التنقيب وتحليل قصص أمان XOps

تتناول هذه المقالة كيفية استخدام صفحة قصص الاكتشاف & الاستجابة لتحليل القصص من أجل التهديدات المحتملة في حسابك.

ملاحظة

ملاحظة: XOps هي الطبقة الموحدة للتحليلات الخاصة بالأمان والعمليات لدى Cato، تقدم رؤى وتوجيهات لتصحيح الخلل. XOps حلت محل XDR، لمزيد من المعلومات، يرجى الاطلاع على الأسئلة الشائعة حول XOps.

نظرة عامة

يمكنك النقر على قصة في منصة القصص للتنقيب والتحقيق في التفاصيل في صفحة قصص الاكتشاف & الاستجابة. تحتوي هذه الصفحة على نظرة عامة عن القصة وملخص للقصص ذات الصلة. يحتوي النظرة العامة على عدد من الأدوات المساعدة التي تساعدك في تقييم التهديد المحتمل الذي تم تحديده بواسطة محركات XOps، بينما يساعدك ملخص القصص ذات الصلة في وضع القصة في سياق أوسع للتحليل.

توليد ملخصات القصص باستخدام الذكاء الاصطناعي

تتضمن منصة القصص أداة تتيح لك إنشاء وصف طبيعي للقصة يتم إنشاؤه بواسطة الذكاء الاصطناعي، مما يوفر سياقًا غنيًا ويساعدك على تقييم القصة بسرعة. يتم إنشاء ملخص القصة ديناميكيًا ليعكس الحالة الحالية للقصة. إذا تم تحديث القصة بمعلومات جديدة، يمكنك إعادة إنشاء الملخص ليعكس التغييرات.

  • يتم إنشاء ملخص القصة باستخدام الذكاء الاصطناعي فقط عند الطلب من قبل مدير

حماية البيانات الحساسة باستخدام التوكين

لضمان أمان البيانات خلال نقل بيانات القصة إلى خدمات الذكاء الاصطناعي الخارجية، تستخدم Cato تقنية الرموز المميزة لضمان بقاء جميع البيانات الحساسة داخل منصة XOps الخاصة بـ Cato. يتضمن ذلك استبدال المعلومات الحساسة بمعرفات فريدة أو "رموز"، مما يجعل البيانات بلا معنى للجهات غير المصرح لها. لا يتم كشف البيانات الحساسة أبدًا للخدمات الخارجية. يضمن هذا النهج سرية تفاصيل القصة، بما يتماشى مع التزامنا بمعايير الخصوصية وأمان البيانات القوية.

ملاحظة

ملاحظة: نظرًا لبعض القيود على الذكاء الاصطناعي التوليدي، قد تحتوي المعلومات المقدمة في ملخصات القصة على بعض الأخطاء.

التعمق وتحليل القصص

قصة الكشف والاستجابة تتضمن عناصر واجهة المستخدم لتقييم التهديد المحدد. داخل القصة، يمكنك مراجعة التحذيرات ذات الصلة والأدلة الداعمة مثل العمليات والملفات وقيم السجل والمهام المجدولة ونشاط الشبكة. يتم عرض هذه الأدلة في ما يلي:

  • شجرة عملية زمنية مقدمة في سياق تنبيه معين. هذا يساعدك على فهم تسلسل الأحداث التي بدت مشبوهة وأنتجت التنبيه.

    ملاحظة: قد يتعذر الوصول إلى هذا في بعض القصص بسبب مشاكل الاتصال بواجهة برمجة التطبيقات.

  • جدول الأدلة يوفر نظرة عامة على الأدلة للقصة. هذا يساعد في تقييم مدى انتشار أنشطة معينة ضارة أو مشبوهة على جهاز النقطة النهائية.

فهم عناصر واجهة المستخدم لنظرة عامة على القصة

Detection___Response_Story_Overview.png

هذه هي عناصر نظرة عامة على القصة:

ملاحظة

ملاحظة: لا يتم تضمين كل عنصر واجهة مستخدم في كل قصة. تعتمد عناصر واجهة المستخدم في كل قصة على نوع القصة والبيانات المتاحة.

اسم

وصف

ملخص القصة

النظرة العامة تعرض ملخصاً للمعلومات الأساسية حول القصة، بما في ذلك:

  • دلالة الهجوم المكتشف

  • محرك الكشف والاستجابة الذي أنشأ القصة

  • خطورة التهديد كما حددها المحلل

  • حكم التهديد كما حددها المحلل

  • نوع الهجوم (على سبيل المثال، ملحق المتصفح، التطبيق الأصلي، الماسح، تطبيق الويب)

  • تصنيف مفصل للتهديد كما حدده المحلل (على سبيل المثال، فحص المنافذ، المجال المسجل حديثاً، فحص SMB)

  • عدد الأجهزة المخترقة

  • عدد الإشارات (تدفقات الحركة) المرتبطة بالهجوم

  • مدة القصة منذ إنشاءها

  • حالة القصة

    استخدم قائمة الإجراءات المنسدلة واختر إدارة القصة لتغيير إعدادات القصة مثل حكم المحلل، شدة المحلل، الحالة، والتصنيف.

    علامة القصص ذات الصلة توفر سياق للقصة التي تحقق فيها من خلال السماح لك بمراجعة سريعة للقصص ذات المصدر نفسه والقصص ذات الخصائص المماثلة التي تتضمن مصادر مختلفة على شبكتك.

    الزمن المقترن بالقصة

    يعرض تسلسل زمني للقصة، مثل التغييرات التي طُبقت على حكم القصة وخطورتها، وعندما يتم تحديد أهداف جديدة متصلة بالقصة

    تفاصيل

    معلومات مفصلية لتحليل القصة، بما في ذلك وصف للتهديد والتقنيات المحددة من قبل MITRE ATT&CK® للتهديد.

    • انقر على إنشاء ملخص من AI للحصول على وصف طبيعي للقصة يوفر سياقًا غنيًا ويساعدك على تقييم القصة بسرعة

    تشمل التفاصيل الأخرى:

    • الأهمية - الدرجة الإجمالية للمخاطرة للقصة كما تم حسابها بواسطة خوارزمية تحليل المخاطر باستخدام التعلم الآلي من Cato (القيم تتراوح من 1 - 10)

      نموذج التعلم الآلي هذا، المعروف باسم الغابة العشوائية، يحسب الأهمية من خلال تحليل معلمات محددة من معلومات التهديد (TI) والبيانات المتولدة من تدفقات الشبكة والأحداث.

      الغابة العشوائية هي نوع من نماذج التعلم الآلي التي تجمع بين نتائج العديد من "أشجار القرار" الأصغر لتحسين الدقة والموثوقية. إنها مفيدة بشكل خاص لتقييم البيانات المعقدة متعددة العوامل مثل تهديدات الأمن.

      لتقييم الأهمية، يأخذ النموذج في الاعتبار عوامل مهمة مثل:

      • نوع OS

      • شعبية النطاق داخل Cato

      • تصنيف العميل

      • نوع محرك الأمن الذي ينشئ الأحداث (إذا كان ذا صلة)

      • الإجراء المتخذ (حظر، مراقبة، إلخ)

      • تقنيات MITRE

      • موقع IP

      • بيانات WHOIS

      إجمالًا، يقوم النموذج بتقييم أكثر من 40 معيارًا لضمان تقييم شامل ودقيق لأهمية قصة.

    • الحكم المتوقع و النوع المتوقع بناءً على تنبؤات الذكاء الاصطناعي لحكم محتمل ونوع من المحتمل أنك ستحددها. تحلل الخوارزميات المستخدمة في التعلم الآلي الحكم النهائي لقصص مشابهة

    لمزيد من المعلومات حول إطار عمل MITRE ATT&CK®، يرجى الاطلاع على استخدام لوحة معلومات MITRE ATT&CK®.

    • انقر على احدى تقنيات MITRE ATT&CK® لقراءة وصفها على موقع MITRE ATT&CK®

    المصدر

    المعلومات الأساسية حول المستخدمين والأجهزة في شبكتك المتأثرة بالتهديد

    تنبيهات/حوادث/اكتشافات

    يعرض تفاصيل التنبيهات المتعلقة بالقصة.

    • قم بتوسيع تنبيه لعرض شجرة عملية زمنية للأدلة المتعلقة بالتنبيه، بما في ذلك العمليات والملفات وقيم السجل

    • انقر فوق عنصر في شجرة العملية للتعمق أكثر وعرض بيانات دقيقة حول الدليل

    هذه هي الأعمدة في الجدول:

    • يصف النشاط المشبوه

    • الحياة الحرجة - مجموع تقييم المخاطر للتنبيه حسب حسابها بواسطة خوارزمية تحليل المخاطر التعلم الآلي من كاتو (القيم من 1 - 10)

    • تقنيات MITRE - تقنيات MITRE ATT&CK® المحددة للتهديد

      لمزيد من المعلومات حول إطار عمل MITRE ATT&CK®، انظر استخدام لوحة تحكم MITRE ATT&CK®.

    • الحالة - يظهر ما إذا كان التنبيه جديداً أو تم حله بالفعل

    • تاريخ النشاط الأول - تاريخ النشاط المشبوه الأول المكتشف للتنبيه

    • تاريخ النشاط الأخير - تاريخ النشاط المشبوه الأحدث المكتشف للتنبيه

    • اسم التهديد - اسم البرمجيات الخبيثة المكتشفة. على سبيل المثال: Trojan:Win32/Startpage

    • الوصف والإجراءات الموصى بها - انقر عرض للحصول على وصف موجز للتنبيه والخطوات الموصى بها للتحقيق في التهديد والحد منه

    • الهدف - عنوان URL المتورط في التنبيه

    • IP الوجهة - عنوان IP الخارجي المتورط في القصة

    الأدلة

    يجمع التفاصيل لجميع قيم العمليات والملفات والسجل المحددة في الدليل لتنبيهات القصة المختلفة.

    بعض من الأعمدة في جدول الأدلة مشتركة بين جميع أنواع الأدلة، وبعضها خاص بكل نوع.

    هذه هي الأعمدة التي تظهر لجميع أنواع الأدلة:

    • الحكم - الحكم الذي أنشأه المدافع للقطعة من الدليل (مشبوه، ضار، أو لم يتم العثور على تهديدات)

    • حالة التصحيح - يظهر ما إذا كان التهديد قد تم تصحيحه

    • تم الإنشاء - التاريخ والوقت عند تسجيل الحدث

    هذه هي الأعمدة المحددة لكل نوع من الدليل:

    • عمليات:

      • اسم العملية - اسم الملف التنفيذي للعملية

      • رقم تعريف العملية - معرف معين بواسطة Windows للعملية

      • سطر أوامر العملية - الحجج التي تم تمريرها إلى العملية في Windows. يمكن أن يكشف هذا عن سياق مهم حول تنفيذ العملية المشبوهة

      • مسار الملف - موقع الملف التنفيذي للعملية على جهاز النقطة النهائية

    • ملفات:

      • مسار الملف - موقع الملف على جهاز النقطة النهائية

      • اسم الملف - اسم الملف بما في ذلك الامتداد

      • حجم الملف - حجم الملف بالبايتات أو الكيلوبايتات أو الميجابايتات

    • السجل:

      • اسم مفتاح السجل

      • نوع قيمة السجل - تنسيق البيانات المخزنة في قيمة السجل

      • قيمة السجل - قيمة إدخال السجل

    جغرافية الهجوم

    يظهر الموقع الجغرافي للمصادر في شبكتك (المواقع البرتقالية) والمصادر الخارجية (المواقع الحمراء) المتعلقة بالتهديد. الأسهم التي تربط المصادر تشير إلى اتجاه الحركة

    إجراءات الهدف

    الأحداث المتصلة بكل هدف، بما في ذلك المعلومات التالية:

    العمود

    الوصف

    الهدف

    النطاقات أو عناوين IP للمصادر الخارجية المحددة في تدفقات الحركة المتعلقة بالقصة

    نوع

    محرك الأمان الذي أنشأ الأحداث المتعلقة بالهدف

    إجراء

    الإجراء المتخذ على الحركة المتعلقة بالهدف

    الأحداث ذات الصلة

    يعرض توقيعات التهديد التي تظهر في الأحداث المتعلقة بالهدف.

    • مرر الماوس فوق التوقيع لإظهار ملخص لحدث ضمن السجل

    • انقر على التوقيع لفتح صفحة الأحداث المصفّاة مسبقًا للتوقيع

    توزيع الهجوم

    توزيع زمني لتدفقات الحركة المتعلقة بالهجوم.

    • لجعل قراءة المخطط أسهل، انقر على هدف داخل الأهداف لإخفاء تلك البيانات من المخطط

    • لإظهار تفاصيل الهجوم، مرر الماوس فوق المخطط

    الأهداف

    يعرض بيانات للمصادر المحتملة الضارة خارج موقع شبكتك المتعلقة بالقصة.

    عمود

    وصف

    تاريخ الإنشاء

    تاريخ تسجيل نطاق الهدف

    الهدف

    النطاقات أو عناوين IP للمصادر الخارجية المحددة في تدفقات الحركة المتعلقة بالقصة

    روابط الهدف

    روابط للبحث عن الهدف في مصادر استخبارات التهديدات الخارجية المختلفة.

    للمزيد من المعلومات، انقر على رمز VirusTotal، أو اختر موارد أخرى من القائمة المنسدلة.

    نقاط الخبث

    نقاط الخبث للهدف وفقًا لخوارزميات استخبارات التهديدات من Cato. النقاط تتراوح من 0 (حميدة) إلى 1 (خبيثة)

    الشعبية

    مدى تكرار ظهور الهدف في مصادر بيانات Cato الداخلية. القيم هي: غير شائع، منخفض، متوسط، مرتفع

    فئات

    فئات Cato لنطاق الهدف

    تغذية التهديدات

    عدد مصادر استخبارات التهديدات من Cato التي اكتشفت الهدف كخبيث

    محركات

    عدد محركات الأمان التابعة لجهات خارجية التي اكتشفت الهدف كخبيث

    بلد المُسجل

    البلد الذي تم تسجيل نطاق الهدف فيه

    نتائج بحث جوجل

    عدد نتائج البحث على Google للهدف

    التدفقات المتعلقة بالهجوم

    يعرض البيانات لعينة ممثلة للأحداث المتعلقة بالهجوم.

    عمود

    وصف

    الهدف

    نطاق الهدف أو عنوان IP لتدفق الاتصالات ذي الصلة

    وقت البدء

    الطابع الزمني لبداية التدفق

    الاتجاه

    اتجاه التدفق. تشمل الاتجاهات:

    • وارد - حركة المرور إلى شبكتك من مصدر خارجي

    • خارج - حركة المرور من شبكتك إلى مصدر خارجي

    • لاحق ذات السياق - حركة المرور من شبكتك إلى موقع آخر ضمن شبكتك

    عنوان IP المصدر

    عنوان IP المصدر في شبكتك الذي يرسل أو يستقبل التدفق

    منفذ المصدر

    منفذ المصدر في شبكتك الذي يرسل أو يستقبل التدفق

    عنوان IP الوجهة

    عنوان IP الهدف الخارجي الذي يرسل أو يستقبل التدفق

    منفذ الوجهة

    منفذ الهدف الخارجي الذي يرسل أو يستقبل التدفق

    الطريقة

    طريقة HTTP في التدفق (GET، POST، وما إلى ذلك)

    مسار عنوان URL بالكامل

    عنوان URL الكامل للموارد الخارجية في التدفق

    العميل

    نوع تطبيقات العميل التي تعمل على نظام التشغيل الذي أنشأ تدفق الشبكة هذا (مثل Chrome)

    تطبيق Cato

    تطبيق Cato المستخدم في التدفق

    بلد الوجهة

    موقع عنوان IP الوجهة في التدفق

    IP الاستجابة DNS

    عنوان IP الذي تم إرجاعه أثناء الاستعلام عن DNS

    أحداث تسجيل الدخول

    (يتطلب عنصر واجهة المستخدم هذا موصل معرف Microsoft Entra)

    مخططات مع تقسيمات للبيانات من أحداث تسجيل الدخول للمستخدم من يوم التنبيه بالإضافة إلى اليومين السابقين. استخدم القائمة المنسدلة لاختيار نوع البيانات المعروضة على المخططات. هذه هي الخيارات:

    • مصدر IP - عنوان IP للمصدر المكتشف في حدث تسجيل الدخول

    • موقع تسجيل الدخول - الموقع الجغرافي الذي تم التسجيل منه

    • تصنيف العميل - نوع العميل المستخدم لتسجيل الدخول (على سبيل المثال، اسم المتصفح والإصدار)

    • وكيل المستخدم - وكيل المستخدم المستخدم في تسجيل الدخول كما يظهر في حقل وكيل المستخدم في العنوان الرئيسي لـ HTTP. هذه أمثلة على قيم وكيل المستخدم:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • نوع نظام التشغيل - نوع نظام التشغيل على الجهاز المستخدم لتسجيل الدخول (على سبيل المثال، Windows، macOS)

    • إصدار نظام التشغيل - رقم الإصدار لنظام التشغيل على الجهاز المستخدم لتسجيل الدخول

    أحداث تسجيل الدخول على المستخدم

    (يتطلب عنصر واجهة المستخدم هذا موصل معرف Microsoft Entra)

    يعرض بيانات من أحداث تسجيل الدخول للمستخدم من يوم التنبيه واليومين السابقين.

    هذه هي الأعمدة في الجدول:

    • وقت حدث تسجيل الدخول

    • اسم المستخدم لتسجيل الدخول

    • مصدر IP - عنوان IP للمصدر المكتشف في حدث تسجيل الدخول

    • موقع تسجيل الدخول - الموقع الجغرافي الذي تم التسجيل منه

    • الإجراء - نتيجة محاولة تسجيل الدخول (القيم: فشل، نجح، تم رفض الوصول)

    • سبب الفشل - تفسير لنتائج تسجيل الدخول في حالة فشل أو تم رفض الوصول

    • التطبيق - التطبيق الذي حاول المستخدم تسجيل الدخول إليه

    • تصنيف العميل - نوع العميل المستخدم لتسجيل الدخول (على سبيل المثال، اسم المتصفح والإصدار)

    • نوع نظام التشغيل - نوع نظام التشغيل على الجهاز المستخدم لتسجيل الدخول (على سبيل المثال، Windows، macOS)

    • إصدار نظام التشغيل - رقم الإصدار لنظام التشغيل على الجهاز المستخدم لتسجيل الدخول

    • وكيل المستخدم - وكيل المستخدم المستخدم في تسجيل الدخول كما يظهر في حقل وكيل المستخدم في رأس HTTP لحركة المرور. هذه أمثلة عن قيم وكيل المستخدم:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    فهم ملخص القصص ذات الصلة

    XDR_Related_Stories.png

    يوفر ملخص القصص ذات الصلة سياقًا للقصة التي تقوم بالتحقيق بشأنها، مما يتيح لك مراجعة القصص بسرعة بنفس المصدر والقصص ذات الخصائص المماثلة التي تشمل مصادر مختلفة على شبكتك. يظهر الملخص التفاصيل الرئيسية لكل قصة ذات صلة، ويتيح لك فتح لوحة عمل القصص المُصفّاة للقصص ذات الصلة، أو صفحة قصة الكشف والاستجابة لقصة ذات صلة مُحددة.

    هذه هي الجداول في ملخص القصص ذات الصلة:

    • يتيح لك جدول أعلى القصص المماثلة رؤية ما إذا كانت هناك مصادر أخرى في شبكتك متورطة في القصص ذات الخصائص المماثلة للقصة التي يتم التحقيق فيها، مثل نفس المؤشر أو الهدف. يعرض هذا الجدول حتى أعلى 5 قصص مماثلة وفقًا لنقاط تشابه الأهداف. لا يقتصر الجدول على نطاق زمني محدد.

    • يظهر جدول القصص على المصدر جميع القصص التي تم إنشاؤها بواسطة المصدر في هذه القصة، ضمن النطاق الزمني المحدد. النطاق الزمني الافتراضي هو الأسبوعين الأخيرين. هذا يتيح لك تقييم السياق الواسع للنشاط لهذا المصدر. على سبيل المثال، يمكن أن يساعد ذلك في تحديد ما إذا كان السلوك في هذه القصة غير عادي أو روتيني لهذا المصدر المحدد.

    يمكن تنفيذ الإجراءات التالية في كلا الجدولين:

    • انقر على عرض في لوحة العمل لفتح لوحة القصص مسبفلترة لعرض القصص في الجدول

    • انقر على صف القصة لفتح صفحة قصة الكشف والاستجابة لتلك القصة.

    هذه هي الأعمدة في جداول القصص ذات الصلة:

    • وقت الإنشاء - وقت إنشاء القصة

    • آخر تحديث - وقت آخر تحديث للقصة، مثل هدف جديد أو تغير الحكم

    • المؤشر - مؤشر الهجوم للقصة. لمزيد من المعلومات حول المؤشرات، يرجى الاطلاع على استخدام كتالوج المؤشرات

      • اضغط Open_in_New_Tab.png لفتح صفحة قصة الكشف والاستجابة لهذه القصة في علامة تبويب جديدة

      • اضغط Tooltip_icon.png لمزيد من المعلومات حول الإشارة

    • المصدر - عنوان IP أو اسم الجهاز أو المستخدم SDP في شبكتك المتورط في القصة

    • تشابه الأهداف (للأعلى القصص المماثلة فقط) - مستوى تشابه الأهداف المشتركة مع القصة التي تم التحقيق فيها، كما يحسبه نموذج التعلم الآلي (مشيرًا إلى النسبة المئوية)

    • الأهداف المشتركة (للأعلى القصص المماثلة فقط) - عناوين URL أو عناوين IP للأهداف المشتركة مع القصة التي يتم التحقيق فيها

    • الحسم - تحليل المخاطر لقصة Cato (القيم هي من 1 (مخاطر منخفضة) - 10 (مخاطر عالية))

    • حالة القصة الحالة - تتضمن القيم:

      • مفتوح - تم إنشاء القصة ولم يتم حلها

      • في انتظار العميل - تم إرسال القصة إلى العميل وهي بانتظار الرد منه

      • في انتظار المحلل - في انتظار المزيد من المعلومات من محللي الأمان

      • مغلق - قام محللو الأمان بإغلاق القصة

      • إعادة فتح - اكتشف منتجو XOps حركة مرور جديدة تطابق قصة مغلقة، وأعادوا فتح القصة تلقائيًا لتمكين المزيد من المراجعة. تم إعادة فتح القصص للحركة المرورية المكتشفة بعد 12 ساعة أو أكثر من إغلاق القصة لأول مرة. خلال 12 ساعة، لا يتم إعادة فتح القصة للسماح بالتعامل مع القصة من خلال التخفيف أو الكتم

    • حكم المحلل - الحكم المعين للقصة من قبل المحلل

    • تصنيف المحلل - تصنيف تفصيلي لنوع التهديد كما تم تعريفه من قبل المحلل

    هل كان هذا المقال مفيداً؟

    1 من 1 وجدوا هذا مفيداً

    لا توجد تعليقات