مراجعة كشف القصص والاستجابة لعملاء MDR

نظرة عامة على قصص الكشف والاستجابة

يعد Cato Detection & Response طبقة جديدة من الأمان التي تنشئ قصصًا للتهديدات. عندما تقوم محركات التحليل المتقدمة من Cato بفحص بيانات المرور وتجد تطابقًا لتهديد محتمل، فإنها تقوم بإنشاء قصة. تحتوي القصة على بيانات من تدفق المرور بخصائص مشتركة تتعلق بنفس التهديد. يعرض مجلد العمل للقصص تفاصيل كل قصة لمساعدتك على فهم وتحليل التهديدات. يمكنك ترتيب وتصفية القصص للعثور على أهم الهجمات المحتملة، ومن ثم تحليلاً للعمق في التفاصيل.

هذه أمثلة للبيانات التي يمكن أن تتضمنها القصة:

  • مصادر في شبكتك

  • الأهداف الخارجية لحركة مرور الشبكة

  • التعرف والوصف للتهديد

  • الجيولكيشنات ذات الصلة

  • التطبيقات ذات الصلة

  • تدفقات المرور ذات الصلة

  • شعبية الهدف وفقًا لبيانات Cato الداخلية

  • النقاط الخبيثة للهدف وفقًا لخوارزميات استخبارات التهديدات من Cato

المتطلبات الأساسية

  • هذا الإصدار من ميزة Detection & Response متاح فقط لعملاء Cato MDR. لمزيد من المعلومات حول الاشتراك في خدمة MDR، يرجى الاتصال بممثل Cato الخاص بك.

عرض مجلد العمل للقصص

يعرض مجلد العمل للقصص ملخصًا للقصص المتعلقة بالتهديدات المحتملة في حسابك.

لعرض مجلد العمل للقصص:

  • من قائمة التنقل، انقر على الصفحة الرئيسية> مجلد العمل للقصص.

فهم أعمدة القصص

XDR_Incidents.png

عمود

الوصف

الرقم

رقم Cato الفريد لهذه القصة

تم إنشاؤه

تاريخ أول تدفق لحركة المرور للقصة

محدث

تاريخ أحدث تدفق لحركة المرور للقصة

تقييم المخاطر

تحليل المخاطر من Cato للقصة (القيم من 1 إلى 10)

IOA

مؤشر الهجوم للقصة

المصدر

عنوان IP أو اسم الجهاز على شبكتك المتأثرة بالقصة

نوع

  • صيد التهديدات - قصة حيث اكتشفت خوارزميات Cato وتعلم الآلة حادثة أمان محتملة

  • اشتباه الاستخدام - قصة حيث أظهر التطبيق سلوكًا غير معتاد يشير إلى حادثة أمان محتملة

  • اشتباه الأحداث - قصة حيث توجد عدد غير عادي من الأحداث الأمنية التي أطلقتها كيان في شبكتك

الحالة

  • معلق للعميل - تم إرسال القصة للعميل وهي تنتظر الرد منهم

  • معلق للمحلل - في انتظار مزيد من المعلومات من محللي أمن Cato

  • مغلق - محللي أمن Cato أغلقوا الحادثة

تجميع القصص

لتوفير سياق عند مراجعة القصص، يمكنك عرض القصص في مجموعات محددة بواسطة تفاصيل تشمل المصدر، الإشارة، الحالة، والنوع. على سبيل المثال، يمكنك عرض جميع القصص المتعلقة بعنوان IP مصدر محدد أو جميع قصص التصيد في الإنترنت معًا. هذا يمنحك رؤية أوسع عند تحليل القصص، ويمكن أن يساعدك على التوصل إلى نتائج أسرع وأكثر دقة.

تسلط كل مجموعة الضوء على مستويات الخطورة للقصص في تلك المجموعة، بما في ذلك عدد القصص ذات الخطورة العالية والمتوسطة والمنخفضة.

Stories_Workbench_Grouping.png

لتجميع القصص في مجلد العمل للقصص:

  1. من قائمة التنقل، انقر على الصفحة الرئيسية > مجلد العمل للقصص.

  2. من قائمة التجميع بواسطة المنسدلة، اختر المعيار المطلوب.

    تظهر القصص في مجموعات قابلة للتوسيع.

تصفية القصص

هناك طريقتان لتصفية البيانات في مجلد العمل للقصص: تحديث التصفية تلقائيًا بالعنصر المحدد، أو تكوين التصفية يدويًا.

التصفية التلقائية لعنصر

عندما تمرر المؤشر فوق عنصر أو حقل يتوفر فيه خيار التصفية، يظهر الزر TD_Filter.png. انقر على الرمز لعرض خيارات التصفية:

  • إضافة إلى التصفية - يضيف العنصر إلى التصفية، والآن يعرض مجلد العمل للقصص فقط القصص التي تتضمن هذا العنصر. على سبيل المثال، إذا قمت بالتصفية عن تقييم مخاطر محدد، فإن الشاشة تعرض فقط القصص التي تحتوي على ذلك التقييم.

  • استبعاد من التصفية - يقوم بتحديث التصفية لاستبعاد هذا العنصر، والآن يعرض مجلد العمل للقصص فقط القصص التي لا تتضمن هذا العنصر.

يمكنك الاستمرار في إضافة عناصر إلى التصفية، والنقر مرة أخرى على TD_Filter.png لتحديث التصفية وتحليل أكثر عمقًا.

اختيار النطاق الزمني

النطاق الزمني الافتراضي لمجلد العمل للقصص هو اليومين السابقين. يمكنك اختيار نطاق زمني مختلف لعرض القصص لفترة زمنية أطول أو أقصر. لمزيد من المعلومات، راجع تعيين فلتر النطاق الزمني.

النطاق الزمني الأقصى لمجلد العمل للقصص هو 90 يومًا.

تكوين الفلتر يدويًا

يمكنك تكوين فلتر القصص يدويًا لمزيد من الدقة في تحليل القصص. بعد تكوين الفلتر، يتم إضافته إلى شريط فلتر القصص ويتم تحديث الشاشة تلقائيًا لعرض القصص التي تطابق الفلتر الجديد.

لإنشاء فلتر:

  1. في شريط الفلتر، انقر على Add2.png.

  2. ابدأ في الكتابة أو اختر الحقل.

  3. اختر المشغل، الذي يحدد العلاقة بين الحقل والقيمة التي تبحث عنها.

  4. اختر القيمة.

  5. انقر على إضافة فلتر. يتم إضافة الفلتر إلى شريط الفلتر ويتم تحديث مجلد العمل للقصص لعرض القصص بناءً على الفلاتر.

إزالة الفلتر

يمكنك إزالة كل عنصر في الفلتر بشكل منفصل، أو يمكنك إزالة الفلتر بالكامل.

لإزالة الفلاتر لمجلد العمل للقصص:

  1. لإزالة فلتر واحد، انقر على remove.png بجانب الفلتر (البند 1 أعلاه).

  2. لإزالة جميع الفلاتر، انقر على X في نهاية شريط الفلتر الأيمن (البند 2 أعلاه).

التحليل العميق للقصص وتحليلها

يمكنك النقر على قصة في مجلد العمل للقصص للتحليل العميق والتحقيق في التفاصيل في شاشة مختلفة. تحتوي هذه الشاشة على عدد من الاشرطة التي تساعدك في تقييم التهديد المحتمل. هناك أدوات متخصصة لتحليل البيانات لقصص صيد التهديدات أو قصص اشتباه الاستخدام.

فهم أدوات صيد التهديدات

XDR_Drill_ThreatHunting.png

هذه هي الأدوات لقصة صيد التهديدات:

البند

الاسم

الوصف

1

ملخص القصة

ملخص المعلومات الأساسية حول القصة، بما في ذلك:

  • فئة التهديد

  • خطورة التهديد كما تم تحديدها بواسطة المحللين

  • عدد الإشارات (تدفقات المرور) المرتبطة بالهجوم

  • عدد الأجهزة المخترقة

  • حالة القصة

2

الجدول الزمني للقصة

يعرض مخططًا زمنيًا للقصة، مثل التغييرات التي أجريت على حكم القصة وخطورتها، وعندما تم تحديد أهداف جديدة تتعلق بالقصة

3

التفاصيل

المعلومات الرئيسية لتحليل القصة، بما في ذلك وصف التهديد، توقيعات التهديدات من Cato التي تم اكتشافها في حركة المرور ذات الصلة، وتقنيات MITRE ATT&CK® المحددة للتهديد.

لمزيد من المعلومات حول إطار عمل MITRE ATT&CK®، راجع العمل مع لوحة معلومات MITRE ATT&CK®.

  • حرك الفأرة فوق التوقيع لعرض سجل الأحداث الملخص

  • انقر على التوقيع لفتح شاشة الأحداث تم تصفيتها مسبقًا للتوقيع

  • انقر على تقنية MITRE ATT&CK® لقراءة وصفها على موقع MITRE ATT&CK®.

4

المصدر

معلومات أساسية عن الأجهزة في شبكتك المتأثرة بالتهديد

5

تحديد الموقع الجغرافي للهجوم

يعرض الموقع الجغرافي للمصادر في شبكتك (المواقع البرتقالية) والمصادر الخارجية (المواقع الحمراء) المتعلقة بالتهديد. تشير الأسهم التي تربط المصادر إلى اتجاه الحركة

6

توزيع الهجوم

توزيع الوقت للتدفقات المرتبطة بالهجوم.

  • لتسهيل قراءة الرسم البياني، في الأهداف، انقر على الهدف لإخفاء تلك البيانات من الرسم البياني

  • لإظهار تفاصيل الهجوم، حرك الفأرة فوق الرسم البياني

7

أهداف

يعرض بيانات المصادر التي قد تكون ضارة خارج موقع شبكتك والمتعلقة بالقصة.

عمود

وصف

تاريخ الإنشاء

تاريخ تسجيل النطاق المستهدف

هدف

النطاقات أو عناوين IP للمصادر الخارجية التي تم تحديدها في تدفقات المرور المتعلقة بالقصة

روابط الهدف

روابط للبحث عن الهدف في مصادر الاستخبارات الأمنية المختلفة.

للمزيد من المعلومات، انقر على أيقونة VirusTotal، أو اختر موارد أخرى من القائمة المنسدلة.

الدرجة الخبيثة

الدرجة الخبيثة للهدف وفقًا لخوارزميات استخبارات التهديد Cato. تتراوح الدرجات من 0 (غير ضار) إلى 1 (خبيث)

الشعبية

عدد مرات ظهور الهدف في مصادر بيانات Cato الداخلية. القيم هي: غير شائع، منخفض، متوسط، عالي

الفئات

فئات Cato للنطاق المستهدف

موجزات التهديد

عدد مصادر استخبارات التهديد من Cato التي اكتشفت الهدف كضار

محركات

عدد محركات الأمان من الطرف الثالث التي اكتشفت الهدف كضار

البلد

البلد الذي سجل فيه النطاق المستهدف

نتائج بحث جوجل

عدد نتائج البحث في جوجل للهدف

8

التدفقات المرتبطة بالهجوم

يعرض بيانات العينة التمثيلية لتدفقات الحركة المرتبطة بالهجوم.

عمود

وصف

هدف

النطاق المستهدف أو IP للتدفق

وقت البدء

الطابع الزمني لبداية التدفق

الاتجاه

اتجاه التدفق. تشمل الاتجاهات:

  • الوارد - حركة إلى شبكتك من مصدر خارجي

  • الصادر - حركة من شبكتك إلى مصدر خارجي

  • عبرWAN - حركة من شبكتك إلى موقع آخر على شبكتك

عنوان IP للمصدر

عنوان IP المصدر في شبكتك الذي يرسل أو يستقبل التدفق

منفذ المصدر

منفذ المصدر في شبكتك الذي يرسل أو يستقبل التدفق

عنوان IP للمقصد

عنوان IP للهدف الخارجي الذي يرسل أو يستقبل التدفق

منفذ الوجهة

منفذ الهدف الخارجي الذي يرسل أو يستقبل التدفق

طريقة

طريقة HTTP في التدفق (GET، POST، وهكذا)

عنوان URL الكامل

العنوان الكامل للمورد الخارجي في التدفق

رمز استجابة HTTP

رمز الحالة الذي يصدره الهدف ردًا على طلب المتصفح من العميل

العميل

نوع العميل في التدفق

تطبيق Cato

تطبيق Cato المستخدم في التدفق

المرجع

عنوان الموقع الأصلي الذي يحتوي على الرابط للمورد المطلوب

وكيل المستخدم

الوكيل (مثل إصدار المتصفح) المُحدد في حقل وكيل المستخدم في رأس طلب HTTP في التدفق

بلد الوجهة

موقع عنوان IP للوجهة في التدفق

فهم أدوات شذوذ الاستخدام

XDR_Drill_Anomaly.png

هذه هي الأدوات لقصة شذوذ الاستخدام:

عنصر

اسم

وصف

1

ملخص القصة

يوفر ملخصًا للمعلومات الأساسية حول القصة، بما في ذلك:

  • اسم الشذوذ

  • الخطورة

  • فترة التدريب لنموذج التعلم الآلي لتحديد السلوك الشاذ

  • حالة القصة

2

تفاصيل

معلومات رئيسية لتحليل القصة، بما في ذلك وصف التهديد وملخصه، وتقنيات MITRE ATT&CK® المحددة للتهديد.

لمزيد من المعلومات حول إطار عمل MITRE ATT&CK®، يرجى الاطلاع على العمل مع لوحة معلومات MITRE ATT&CK®.

  • انقر على تقنية MITRE ATT&CK® لقراءة وصفها على موقع MITRE ATT&CK®

3

توزيع الشذوذ

رسم بياني للسلوك الشاذ لأخر 14 يومًا

  • لعرض تفاصيل الشذوذ، حرك الفأرة فوق الرسم البياني

  • انقر على عرض الكل لفتح شاشة تحليلات التطبيقات مقيدة للتطبيقات المتعلقة بالشذوذ

4

أهم المضيفين

أهم المضيفين المرتبطين بالشذوذ، مع تفاصيل ذات صلة. على سبيل المثال، يظهر مضيف لشذوذ في عرض النطاق الترددي في المنبع مع عدد التحميلات من المضيف

  • انقر على عرض الكل لفتح شاشة تحليلات التطبيقات وعرض المضيفين المقتصرين على التطبيقات المتعلقة بالشذوذ

5

أهم التطبيقات

أهم التطبيقات المرتبطة بالشذوذ، مع تفاصيل ذات صلة. على سبيل المثال، يظهر تطبيق لشذوذ في عرض النطاق الترددي في المنبع مع عدد التحميلات من التطبيق

  • انقر على عرض الكل لفتح شاشة تحليلات التطبيقات مقيدة للتطبيقات المتعلقة بالشذوذ

6

أهم الخوادم/الوجهات

أهم الخوادم والوجهات المرتبطة بالشذوذ، مع تفاصيل ذات صلة. على سبيل المثال، يظهر خادم لشذوذ في عرض النطاق الترددي في المنبع مع عدد التحميلات إلى الخادم

  • انقر على عرض الكل لفتح شاشة تحليلات التطبيقات وعرض الوجهات المقتصرين على التطبيقات المتعلقة بالشذوذ

مراجعة قصص التذاكر

يقوم فريق MDR لدى كاتو بفتح التذاكر لإعلامك بالقصص الهامة. عند استلامك لتذكرة يمكنك بسهولة مراجعة القصة في لوحة العمل الخاصة بالقصص عن طريق النقر على الرابط المرفق في التذكرة. هذه عينة من التذكرة:

XDR_Ticket.png

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات