن لهذا المساعدة في تحديد ما إذا كان السلوك في هذه القصة غير معتاد أو نمطي لهذا المصدر المحدد.

يمكن تنفيذ الإجراءات التالية في كلا الجدولين:

  • انقر فوق عرض في لوحة العمل لفتح لوحة عمل القصص المصفاة مسبقًا لعرض القصص في الجدول
  • انقر في صف القصة لفتح صفحة قصة الكشف والاستجابة لتلك القصة

هذه هي الأعمدة في جداول القصص ذات الصلة:

  • وقت الإنشاء - وقت إنشاء القصة
  • آخر تحديث - وقت آخر تحديث للقصة، مثل هدف جديد أو تغيير الحكم

  • المؤشر - مؤشر الهجوم للقصة. للمزيد عن المؤشرات، انظر استخدام كتالوج المؤشرات

    • انقر على Open_in_New_Tab.png لفتح صفحة قصة الاكتشاف والاستجابة لهذه القصة في علامة تبويب جديدة
    • انقر على Tooltip_icon.png لمزيد من المعلومات حول الإشارة
  • المصدر - عنوان IP، اسم الجهاز، أو مستخدم SDP على شبكتك مشارك في القصة
  • تشابه الأهداف (للأعلى القصص المشابهة فقط) - مستوى تشابه الأهداف المشتركة مع القصة التي يتم التحقيق فيها، كما تم حسابه بواسطة نموذج تعلم الآلة (مشار إليه بواسطة نسبة مئوية)
  • الأهداف المشتركة (للأعلى القصص المشابهة فقط) - عناوين URL أو IP للأهداف المشتركة مع القصة التي يتم التحقيق فيها
  • الأهمية - تحليل المخاطر الخاص بـ Cato للقصة (القيم من 1 (خطر منخفض) - 10 (خطر مرتفع))

  • حالة القصة - القيم تشمل:

    • مفتوحة - تم إنشاء القصة ولم تُحل
    • معلقة العميل - تم إرسال القصة إلى العميل وتنتظر الرد منهم
    • معلقة المحلل - تنتظر المزيد من المعلومات من محللي الأمن
    • مغلقة - أغلق محللو الأمن القصة
    • أعيد فتحها - اكتشف XOps منتجون مرورًا جديدًا يتطابق مع قصة مغلقة، وأعادوا فتح القصة تلقائيًا لتمكين مراجعة إضافية. يتم إعادة فتح القصص للمرور المكتشف بعد 12 ساعة أو أكثر بعد إغلاق القصة لأول مرة. في غضون 12 ساعة لا يتم إعادة فتح القصة للسماح بالتعامل مع القصة من خلال التخفيف أو التهدئة
  • حكم المحلل - الحكم المعين للقصة من قبل المحلل
  • تصنيف المحلل - تصنيف مفصل لنوع التهديد كما تم تعريفه بواسطة المحلل

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات