يعد Cato Detection & Response طبقة جديدة من الأمان التي تنشئ قصصًا للتهديدات. عندما تقوم محركات التحليل المتقدمة من Cato بفحص بيانات المرور وتجد تطابقًا لتهديد محتمل، فإنها تقوم بإنشاء قصة. تحتوي القصة على بيانات من تدفق المرور بخصائص مشتركة تتعلق بنفس التهديد. يعرض مجلد العمل للقصص تفاصيل كل قصة لمساعدتك على فهم وتحليل التهديدات. يمكنك ترتيب وتصفية القصص للعثور على أهم الهجمات المحتملة، ومن ثم تحليلاً للعمق في التفاصيل.
هذه أمثلة للبيانات التي يمكن أن تتضمنها القصة:
-
مصادر في شبكتك
-
الأهداف الخارجية لحركة مرور الشبكة
-
التعرف والوصف للتهديد
-
الجيولكيشنات ذات الصلة
-
التطبيقات ذات الصلة
-
تدفقات المرور ذات الصلة
-
شعبية الهدف وفقًا لبيانات Cato الداخلية
-
النقاط الخبيثة للهدف وفقًا لخوارزميات استخبارات التهديدات من Cato
يعرض مجلد العمل للقصص ملخصًا للقصص المتعلقة بالتهديدات المحتملة في حسابك.
|
عمود |
الوصف |
|---|---|
|
الرقم |
رقم Cato الفريد لهذه القصة |
|
تم إنشاؤه |
تاريخ أول تدفق لحركة المرور للقصة |
|
محدث |
تاريخ أحدث تدفق لحركة المرور للقصة |
|
تقييم المخاطر |
تحليل المخاطر من Cato للقصة (القيم من 1 إلى 10) |
|
IOA |
مؤشر الهجوم للقصة |
|
المصدر |
عنوان IP أو اسم الجهاز على شبكتك المتأثرة بالقصة |
|
نوع |
|
|
الحالة |
|
لتوفير سياق عند مراجعة القصص، يمكنك عرض القصص في مجموعات محددة بواسطة تفاصيل تشمل المصدر، الإشارة، الحالة، والنوع. على سبيل المثال، يمكنك عرض جميع القصص المتعلقة بعنوان IP مصدر محدد أو جميع قصص التصيد في الإنترنت معًا. هذا يمنحك رؤية أوسع عند تحليل القصص، ويمكن أن يساعدك على التوصل إلى نتائج أسرع وأكثر دقة.
تسلط كل مجموعة الضوء على مستويات الخطورة للقصص في تلك المجموعة، بما في ذلك عدد القصص ذات الخطورة العالية والمتوسطة والمنخفضة.
هناك طريقتان لتصفية البيانات في مجلد العمل للقصص: تحديث التصفية تلقائيًا بالعنصر المحدد، أو تكوين التصفية يدويًا.
عندما تمرر المؤشر فوق عنصر أو حقل يتوفر فيه خيار التصفية، يظهر الزر . انقر على الرمز لعرض خيارات التصفية:
-
إضافة إلى التصفية - يضيف العنصر إلى التصفية، والآن يعرض مجلد العمل للقصص فقط القصص التي تتضمن هذا العنصر. على سبيل المثال، إذا قمت بالتصفية عن تقييم مخاطر محدد، فإن الشاشة تعرض فقط القصص التي تحتوي على ذلك التقييم.
-
استبعاد من التصفية - يقوم بتحديث التصفية لاستبعاد هذا العنصر، والآن يعرض مجلد العمل للقصص فقط القصص التي لا تتضمن هذا العنصر.
يمكنك الاستمرار في إضافة عناصر إلى التصفية، والنقر مرة أخرى على لتحديث التصفية وتحليل أكثر عمقًا.
النطاق الزمني الافتراضي لمجلد العمل للقصص هو اليومين السابقين. يمكنك اختيار نطاق زمني مختلف لعرض القصص لفترة زمنية أطول أو أقصر. لمزيد من المعلومات، راجع تعيين فلتر النطاق الزمني.
النطاق الزمني الأقصى لمجلد العمل للقصص هو 90 يومًا.
يمكنك تكوين فلتر القصص يدويًا لمزيد من الدقة في تحليل القصص. بعد تكوين الفلتر، يتم إضافته إلى شريط فلتر القصص ويتم تحديث الشاشة تلقائيًا لعرض القصص التي تطابق الفلتر الجديد.
يمكنك النقر على قصة في مجلد العمل للقصص للتحليل العميق والتحقيق في التفاصيل في شاشة مختلفة. تحتوي هذه الشاشة على عدد من الاشرطة التي تساعدك في تقييم التهديد المحتمل. هناك أدوات متخصصة لتحليل البيانات لقصص صيد التهديدات أو قصص اشتباه الاستخدام.
هذه هي الأدوات لقصة صيد التهديدات:
|
البند |
الاسم |
الوصف |
||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
1 |
ملخص القصة |
ملخص المعلومات الأساسية حول القصة، بما في ذلك:
|
||||||||||||||||||||||||||||||||
|
2 |
يعرض مخططًا زمنيًا للقصة، مثل التغييرات التي أجريت على حكم القصة وخطورتها، وعندما تم تحديد أهداف جديدة تتعلق بالقصة |
|||||||||||||||||||||||||||||||||
|
3 |
التفاصيل |
المعلومات الرئيسية لتحليل القصة، بما في ذلك وصف التهديد، توقيعات التهديدات من Cato التي تم اكتشافها في حركة المرور ذات الصلة، وتقنيات MITRE ATT&CK® المحددة للتهديد. لمزيد من المعلومات حول إطار عمل MITRE ATT&CK®، راجع العمل مع لوحة معلومات MITRE ATT&CK®.
|
||||||||||||||||||||||||||||||||
|
4 |
المصدر |
معلومات أساسية عن الأجهزة في شبكتك المتأثرة بالتهديد |
||||||||||||||||||||||||||||||||
|
5 |
تحديد الموقع الجغرافي للهجوم |
يعرض الموقع الجغرافي للمصادر في شبكتك (المواقع البرتقالية) والمصادر الخارجية (المواقع الحمراء) المتعلقة بالتهديد. تشير الأسهم التي تربط المصادر إلى اتجاه الحركة |
||||||||||||||||||||||||||||||||
|
6 |
توزيع الهجوم |
توزيع الوقت للتدفقات المرتبطة بالهجوم.
|
||||||||||||||||||||||||||||||||
|
7 |
أهداف |
يعرض بيانات المصادر التي قد تكون ضارة خارج موقع شبكتك والمتعلقة بالقصة.
|
||||||||||||||||||||||||||||||||
|
8 |
التدفقات المرتبطة بالهجوم |
يعرض بيانات العينة التمثيلية لتدفقات الحركة المرتبطة بالهجوم.
|
هذه هي الأدوات لقصة شذوذ الاستخدام:
|
عنصر |
اسم |
وصف |
|---|---|---|
|
1 |
ملخص القصة |
يوفر ملخصًا للمعلومات الأساسية حول القصة، بما في ذلك:
|
|
2 |
معلومات رئيسية لتحليل القصة، بما في ذلك وصف التهديد وملخصه، وتقنيات MITRE ATT&CK® المحددة للتهديد. لمزيد من المعلومات حول إطار عمل MITRE ATT&CK®، يرجى الاطلاع على العمل مع لوحة معلومات MITRE ATT&CK®.
|
|
|
3 |
توزيع الشذوذ |
رسم بياني للسلوك الشاذ لأخر 14 يومًا
|
|
4 |
أهم المضيفين |
أهم المضيفين المرتبطين بالشذوذ، مع تفاصيل ذات صلة. على سبيل المثال، يظهر مضيف لشذوذ في عرض النطاق الترددي في المنبع مع عدد التحميلات من المضيف
|
|
5 |
أهم التطبيقات |
أهم التطبيقات المرتبطة بالشذوذ، مع تفاصيل ذات صلة. على سبيل المثال، يظهر تطبيق لشذوذ في عرض النطاق الترددي في المنبع مع عدد التحميلات من التطبيق
|
|
6 |
أهم الخوادم/الوجهات |
أهم الخوادم والوجهات المرتبطة بالشذوذ، مع تفاصيل ذات صلة. على سبيل المثال، يظهر خادم لشذوذ في عرض النطاق الترددي في المنبع مع عدد التحميلات إلى الخادم
|
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.