البدء باستخدام XOps

تصف هذه المقالة أفضل الممارسات للتحقيق في التهديدات باستخدام منصة Cato XOps.

نظرة عامة

منصة Cato XOps تمكن فرق عمليات الأمن وعمليات الشبكة من استخدام الذكاء الاصطناعي والأتمتة لمراقبة شبكة المؤسسة لكلاً من التهديدات الأمنية ومشاكل أداء الشبكة. XOps تحول كميات غير قابلة للإدارة من أحداث الأمان والشبكة الأولية إلى قصص قابلة للاستهلاك وعملية عابرة للوظائف.

تصف هذه المقالة أفضل الممارسات للحصول على أقصى استفادة من XOps لتعزيز مراقبة الأمان في مؤسستك وتخفيف التهديدات. أولاً، نناقش إعداد التكاملات لتوسيع قدرات XOps، ثم نصف سير عمل شامل لكيفية التحقيق في القصة في منصة القصص، بما في ذلك الخطوات التالية:

  1. تكوين تكاملات XOps
  2. تحديد القصص الأكثر أهمية للتركيز عليها
  3. خطوات لبدء التحقيق
  4. تعيين الحكم ومعالجة التهديد

إعداد تكاملات لـ XOps

لزيادة فائدة منصة XOps، نوصي بتكوين التكاملات المدعومة التي توسع عدد ونوع المنتجين لقصص XOps. نوصي بإعداد إحدى تكاملات الأمن الطرفية التالية لمساعدتك في الحصول على صورة كاملة عن التهديدات المحتملة، وإجراء التحقيقات في منصة XOps موحدة تمتد إلى كل من الشبكة والطرف. للحصول على قائمة كاملة بمنتجي XOps، انظر مرحبًا بك في خدمة Cato XOps.

  • موصل Microsoft Defender لنقاط النهاية - يمكن للعملاء الذين يستخدمون Defender لنقاط النهاية الاستفادة من واجهة برمجة تطبيقات Microsoft لدمج بيانات تنبيه Defender وإنشاء قصص XOps لأجهزة نقاط النهاية. لمزيد عن هذا التكامل، انظر تنبيهات Microsoft Defender لنقاط النهاية: تكوين تكامل XOps.

  • تنبيهات SentinelOne - يمكن للعملاء الذين يستخدمون SentinelOne دمج البيانات من SentinelOne EDR لتوليد قصص للأجهزة النهائية. يقوم منتج SentinelOne بإنشاء قصة من خلال ربط بيانات حوادث SentinelOne EDR بناءً على معرف عامل UUID (معرف الجهاز) وتجزئة ملف التهديد في غضون 90 يومًا. تشمل هذه القصص جميع الأدلة ذات الصلة للحوادث التي تم اكتشافها بواسطة SentinelOne.

    لمزيد من المعلومات حول دمج تنبيهات SentinelOne، انظر SentinelOne EDR: إعداد تكامل XOps.

  • تنبيهات CrowdStrike - يمكن للعملاء الذين يستخدمون CrowdStrike دمج البيانات من اكتشافات CrowdStrike بناءً على معرف الحادث. تشمل هذه القصص جميع الأدلة ذات الصلة لاكتشافات CrowdStrike.

    لمزيد من المعلومات حول دمج تنبيهات CrowdStrike، انظر CrowdStrike: إعداد تكامل XOps.

  • حماية نقاط النهاية لـ Cato - يتم دمج حلول Cato EPP مع XOps من Cato لتوليد قصص لأجهزة نقاط النهاية، دون الحاجة لتكوين موصل. لمزيد عن هذا التكامل، انظر حماية نقاط النهاية لـ Cato (EPP): تكوين تكامل XOps.

تحديد القصص الأكثر أهمية

اختيار القصص الصحيحة للعمل عليها في ورشة عمل القصص هو خطوة أولى حاسمة للاستخدام الفعال لمنصة XOps. يمكنك استخدام الأدوات والمعلومات المقدمة في ورشة العمل لتحديد القصص الأعلى أولوية للتحقيق بسرعة. نوصي باتباع الخطوات التالية:

  1. تجميع القصص - توفر خيارات التجميع حسب نظرة عامة سريعة على الأنواع المختلفة من القصص في حسابك، بالإضافة إلى الإشارة إلى العناصر الخاصة بالشبكة مثل المصادر أو المستخدمين. هذه أمثلة على خيارات التجميع حسب المفيدة:

    • المصدر وعنوان IP للمصدر - انظر بسرعة إلى المستخدمين والأجهزة والعناوين IP المشاركة في القصص
    • المنتج - مراجعة سريعة لأنواع القصص المختلفة التي تم اكتشافها. لمزيد من المعلومات حول الأنواع المختلفة من المنتجين، انظر مرحبًا بكم في خدمة Cato XOps.
    • المؤشرات - احصل على نظرة عامة على المؤشرات المحددة للهجوم المكتشفة

    نوصي بالتجول بين خيارات التجميع حسب المختلفة لفهم سريع للقصص في شبكتك من زوايا مختلفة، مما يمكن أن يساعد في تحديد مجالات الاهتمام المحددة للتركيز على التحقيق.

    Stories_Workbench_Grouping2.png
  2. الأولوية حسب الأهمية - ابدأ بالتركيز على القصص ذات النتيجة الأعلى في الأهمية. هذه هي التهديدات المحتملة التي قد يكون لها التأثير الأكثر أهمية على شبكتك. يمكنك النقر على رأس العمود الأهمية لترتيب القصص حسب الأهمية، أو تصفية القصص لمستويات أهمية محددة. أيضًا، عند استخدام خيارات التجميع حسب، يشير كل مجموعة إلى عدد القصص ذات الأهمية العالية للمجموعة.

بدء التحقيق

بمجرد أن تختار قصة للتحقيق، يمكنك النقر على القصة لتفصيل تفاصيلها في صفحة عرض القصة في الكشف & الاستجابة. نوصي باتباع الخطوات التالية للحصول على فهم أولي لما يجري في القصة:

  1. إنشاء ملخص من الذكاء الاصطناعي - يتضمن القطعة التفاصيل أداة تتيح لك إنشاء وصف قصة بلغة طبيعية تم إنشاؤه بواسطة الذكاء الاصطناعي، والذي يوفر سياقًا غنيًا ويساعدك في تقييم القصة بسرعة. إنشاء الملخص بالنقر على زر إنشاء ملخص AI.

    XDR_Core_Story_Summary.png

  2. التحقق مما إذا كان تم حجب المرور - يعرض الجدول الإجراءات المستهدفة الأحداث المتعلقة بكل هدف مشارك في القصة، بما في ذلك ما إذا كان تم تطبيق إجراء الحجب على المرور بواسطة إحدى الخدمات الأمنية مثل IPS. إذا لم يتم حجب بعض المرور إلى الأهداف، فعندما يكون للقصة مستوى خطر أعلى. حتى إذا تم حجب كل المرور إلى الأهداف، فمن الممكن أن يتعلق هذا المرور بتهديد مستمر يتطلب تحقيقًا إضافيًا.

    XDR_Core_Target_Actions.png

  3. تقييم الأهداف - يعرض الجدول الأهداف البيانات للمصادر المحتمل أن تكون ضارة خارج موقع الشبكة الخاص بك ذات صلة بالقصة. نوصي بالتركيز على الأعمدة التالية عند بدء تحقيقك:

    • يخبرك النتيجة الخبيثة باحتمالية أن يكون الهدف خبيثًا، وفقًا لخوارزميات تعلم الآلة لـ Cato Threat Intelligence. تتراوح النقاط من 0 (حميد) إلى 1 (خبيث)
    • تساعدك روابط الهدف في فهم سمعة الهدف عن طريق البحث عن الهدف في مصادر استخبارات تهديدات خارجية متنوعة
    XDR_Core_Targets_table.png
  4. العمل مع XOps كتيبات التشغيل - تقدم كتيبات التشغيل الأمنية لـ Cato XOps نهجًا منظمًا للتحقيق في أنواع محددة من القصص. تقودك خلال عملية التحقيق وتساعدك في تحديد العناصر الإجرائية. بالنسبة للقصص التي تحتوي على كتيب تشغيل مناسب، يمكنك العثور على الرابط إلى كتيب التشغيل في ويدجت التفاصيل. كتيبات التشغيل الأمنية لـ XOps متاحة أيضًا هنا.
  5. استخدام التعليقات - إذا كانت تحقيق القصة تتضمن تعاونًا بين أعضاء الفريق، استخدم التعليقات لتوثيق ما تم عمله وتقديم معلومات هامة وسياق للمحلل التالي الذي ينظر في القصة. لمزيد من المعلومات حول استخدام التعليقات، انظر إدارة تحقيقات قصة XOps.

تعيين الحكم واتخاذ خطوات المعالجة

لوحة إجراءات القصة تتيح لك تنفيذ الإجراءات الحاسمة وتسجيل المعلومات الهامة أثناء انتهاء تحقيقك. يرتكب بعض المحللين خطأ إغلاق القصة دون تحديد حكم، مما يفقد الكثير من فائدة عملية التحقيق. عند تحديد الحكم، تسجل معلومات ذات معنى حول القصة للرجوع إليها في المستقبل، ويمكنك التعرف على الإجراءات الموصى بها للعلاج. هذا هو مثال سير العمل لتحديد الحكم وتطبيق خطوات العلاج الأساسية بعد تحديد أن جهازًا ما قد تعرض للاستغلال عبر محاولة استغلال لفائدة معروفة:

  1. انقر على إجراءات > إدارة القصة لفتح لوحة إجراءات القصة.

    XDR_Comment_buttons.png
  2. تعيين حكم المحلل إلى خبيث.
  3. حدد شدة التهديد.

  4. تحديد نوع التهديد على أنه محاولة استغلال، وإذا أمكن تحديد تصنيف أكثر تحديدًا للتهديد. استخدام حقل معلومات إضافية لتسجيل تفاصيل حول عملية التحقيق أو النتائج.

    XDR_Core_Example_Verdict.png

  5. اتبع الإجراءات الموصى بها, بما في ذلك:

    1. قم بإنشاء قواعد جدار ناري لحظر الأهداف والمصادر الخبيثة التي حددتها في القصة.
    2. تحديث برمجيات الأجهزة لمعالجة الثغرات وتجنب هجمات الاستغلال المستقبلية.
  6. إذا حددت مستخدمًا تعرض للاختراق، يمكنك إلغاء جلسة المستخدم البعيدة لمنع الوصول إلى الشبكة. لمزيد من المعلومات حول إلغاء الجلسة البعيدة، انظر إلغاء جلسة مستخدم بعيد.
  7. تعيين حالة القصة إلى مغلقة.

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات