التنقيب وتحليل قصص أمان XDR

تتناول هذه المقالة كيفية استخدام صفحة قصص الاكتشاف & الاستجابة لتحليل القصص من أجل التهديدات المحتملة في حسابك.

نظرة عامة

يمكنك النقر على قصة في حقل القصص للغوص والتحقيق في التفاصيل في صفحة قصة الكشف والاستجابة. تحتوي هذه الصفحة على نظرة عامة عن القصة وملخص للقصص ذات الصلة. تحتوي النظرة العامة على عدد من العناصر التي تساعدك في تقييم التهديد المحتمل الذي تم تحديده بواسطة محركات XDR، بينما يساعدك ملخص القصص ذات الصلة في وضع القصة في سياق أوسع للتحليل.

توليد ملخصات القصص باستخدام الذكاء الاصطناعي

تتضمن منصة القصص أداة تتيح لك إنشاء وصف طبيعي للقصة يتم إنشاؤه بواسطة الذكاء الاصطناعي، مما يوفر سياقًا غنيًا ويساعدك على تقييم القصة بسرعة. يتم إنشاء ملخص القصة ديناميكيًا ليعكس الحالة الحالية للقصة. إذا تم تحديث القصة بمعلومات جديدة، يمكنك إعادة إنشاء الملخص ليعكس التغييرات.

  • يتم إنشاء ملخص القصة باستخدام الذكاء الاصطناعي فقط عند الطلب من قبل مدير

حماية البيانات الحساسة باستخدام التوكين

لأمان بيانات قوي أثناء نقل بيانات القصة إلى خدمات الذكاء الاصطناعي التابعة لجهات خارجية، يستخدم Cato عملية الترميز لضمان بقاء جميع البيانات الحساسة في منصة Cato XDR. يتضمن ذلك استبدال المعلومات الحساسة بمعرفات فريدة أو "رموز"، مما يجعل البيانات بلا معنى للجهات غير المصرح لها. لا يتم كشف البيانات الحساسة أبدًا للخدمات الخارجية. يضمن هذا النهج سرية تفاصيل القصة، بما يتماشى مع التزامنا بمعايير الخصوصية وأمان البيانات القوية.

ملاحظة

ملاحظة: نظرًا لبعض القيود على الذكاء الاصطناعي التوليدي، قد تحتوي المعلومات المقدمة في ملخصات القصة على بعض الأخطاء.

فهم عناصر واجهة المستخدم لنظرة عامة على القصة

Detection___Response_Story_Overview.png

هذه هي عناصر نظرة عامة على القصة:

عنصر

اسم

وصف

1

ملخص القصة

ملخص للمعلومات الأساسية حول القصة، بما في ذلك:

  • فئة التهديد

  • خطورة التهديد كما حددها المحلل

  • حكم التهديد كما حددها المحلل

  • نوع الهجوم (على سبيل المثال، ملحق المتصفح، التطبيق الأصلي، الماسح، تطبيق الويب)

  • عدد الأجهزة المخترقة

  • عدد الإشارات (تدفقات الحركة) المرتبطة بالهجوم

  • حالة القصة

انقر على More_icon.png لفتح لوحة إجراءات القصة وتغيير إعدادات القصة مثل حكم المحلل والحالة.

2

الزمن المقترن بالقصة

يعرض تسلسل زمني للقصة، مثل التغييرات التي طُبقت على حكم القصة وخطورتها، وعندما يتم تحديد أهداف جديدة متصلة بالقصة

3

تفاصيل

معلومات مفصلية لتحليل القصة، بما في ذلك وصف للتهديد والتقنيات المحددة من قبل MITRE ATT&CK® للتهديد.

  • انقر على إنشاء ملخص من AI للحصول على وصف طبيعي للقصة يوفر سياقًا غنيًا ويساعدك على تقييم القصة بسرعة

تشمل التفاصيل الأخرى:

  • الأهمية- الدرجة الإجمالية للمخاطر للقصة كما يحسبها خوارزمية تحليل المخاطر باستخدام Cato's machine learning (القيم من 1 - 10).
    هذا النموذج التعليمي الآلي المعروف ب غابة عشوائية، يحسب الأهمية من خلال تحليل معايير محددة من استخبارات التهديدات (TI) والبيانات المولدة من تدفقات الشبكة والأحداث.

    الغابة العشوائية نوع من نموذج ML الذي يجمع نتائج العديد من "أشجار القرار" الصغيرة لتحسين الدقة والموثوقية. إنها مفيدة بشكل خاص لتقييم البيانات المعقدة متعددة العوامل مثل تهديدات الأمن.

    لتقييم الأهمية، يأخذ النموذج في الاعتبار عوامل مهمة مثل:

    • نوع OS
    • شعبية النطاق داخل Cato
    • تصنيف العميل
    • نوع محرك الأمن الذي ينشئ الأحداث (إذا كان ذا صلة)
    • الإجراء المتخذ (حظر، مراقبة، إلخ)
    • تقنيات MITRE
    • موقع IP
    • بيانات WHOIS

    إجمالًا، يقوم النموذج بتقييم أكثر من 40 معيارًا لضمان تقييم شامل ودقيق لأهمية قصة.


  • الحكم المتوقع و النوع المتوقع بناءً على تنبؤات الذكاء الاصطناعي لحكم محتمل ونوع من المحتمل أنك ستحددها. تحلل الخوارزميات المستخدمة في التعلم الآلي الحكم النهائي لقصص مشابهة

لمزيد من المعلومات عن إطار عمل MITRE ATT&CK®، راجع العمل مع لوحة معلومات MITRE ATT&CK®.

  • انقر على احدى تقنيات MITRE ATT&CK® لقراءة وصفها على موقع MITRE ATT&CK®

4

المصدر

معلومات أساسية عن الأجهزة المتضررة في شبكتك من التهديد

5

جغرافية الهجوم

يظهر الموقع الجغرافي للمصادر في شبكتك (المواقع البرتقالية) والمصادر الخارجية (المواقع الحمراء) المتعلقة بالتهديد. الأسهم التي تربط المصادر تشير إلى اتجاه الحركة

6

إجراءات الهدف

الأحداث المتصلة بكل هدف، بما في ذلك المعلومات التالية:

عمود

وصف

الهدف

النطاقات أو عناوين IP للمصادر الخارجية المحددة في تدفقات الحركة المتعلقة بالقصة

نوع

محرك الأمان الذي أنشأ الأحداث المتعلقة بالهدف

إجراء

الإجراء المتخذ على الحركة المتعلقة بالهدف

الأحداث ذات الصلة

يعرض توقيعات التهديد التي تظهر في الأحداث المتعلقة بالهدف.

  • مرر الماوس فوق التوقيع لإظهار ملخص لحدث ضمن السجل

  • انقر على التوقيع لفتح صفحة الأحداث المصفّاة مسبقًا للتوقيع

7

توزيع الهجوم

توزيع زمني لتدفقات الحركة المتعلقة بالهجوم.

  • لجعل قراءة المخطط أسهل، انقر على هدف داخل الأهداف لإخفاء تلك البيانات من المخطط

  • لإظهار تفاصيل الهجوم، مرر الماوس فوق المخطط

8

الأهداف

يعرض بيانات للمصادر المحتملة الضارة خارج موقع شبكتك المتعلقة بالقصة.

عمود

وصف

تاريخ الإنشاء

تاريخ تسجيل نطاق الهدف

الهدف

النطاقات أو عناوين IP للمصادر الخارجية المحددة في تدفقات الحركة المتعلقة بالقصة

روابط الهدف

روابط للبحث عن الهدف في مصادر استخبارات التهديدات الخارجية المختلفة.

للمزيد من المعلومات، انقر على رمز VirusTotal، أو اختر موارد أخرى من القائمة المنسدلة.

نقاط الخبث

نقاط الخبث للهدف وفقًا لخوارزميات استخبارات التهديدات من Cato. النقاط تتراوح من 0 (حميدة) إلى 1 (خبيثة)

الشعبية

مدى تكرار ظهور الهدف في مصادر بيانات Cato الداخلية. القيم هي: غير شائع، منخفض، متوسط، مرتفع

فئات

فئات Cato لنطاق الهدف

تغذية التهديدات

عدد مصادر استخبارات التهديدات من Cato التي اكتشفت الهدف كخبيث

محركات

عدد محركات الأمان التابعة لجهات خارجية التي اكتشفت الهدف كخبيث

بلد المُسجل

البلد الذي تم تسجيل نطاق الهدف فيه

نتائج بحث جوجل

عدد نتائج البحث على Google للهدف

9

أحداث متعلقة بالهجوم

يعرض البيانات لعينة ممثلة للأحداث المتعلقة بالهجوم.

عمود

الوصف

هدف

نطاق الهدف أو عنوان IP لتدفق الاتصالات ذي الصلة

وقت البدء

الطابع الزمني لبداية التدفق

الاتجاه

اتجاه التدفق. تشمل الاتجاهات:

  • وارد - حركة المرور إلى شبكتك من مصدر خارجي

  • خارج - حركة المرور من شبكتك إلى مصدر خارجي

  • لاحق ذات السياق - حركة المرور من شبكتك إلى موقع آخر ضمن شبكتك

عنوان IP المصدر

عنوان IP المصدر في شبكتك الذي يرسل أو يستقبل التدفق

منفذ المصدر

منفذ المصدر في شبكتك الذي يرسل أو يستقبل التدفق

عنوان IP الوجهة

عنوان IP الهدف الخارجي الذي يرسل أو يستقبل التدفق

منفذ الوجهة

منفذ الهدف الخارجي الذي يرسل أو يستقبل التدفق

الطريقة

طريقة HTTP في التدفق (GET، POST، وما إلى ذلك)

مسار عنوان URL بالكامل

عنوان URL الكامل للموارد الخارجية في التدفق

العميل

نوع تطبيقات العميل التي تعمل على نظام التشغيل الذي أنشأ تدفق الشبكة هذا (مثل Chrome)

تطبيق Cato

تطبيق Cato المستخدم في التدفق

بلد الوجهة

موقع عنوان IP الوجهة في التدفق

IP الاستجابة DNS

عنوان IP الذي تم إرجاعه أثناء الاستعلام عن DNS

فهم ملخص القصص ذات الصلة

XDR_Related_Stories.png

يوفر ملخص القصص ذات الصلة سياقًا للقصة التي تقوم بالتحقيق بشأنها، مما يتيح لك مراجعة القصص بسرعة بنفس المصدر والقصص ذات الخصائص المماثلة التي تشمل مصادر مختلفة على شبكتك. يظهر الملخص التفاصيل الرئيسية لكل قصة ذات صلة، ويتيح لك فتح لوحة عمل القصص المُصفّاة للقصص ذات الصلة، أو صفحة قصة الكشف والاستجابة لقصة ذات صلة مُحددة.

هذه هي الجداول في ملخص القصص ذات الصلة:

  • يتيح لك جدول أعلى القصص المماثلة رؤية ما إذا كانت هناك مصادر أخرى في شبكتك متورطة في القصص ذات الخصائص المماثلة للقصة التي يتم التحقيق فيها، مثل نفس المؤشر أو الهدف. يعرض هذا الجدول حتى أعلى 5 قصص مماثلة وفقًا لنقاط تشابه الأهداف. لا يقتصر الجدول على نطاق زمني محدد.

  • يظهر جدول القصص على المصدر جميع القصص التي تم إنشاؤها بواسطة المصدر في هذه القصة، ضمن النطاق الزمني المحدد. النطاق الزمني الافتراضي هو الأسبوعين الأخيرين. هذا يتيح لك تقييم السياق الواسع للنشاط لهذا المصدر. على سبيل المثال، يمكن أن يساعد ذلك في تحديد ما إذا كان السلوك في هذه القصة غير عادي أو روتيني لهذا المصدر المحدد.

يمكن تنفيذ الإجراءات التالية في كلا الجدولين:

  • انقر على عرض في لوحة العمل لفتح لوحة القصص مسبفلترة لعرض القصص في الجدول

  • انقر على صف القصة لفتح صفحة قصة الكشف والاستجابة لتلك القصة.

هذه هي الأعمدة في جداول القصص ذات الصلة:

  • وقت الإنشاء - وقت إنشاء القصة

  • آخر تحديث - وقت آخر تحديث للقصة، مثل هدف جديد أو تغير الحكم

  • المؤشر - مؤشر الهجوم للقصة. لمزيد من المعلومات عن المؤشرات، راجع استخدام فهرس المؤشرات.

    • انقر على Open_in_New_Tab.png لفتح صفحة قصة الكشف والاستجابة لهذه القصة في علامة تبويب جديدة

    • انقر على Tooltip_icon.png لمزيد من المعلومات حول المؤشر

  • المصدر - عنوان IP أو اسم الجهاز أو المستخدم SDP في شبكتك المتورط في القصة

  • تشابه الأهداف (للأعلى القصص المماثلة فقط) - مستوى تشابه الأهداف المشتركة مع القصة التي تم التحقيق فيها، كما يحسبه نموذج التعلم الآلي (مشيرًا إلى النسبة المئوية)

  • الأهداف المشتركة (للأعلى القصص المماثلة فقط) - عناوين URL أو عناوين IP للأهداف المشتركة مع القصة التي يتم التحقيق فيها

  • الحسم - تحليل المخاطر لقصة Cato (القيم هي من 1 (مخاطر منخفضة) - 10 (مخاطر عالية))

  • حالة القصة الحالة - تتضمن القيم:

    • مفتوح - تم إنشاء القصة ولم يتم حلها

    • في انتظار العميل - تم إرسال القصة إلى العميل وهي بانتظار الرد منه

    • في انتظار المحلل - في انتظار المزيد من المعلومات من محللي الأمان

    • مغلق - قام محللو الأمان بإغلاق القصة

    • مُعاد فتحها - اكتشف منتجو الأمان XDR حركة مرور جديدة تطابق قصة مغلقة، وأعادوا فتح القصة تلقائيًا لتمكين مزيد من المراجعة. تم إعادة فتح القصص للحركة المرورية المكتشفة بعد 12 ساعة أو أكثر من إغلاق القصة لأول مرة. خلال 12 ساعة، لا يتم إعادة فتح القصة للسماح بالتعامل مع القصة من خلال التخفيف أو الكتم

  • حكم المحلل - الحكم المعين للقصة من قبل المحلل

  • تصنيف المحلل - تصنيف تفصيلي لنوع التهديد كما تم تعريفه من قبل المحلل

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات