التعمق وتحليل قصص أمان XOps

تتناول هذه المقالة كيفية استخدام صفحة قصة الكشف والاستجابة لتحليل القصص للتهديدات المحتملة في حسابك.

نظرة عامة

يمكنك النقر على قصة في مشغل قصص القصص للتعمق والتحقيق في التفاصيل في صفحة قصة الكشف والاستجابة. تحتوي هذه الصفحة على نظرة عامة على القصة وملخص للقصص ذات الصلة. تحتوي النظرة العامة على عدد من الويدجتات التي تساعدك على تقييم التهديد المحتمل المحدد بواسطة محركات XOps، بينما يساعدك ملخص القصص ذات الصلة على وضع القصة في سياق أوسع للتحليل.

إنشاء ملخصات قصص بواسطة الذكاء الاصطناعي

يتضمن التعمق في القصص مشغلًا يتيح لك إنشاء وصف للقصة بلغة طبيعية يتم إنشاؤه بواسطة الذكاء الاصطناعي، مما يوفر سياق غني ويساعدك على تقييم القصة بسرعة. يتم إنشاء ملخص القصة ديناميكيًا ليعكس الحالة الحالية للقصة. إذا تم تحديث القصة بمعلومات جديدة، يمكنك إعادة إنشاء الملخص ليعكس التغييرات.

  • يتم إنشاء ملخص الذكاء الاصطناعي فقط عند الطلب بواسطة المشرف

حماية البيانات الحساسة باستخدام الرموز

لتأمين نقل البيانات أثناء إرسال بيانات القصة إلى خدمات الذكاء الاصطناعي التابعة لجهات خارجية، يستخدم Cato الرموز لضمان بقاء جميع البيانات الحساسة في منصة XOps الخاصة بـ Cato. يتضمن ذلك استبدال المعلومات الحساسة بمؤشرات فريدة، أو «رموز»، مما يجعل البيانات بلا معنى للكيانات غير المصرح لها. لا يتم كشف البيانات الحساسة أبدًا إلى خدمات الجهات الخارجية. هذا النهج يضمن سرية تفاصيل القصة، مما يتماشى مع التزامنا بمعايير خصوصية البيانات والأمان القوية.

ملاحظة

ملاحظة: بسبب القيود المتعلقة بالذكاء الاصطناعي التوليدي، قد تحتوي المعلومات المقدمة في ملخصات القصص على أحيانًا على أخطاء.

التعمق في تحليل القصص

تتضمن قصة الكشف والاستجابة ويدجتات لتقييم التهديد المحدد. داخل القصة، يمكنك مراجعة التنبيهات ذات الصلة والأدلة الداعمة مثل العمليات والملفات وقيم السجل والمهام المجدولة ونشاط الشبكة. يتم تقديم هذه الأدلة في أحد الأشكال التالية:

  • شجرة عمليات زمنية تقدم في سياق تنبيه محدد. يساعد هذا في فهم تسلسل الأحداث التي بدت مشبوهة وأثارت التنبيه.

    ملاحظة: قد يكون هذا غير متوفر في بعض القصص بسبب مشاكل في اتصال API.

  • يوفر جدول الأدلة نظرة عامة على الأدلة الخاصة بالقصة. يساعد هذا على تقييم مدى انتشار الأنشطة الخبيثة أو المشبوهة المحددة على جهاز النقطة النهائية بشكل أوسع.

فهم ويدجتات نظرة عامة على القصة

Detection___Response_Story_Overview.png

هذه هي ويدجتات نظرة عامة على القصة:

ملاحظة

ملاحظة: ليس كل ويدجت موجود في كل قصة. تعتمد الويدجتات الموجودة في كل قصة على نوع القصة والبيانات المتاحة.

الاسم

الوصف

ملخص القصة

تُظهر نظرة عامة ملخصًا للمعلومات الأساسية عن القصة، بما في ذلك:

  • مؤشر للهجوم المكتشف

  • المحرك الذي أنشأ القصة للكشف والاستجابة

  • شدة التهديد كما يحددها المحلل

  • الحكم على التهديد كما يحددها المحلل

  • نوع الهجوم (على سبيل المثال، توسيع المتصفح، التطبيق الأصلي، الماسح الضوئي، تطبيق الويب)

  • التصنيف التفصيلي للتهديد كما يحددها المحلل (على سبيل المثال، فحص المنافذ، تسجيل النطاق الجديد، فحص SMB)

  • عدد الأجهزة المخترقة

  • عدد الإشارات (تدفقات حركة المرور) المرتبطة بالهجوم

  • مدة القصة منذ إنشائها

  • حالة القصة

    استخدم قائمة الإجراءات المنسدلة واختر إدارة القصة لتغيير إعدادات القصة مثل الحكم على المحلل، شدة المحلل، الحالة، والتصنيف.

    يوفر علامة التبويب قصص ذات صلة السياق للقصة التي تحقق فيها من خلال السماح لك بمراجعة سريعة للقصص التي لها نفس المصدر والقصص التي لها خصائص مشابهة تتضمن مصادر مختلفة على شبكتك.

    الجدول الزمني للقصة

    يُظهر الجدول الزمني للقصة، مثل التغييرات التي أجريت على حكم وشدة القصة، ومتى يتم التعرف على أهداف جديدة تتعلق بالقصة

    التفاصيل

    معلومات رئيسية لتحليل القصة، تشمل وصف التهديد، وتقنيات MITRE ATT&CK® المحددة للتهديد.

    • انقر فوق إنشاء ملخص بواسطة الذكاء الاصطناعي للحصول على وصف للقصة بلغة طبيعية الذي يوفر سياق غني ويساعدك على تقييم القصة بسرعة

    تشمل التفاصيل الأخرى:

    • الأهمية - درجة المخاطرة الإجمالية للقصة كما تم حسابها بواسطة خوارزمية تحليل المخاطر للتعلم الآلي في Cato (القيم من 1 - 10)

      نموذج التعلم الآلي هذا، المعروف بالغابة العشوائية، يحسب الأهمية بواسطة تحليل معلمات محددة من استخبارات التهديد (TI) والبيانات الناتجة عن تدفقات الشبكة والأحداث.

      الغابة العشوائية هي نوع من نموذج التعلم الآلي الذي يجمع النتائج من العديد من "أشجار القرار" الأصغر لتحسين الدقة والموثوقية. إنها مفيدة بشكل خاص لتقييم البيانات المعقدة المتعددة العوامل مثل التهديدات الأمنية.

      لتقييم الأهمية، يأخذ النموذج في الاعتبار عوامل مهمة مثل:

      • نوع نظام التشغيل

      • شعبية النطاق ضمن Cato

      • تصنيف العميل

      • نوع محرك الأمان الذي ينشئ الأحداث (إذا كان مرتبطًا)

      • الإجراء المتخذ (الكتلة، الرصد، إلخ)

      • تقنيات MITRE

      • موقع IP

      • بيانات WHOIS

      إجمالًا، يقيم النموذج أكثر من 40 معلمة لضمان تقييم شامل ودقيق لأهمية القصة.

    • الحكم المتوقع والنوع المتوقع بناءً على تنبؤات التعلم الآلي لحكم محتمل ونوع البرمجيات الخبيثة المحتمل الذي قد تحدده. تحلل خوارزميات التعلم الآلي الأحكام النهائية للقصص المشابهة

    لمزيد من المعلومات عن إطار عمل MITRE ATT&CK®، راجع استخدام لوحة معلومات MITRE ATT&CK®.

    • انقر على تقنية MITRE ATT&CK® لقراءة وصفها على موقع MITRE ATT&CK®

    المصدر

    معلومات أساسية عن المستخدم والأجهزة في شبكتك المتأثرة بالتهديد

    التنبيهات/الحوادث/الاكتشافات

    يعرض تفاصيل للتنبيهات المتعلقة بالقصة.

    • قم بتوسيع تنبيه لعرض شجرة العمليات الزمنية للأدلة المتعلقة بالتنبيه، بما في ذلك العمليات والملفات وقيم السجل

    • انقر على عنصر في شجرة العمليات للتعمق أكثر وعرض البيانات التفصيلية حول الدليل

    هذه هي الأعمدة الموجودة في الجدول:

    • وصف للنشاط المشبوه

    • الأهمية - درجة المخاطرة الإجمالية للتنبيه كما تم حسابها بواسطة خوارزمية تحليل المخاطر للتعلم الآلي في Cato (القيم من 1 - 10)

    • تقنيات MITRE - تقنيات MITRE ATT&CK® المحددة للتهديد

      لمزيد من المعلومات عن إطار عمل MITRE ATT&CK®، راجع استخدام لوحة معلومات MITRE ATT&CK®.

    • الحالة - يُظهر ما إذا كان التنبيه جديدًا أو تم حله بالفعل

    • تاريخ أول نشاط - تاريخ النشاط المشبوه الأول الذي تم اكتشافه للتنبيه

    • تاريخ آخر نشاط - تاريخ النشاط المشبوه الأخير الذي تم اكتشافه للتنبيه

    • اسم التهديد - اسم البرمجيات الخبيثة المكتشفة. على سبيل المثال: Trojan:Win32/Startpage

    • الوصف والإجراءات الموصى بها - انقر على عرض للحصول على وصف موجز للتنبيه وخطوات موصى بها للتحقيق والتخفيف من التهديد

    • الهدف - عنوان URL المطلوب في التنبيه

    • عنوان IP الوجهة - عنوان IP البعيد المتورط في القصة

    أدلة

    يجمّع تفاصيل لكل العمليات والملفات وقيم التسجيل المحددة في الأدلة للقصص المختلفة للتنبيهات.

    بعض الأعمدة في جدول الأدلة مشتركة بين جميع أنواع الأدلة، وبعضها خاص لكل نوع.

    هذه هي الأعمدة التي تظهر لجميع أنواع الأدلة:

    • الحكم - الحكم الذي تم إنشاؤه بواسطة المدافع للقطعة من الأدلة (خبيث, مشبوه, لم يتم العثور على تهديدات)

    • حالة الاسترداد - يعرض ما إذا كان التهديد قد تم استرداده

    • تم الإنشاء - تاريخ ووقت تسجيل الحدث

    هذه هي الأعمدة الخاصة بكل نوع من أنواع الأدلة:

    • العمليات:

      • اسم العملية - اسم الملف القابل للتنفيذ للعملية

      • معرف العملية - رقم الهوية المعين من Windows للعملية

      • سطر أوامر العملية - الوسيطات التي تم تمريرها للعملية في Windows. يمكن أن يكشف هذا عن سياق مهم بشأن تنفيذ عملية مشبوهة

      • مسار الملف - موقع الملف القابل للتنفيذ للعملية على جهاز نقطة النهاية

    • الملفات:

      • مسار الملف - موقع الملف على جهاز نقطة النهاية

      • اسم الملف - اسم الملف بما في ذلك الامتداد

      • حجم الملف - حجم الملف بالبايت أو الكيلوبايت أو الميجابايت

    • السجل:

      • اسم مفتاح السجل

      • نوع قيمة السجل - صيغة البيانات المخزنة في قيمة السجل

      • قيمة السجل - قيمة إدخال السجل

    موقع جغرافي للهجوم

    يعرض الموقع الجغرافي للمصادر داخل شبكتك (المواقع البرتقالية) والمصادر الخارجية (المواقع الحمراء) المتعلقة بالتهديد. الأسهم التي تربط المصادر تشير إلى اتجاه الحركة

    إجراءات الهدف

    الأحداث المتعلقة بكل هدف، بما في ذلك المعلومات التالية:

    عمود

    وصف

    هدف

    المجالات أو عناوين IP للمصادر الخارجية المحددة في تدفقات الحركة المتعلقة بالقصة

    نوع

    محرك الأمان الذي أنشأ الأحداث المتعلقة بالهدف

    إجراء

    الإجراء المتخذ على الحركة المتعلقة بالهدف

    أحداث ذات صلة

    يظهر توقيعات التهديد التي تظهر في الأحداث المتعلقة بالهدف.

    • قم بتمرير الماوس فوق التوقيع لعرض ملخص سجل الأحداث

    • انقر فوق التوقيع لفتح صفحة الأحداث التي تمت تصفيتها مسبقًا للعلامة

    توزيع الهجوم

    توزيع الوقت للتدفقات المتعلقة بالهجوم.

    • لتسهيل قراءة الرسوم البيانية، في الأهداف، انقر على هدف لإخفاء تلك البيانات من الرسم البياني

    • لعرض تفاصيل الهجوم، قم بتمرير الماوس فوق الرسم البياني

    الأهداف

    يعرض البيانات للمصادر المحتملة الخبيثة خارج موقع شبكتك المتعلقة بالقصة.

    عمود

    وصف

    تاريخ الإنشاء

    تاريخ تسجيل النطاق المستهدف

    هدف

    المجالات أو عناوين IP للمصادر الخارجية المحددة في تدفقات الحركة المتعلقة بالقصة

    روابط الهدف

    روابط للبحث عن الهدف في مصادر استخبارات التهديدات الخارجية المختلفة.

    لمزيد من المعلومات، انقر على رمز VirusTotal، أو اختر موارد أخرى من القائمة المنسدلة.

    درجة الخبث

    درجة خبث الهدف وفقًا لخوارزميات الاستخبارات التهديدية من كاتو. تتراوح الدرجات من 0 (آمن) إلى 1 (خبيث)

    شعبية

    كيف يظهر الهدف بشكل متكرر في مصادر بيانات كاتو الداخلية. القيم هي: غير شعبي، منخفض، متوسط، مرتفع

    الفئات

    فئات كاتو الخاصة بالنطاق المستهدف

    مصادر التهديد

    عدد مصادر استخبارات التهديدات من كاتو التي اكتشفت الهدف كخبيث

    المحركات

    عدد محركات الأمان التابعة لجهات خارجية التي اكتشفت الهدف كخبيث

    بلد المسجل

    البلد الذي سُجل فيه النطاق المستهدف

    نتائج بحث جوجل

    عدد نتائج بحث جوجل للهدف

    الأنماط المتعلقة بالهجوم

    يعرض بيانات لعينة تمثيلية من الأحداث المتعلقة بالهجوم.

    عمود

    وصف

    هدف

    النطاق المستهدف أو IP لتدفق الاتصال ذو الصلة

    وقت البدء

    الطابع الزمني لبداية التدفق

    الاتجاه

    اتجاه التدفق. تشمل الاتجاهات:

    • وارد - حركة مرور إلى شبكتك مصدرها خارجي

    • صادر - حركة مرور من شبكتك إلى مصدر خارجي

    • عابر عبر الشبكة الواسعة - حركة مرور من شبكتك إلى موقع آخر على شبكتك

    IP المصدر

    عنوان IP المصدر في شبكتك الذي يرسل أو يستقبل التدفق

    منفذ المصدر

    منفذ المصدر في شبكتك الذي يرسل أو يستقبل التدفق

    IP الوجهة

    عنوان IP الخارجي المستهدف الذي يرسل أو يستقبل التدفق

    منفذ الوجهة

    المنفذ الخاص بالهدف الخارجي الذي يرسل أو يستقبل التدفق

    طريقة

    طريقة HTTP في التدفق (GET، POST، وما إلى ذلك)

    عنوان URL كامل

    عنوان URL الكامل للموارد الخارجية في التدفق

    عميل

    نوع تطبيقات العميل التي تعمل على نظام التشغيل الذي أنشأ تدفق الشبكة هذا (على سبيل المثال، Chrome)

    تطبيق كاتو

    تطبيق كاتو المستخدم في التدفق

    بلد الوجهة

    موقع IP الوجهة في التدفق

    استجابة DNS IP

    عنوان IP الذي تم إرجاعه بواسطة البحث في DNS

    أحداث تسجيل الدخول

    (يتطلب هذا الواجهة توصيل معرف Microsoft Entra)

    الرسوم البيانية حسب تفصيل البيانات من أحداث تسجيل الدخول للمستخدم من يوم التنبيه بالإضافة إلى اليومين السابقين. استخدم القائمة المنسدلة لاختيار نوع البيانات المعروضة على الرسوم البيانية. هذه هي الخيارات:

    • IP المصدر - عنوان IP للمصدر المكتشف في حدث تسجيل الدخول

    • موقع تسجيل الدخول - الموقع الجغرافي الذي تم منه إجراء تسجيل الدخول

    • تصنيف العميل - نوع العميل المستخدم لتسجيل الدخول (على سبيل المثال، اسم المتصفح وإصداره)

    • وكيل المستخدم - وكيل المستخدم المستخدم في تسجيل الدخول كما يظهر في حقل وكيل المستخدم في رأس HTTP للمرور. هذه أمثلة لقيم وكيل المستخدم:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • نوع نظام التشغيل - نوع نظام التشغيل على الجهاز المستخدم لتسجيل الدخول (على سبيل المثال، Windows، macOS)

    • إصدار نظام التشغيل - رقم الإصدار لنظام التشغيل على الجهاز المستخدم لتسجيل الدخول

    أحداث تسجيل الدخول على المستخدم

    (يتطلب هذا المكون الإضافي موصل Microsoft Entra ID)

    يُظهر البيانات من أحداث تسجيل الدخول الخاصة بالمستخدم من يوم التنبيه واليومين السابقين.

    هذه هي الأعمدة في الجدول:

    • الوقت لحدث تسجيل الدخول

    • اسم المستخدم لتسجيل الدخول

    • IP المصدر - عنوان IP للمصدر المكتشف في حدث تسجيل الدخول

    • موقع تسجيل الدخول - الموقع الجغرافي الذي تم منه إجراء تسجيل الدخول

    • الإجراء - نتيجة محاولة تسجيل الدخول (القيم: فشل، نجح، تم رفض الوصول)

    • سبب الفشل - تفسير لنتائج تسجيل الدخول عندما تكون فشلت أو تم رفض الوصول

    • التطبيق - التطبيق الذي حاول المستخدم تسجيل الدخول إليه

    • تصنيف العميل - نوع العميل المستخدم لتسجيل الدخول (على سبيل المثال، اسم المتصفح وإصداره)

    • نوع نظام التشغيل - نوع نظام التشغيل على الجهاز المستخدم لتسجيل الدخول (على سبيل المثال، Windows، macOS)

    • إصدار نظام التشغيل - رقم الإصدار لنظام التشغيل على الجهاز المستخدم لتسجيل الدخول

    • وكيل المستخدم - وكيل المستخدم المستخدم في تسجيل الدخول كما يظهر في حقل وكيل المستخدم في رأس HTTP للمرور. هذه أمثلة لقيم وكيل المستخدم:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    فهم ملخص القصص ذات الصلة

    XDR_Related_Stories.png

    يوفر ملخص القصص ذات الصلة سياقًا للقصة التي تحقق فيها من خلال السماح لك بمراجعة القصص بسرعة مع نفس المصدر والقصص ذات الخصائص المماثلة التي تتضمن مصادر مختلفة على شبكتك. يعرض الملخص التفاصيل الرئيسية لكل قصة ذات صلة، ويسمح لك بسهولة فتح لوحة عمل القصص المصفاة مسبقًا للقصص ذات الصلة أو صفحة قصة الكشف والاستجابة لقصة محددة ذات صلة.

    هذه هي الجداول في ملخص القصص ذات الصلة:

    • يسمح لك جدول أفضل القصص المشابهة برؤية سريعة إذا تم إشراك مصادر أخرى في شبكتك في قصص ذات خصائص مشابهة لهذه القصة التي تحقق فيها، مثل نفس المؤشر أو الهدف. يُظهر هذا الجدول ما يصل إلى أعلى 5 قصص مشابهة حسب درجة تشابه الأهداف. الجدول غير مقيد بفترة زمنية محددة.

    • يُظهر جدول القصص على المصدر جميع القصص التي تم إنشاؤها بواسطة المصدر في هذه القصة ضمن النطاق الزمني المحدد. النطاق الزمني الافتراضي هو آخر أسبوعين. هذا يتيح لك تقييم السياق الأوسع للنشاط لهذا المصدر. على سبيل المثال، يمكن لهذا المساعدة في تحديد ما إذا كان السلوك في هذه القصة غير معتاد أو نمطي لهذا المصدر المحدد.

    يمكن تنفيذ الإجراءات التالية في كلا الجدولين:

    • انقر فوق عرض في لوحة العمل لفتح لوحة عمل القصص المصفاة مسبقًا لعرض القصص في الجدول

    • انقر في صف القصة لفتح صفحة قصة الكشف والاستجابة لتلك القصة

    هذه هي الأعمدة في جداول القصص ذات الصلة:

    • وقت الإنشاء - وقت إنشاء القصة

    • آخر تحديث - وقت آخر تحديث للقصة، مثل هدف جديد أو تغيير الحكم

    • المؤشر - مؤشر الهجوم للقصة. للمزيد عن المؤشرات، انظر استخدام كتالوج المؤشرات

      • انقر Open_in_New_Tab.png لفتح صفحة قصّة الكشف والاستجابة لهذه القصّة في علامة تبويب جديدة

      • انقر Tooltip_icon.png لمزيد من المعلومات حول المؤشر

    • المصدر - عنوان IP، اسم الجهاز، أو مستخدم SDP على شبكتك مشارك في القصة

    • تشابه الأهداف (للأعلى القصص المشابهة فقط) - مستوى تشابه الأهداف المشتركة مع القصة التي يتم التحقيق فيها، كما تم حسابه بواسطة نموذج تعلم الآلة (مشار إليه بواسطة نسبة مئوية)

    • الأهداف المشتركة (للأعلى القصص المشابهة فقط) - عناوين URL أو IP للأهداف المشتركة مع القصة التي يتم التحقيق فيها

    • الأهمية - تحليل المخاطر الخاص بـ Cato للقصة (القيم من 1 (خطر منخفض) - 10 (خطر مرتفع))

    • حالة القصة - القيم تشمل:

      • مفتوحة - تم إنشاء القصة ولم تُحل

      • معلقة العميل - تم إرسال القصة إلى العميل وتنتظر الرد منهم

      • معلقة المحلل - تنتظر المزيد من المعلومات من محللي الأمن

      • مغلقة - أغلق محللو الأمن القصة

      • أعيد فتحها - اكتشف XOps منتجون مرورًا جديدًا يتطابق مع قصة مغلقة، وأعادوا فتح القصة تلقائيًا لتمكين مراجعة إضافية. يتم إعادة فتح القصص للمرور المكتشف بعد 12 ساعة أو أكثر بعد إغلاق القصة لأول مرة. في غضون 12 ساعة لا يتم إعادة فتح القصة للسماح بالتعامل مع القصة من خلال التخفيف أو التهدئة

    • حكم المحلل - الحكم المعين للقصة من قبل المحلل

    • تصنيف المحلل - تصنيف مفصل لنوع التهديد كما تم تعريفه بواسطة المحلل

    هل كان هذا المقال مفيداً؟

    1 من 1 وجدوا هذا مفيداً

    لا توجد تعليقات