Este artículo discute cómo usar el Catálogo de Indicaciones para obtener más información sobre la actividad potencialmente maliciosa identificada por la capa de seguridad de Detección & Respuesta de Cato.
Para más información sobre Detección & Respuesta, consulta Revisión de Historias de Detección & Respuesta (XDR) en el Stories Workbench.
El Catálogo de Indicaciones contiene explicaciones e información de referencia para los cientos de indicaciones (indicadores de ataque) que son identificados por los motores de seguridad de Detección & Respuesta. Una indicación es un conjunto de acciones y comportamientos que pueden indicar la intención de realizar un ataque, incluso si aún no se ha identificado una violación de seguridad real. Por ejemplo, un host generando tráfico que exhibe características de C&C puede indicar un ataque de malware. Cuando los motores analizan datos de tráfico y encuentran una coincidencia para una indicación, crean una historia de seguridad que se muestra en la página Stories Workbench, incluyendo la indicación para la historia y otros datos para ayudar a investigar la amenaza. El Catálogo de Indicaciones proporciona una descripción completa para todas las indicaciones.
Puedes buscar y filtrar fácilmente el catálogo para encontrar indicaciones, y verificar qué indicaciones se relacionan con una táctica de ataque específica. El catálogo también te permite buscar una indicación específica para ver si está cubierta por los motores de Detección & Respuesta, mostrar las indicaciones más recientes, y ver registros de eventos relevantes para una indicación.
El Catálogo de Indicaciones incluye información para un número de Tipos de indicaciones de amenaza, detectadas por los diferentes motores de Detección & Respuesta. Estas son breves descripciones de los diferentes motores y los tipos de indicaciones que identifican:
-
Prevención de Amenazas - Detecta un conjunto específico de comportamientos de ataque en eventos IPS
-
Network XDR - Identifica problemas de red como conectividad degradada
-
Detección de Amenazas - Identifica un conjunto amplio de comportamientos de ataque en eventos y datos de tráfico más enriquecidos
-
Anomalía de Uso - Identifica indicaciones que se relacionan con aplicaciones que muestran un uso inusual. Por ejemplo, una aplicación usando más ancho de banda ascendente de lo habitual
-
Anomalía de Eventos - Detecta indicaciones que involucran una entidad en la red activando un número inusual de eventos de seguridad
-
Anomalía de Experiencia - Detecta cambios significativos en la experiencia de una aplicación o en el rendimiento de una aplicación de red
Tu licencia de Detección & Respuesta determina los Tipos de indicación habilitados para tu cuenta. El Catálogo de Indicaciones muestra tu licencia actual, y si una indicación específica está disponible para esa licencia. Cuando una indicación no está disponible para tu licencia, no se crearán ni mostrarán historias basadas en esa indicación en el Stories Workbench. Estas son las licencias y los Tipos de indicación habilitados para cada una:
|
Licencia |
Tipos de Indicaciones Disponibles |
|---|---|
|
XDR Core |
|
|
Para más información sobre el servicio de Cato MXDR, consulta Servicios Gestionados de Cato.
Para mostrar el Catálogo de Indicaciones:
-
Desde el menú de navegación, haz clic en Resources > Indications Catalog.
El Catálogo de Indicaciones tiene estas columnas:
-
ID - El identificador de la indicación utilizado por los motores de Detección & Respuesta
-
Indicación - El nombre de la categoría de indicación. Una categoría puede incluir múltiples indicaciones diferentes con comportamientos similares
-
Una Descripción de las acciones y comportamientos sospechosos de la indicación
-
Disponible en la Cuenta - Si la indicación está habilitada para la cuenta, basado en el nivel de licencia de Detección & Respuesta.
Para más información sobre la disponibilidad de indicaciones, consulta Tipos de Indicaciones y Licenciamiento.
-
Referencia MITRE - Muestra las técnicas de amenaza relacionadas en el marco de trabajo MITRE ATT&CK® para la indicación. Para más información sobre el marco de trabajo MITRE ATT&CK®, consulta Trabajando con el Dashboard MITRE ATT&CK®
-
Haz clic en la referencia para abrir la página de Eventos pre-filtrada para la técnica MITRE ATT&CK®
-
-
Tipo - Muestra el motor de Detección & Respuesta que detecta la indicación
Configura los siguientes filtros para encontrar fácilmente indicaciones relevantes:
-
ID - Selecciona un ID de indicación para mostrar la indicación
-
Puedes usar el menú desplegable Status para filtrar el catálogo para mostrar solo las indicaciones Nuevas.
Las indicaciones se consideran nuevas si fueron añadidas recientemente al catálogo y aparecen con la etiqueta Nueva. La etiqueta no indica un marco de tiempo específico
-
Indicación - Selecciona una categoría de indicación para filtrar el catálogo y mostrar las indicaciones en esa categoría
-
Busca en el campo Descripción para encontrar indicaciones relevantes.
-
Disponible en la Cuenta - Filtra el catálogo para mostrar solo las indicaciones que están Disponibles o No Disponibles para la cuenta.
Para más información sobre la disponibilidad de indicaciones, consulta Tipos de Indicaciones y Licenciamiento.
-
Técnica MITRE - Selecciona una técnica de ataque como se define en el marco MITRE ATT&CK® para mostrar indicaciones relacionadas con la técnica
-
Tipo - Selecciona un motor de Detección & Respuesta para filtrar el catálogo y mostrar las indicaciones que el motor detecta
0 comentarios
Inicie sesión para dejar un comentario.