Análisis de Historias UEBA XOps para Anomalías de Uso y Eventos

Este artículo explica cómo utilizar el Banco de Trabajo de Historias XOps y la página de desglose de historias para analizar historias XOps por comportamiento anómalo detectado por los motores de Anomalía de Uso y Anomalía de Eventos.

Para más sobre el uso del Banco de Trabajo de Historias, consulta Revisando Historias de Detección & Respuesta XOps en el Banco de Trabajo de Historias.

Resumen

El servicio XOps de Cato detecta actividades anómalas basadas en el Análisis del Comportamiento de Usuario y Tipo de entidad (UEBA), lo que puede indicar una amenaza de seguridad. Los motores de Anomalía de Uso y Anomalía de Eventos monitorean y analizan el tráfico de la red para identificar comportamientos inusuales que podrían ser señales de cuentas comprometidas, amenazas internas y ataques avanzados. Estos motores incorporan técnicas de aprendizaje automático y modelado estadístico con entrenamiento en tráfico de red para construir modelos de comportamiento base para los usuarios y entidades en su cuenta. Basados en estos modelos, los motores pueden identificar varios tipos de anomalías.

Estas son descripciones breves de los motores de anomalías UEBA XOps y los tipos de anomalías que identifican:

  • Anomalía de Uso - Identifica anomalías relacionadas con el uso inusual en aplicaciones. Por ejemplo, un usuario sube más datos a una aplicación de lo habitual

  • Anomalía de Eventos - Detecta anomalías que involucran a una entidad en la red desencadenando un número inusual de eventos de seguridad. Por ejemplo, un sitio en la red desencadena significativamente más eventos de bloqueo de Firewall de Internet de lo habitual

Cuando los motores de anomalía UEBA XOps generan una historia, puede revisarla en el Banco de Trabajo de Historias y profundizar para un análisis más detallado de los datos de la historia.

Requisitos previos

  • Las historias de Anomalía de Uso y Anomalía de Eventos están disponibles solo para los clientes de XOps y MDR. Para más información sobre la compra de un XOps, o la suscripción al servicio MDR, por favor contacte a su representante de Cato.

Analizando y Profundizando en Historias de Anomalías UEBA

Puede hacer clic en una historia de Anomalía de Uso o Anomalía de Eventos en el Banco de Trabajo de Historias para profundizar e investigar los detalles en una página diferente. Esta página contiene varios widgets que le ayudan a evaluar la amenaza potencial.

Mostrando una Historia de Seguridad

Haga clic en una historia de Seguridad en la página del Banco de Trabajo de Historias para mostrar los detalles de la historia UEBA.

Para ver la página del Banco de Trabajo de Historias:

  • Desde el menú de navegación, haga clic en Home > Banco de Trabajo de Historias.

Generando Resúmenes de Historias AI

El desglose del Banco de Trabajo de Historias incluye una herramienta que le permite crear una descripción de la historia en lenguaje natural generada por AI, que proporciona un contexto rico y le ayuda a evaluar rápidamente la historia. El resumen de la historia se genera dinámicamente para reflejar el estado actual de la historia. Si la historia se actualiza con nueva información, puede regenerar el resumen para reflejar los cambios.

  • El resumen de la historia AI se genera solo bajo demanda por el administrador

Protegiendo Datos Sensibles con Tokenización

Para una seguridad de datos robusta durante la transmisión de datos de la historia a servicios de AI de terceros, Cato utiliza tokenización para asegurar que todos los datos sensibles permanezcan en la plataforma XOps de Cato. Esto implica reemplazar información sensible con identificadores únicos, o "tokens", haciendo que los datos carezcan de significado para entidades no autorizadas. Los datos sensibles nunca se exponen a servicios de terceros. Este enfoque asegura la confidencialidad de los detalles de la historia, alineándose con nuestro compromiso con estándares robustos de privacidad y seguridad de datos.

Nota

Nota: Debido a las limitaciones del AI generativo, la información proporcionada en los resúmenes de historias puede contener ocasionalmente imprecisiones.

Entendiendo los Widgets de Anomalías UEBA

ueba_story_original.png

Estos son los widgets para una historia de Anomalía de Uso o Anomalía de Eventos:

Artículo

Nombre

Descripción

1

Resumen de la historia

Un resumen de la información básica sobre la historia, incluyendo:

  • Nombre de la Anomalía

  • Indicación para el Ataque Detectado

  • El Productor de Detección y Respuesta (motor) que generó la historia

  • Gravedad del Analista - Gravedad de la amenaza

  • Veredicto del Analista para la amenaza

  • Tipo de ataque

  • Clasificación detallada de la amenaza según lo determinado por un analista

  • Estado de la historia

2

Cronología de la historia

Muestra una línea de tiempo de la historia, como los cambios realizados en el veredicto y la gravedad de la historia, y cuándo se actualiza el estado

3

Detalles

Detalles básicos sobre la historia, incluyendo

  • Una descripción y resumen de la amenaza

    • Haga clic en Generar Resumen AI para una descripción de la historia en lenguaje natural que proporciona un contexto rico y le ayuda a evaluar rápidamente la historia

  • Primera Señal - Hora de la primera señal (flujo de tráfico) asociada con la anomalía

  • Fecha de Creación - Hora en que se generó la historia

  • Última Actualización - Hora de la última actualización de la historia, como un nuevo objetivo o un veredicto cambiado

  • Criticidad - Puntaje de riesgo general para la historia según lo calculado por el algoritmo de análisis de riesgo de aprendizaje automático de Cato (los valores van de 1 (menos crítico) a 10 (más crítico))

  • Periodo de Entrenamiento - El periodo de entrenamiento para el modelo de aprendizaje automático para determinar comportamiento anómalo

  • ID de Indicación - El identificador para la indicación utilizada por los motores XOps. Puede usar el ID para buscar la indicación en el Catálogo de Indicaciones

  • Etiquetas MITRE - Técnicas MITRE ATT&CK® identificadas para la amenaza.

    Para más información sobre el marco MITRE ATT&CK®, consulte Usando el Panel de MITRE ATT&CK®.

    • Haga clic en una técnica MITRE ATT&CK® para leer su descripción en el sitio web de MITRE ATT&CK®

  • Veredicto Previsto y Tipo Previsto basado en predicciones de aprendizaje automático para el veredicto probable y el tipo potencial de malware que puede identificar. Los algoritmos de aprendizaje automático analizan los veredictos finales de historias similares

  • Historias Similares - Muestra historias con Objetivos similares. Los detalles mostrados para cada historia incluyen: tipo de amenaza de la historia, veredicto de la historia (si está disponible), y el nivel de similitud según lo calculado por un modelo de aprendizaje automático (indicado por un porcentaje). Pase el ratón sobre la historia para mostrar una clasificación más detallada de la amenaza

4

Distribución de Anomalías

Gráfico del comportamiento anómalo de los últimos 14 días. Para historias de Anomalía de Uso, el gráfico muestra datos para las aplicaciones relevantes. Para historias de Anomalía de Eventos, el gráfico muestra datos para los eventos relevantes.

  • Para mostrar los detalles de la anomalía, pase el ratón sobre el gráfico

  • Para investigar más de cerca las diferentes aplicaciones o eventos detectados en la anomalía, haga clic en el botón de alternancia de una aplicación o evento para activar o desactivar su gráfico.

  • Haga clic en Ver Todo para abrir la pantalla de Analítica de Aplicaciones pre-filtrada para las aplicaciones relacionadas con la anomalía

5

Fuente

Información básica sobre el dispositivo en su red asociado con la anomalía

6

Principales Aplicaciones

Principales aplicaciones relacionadas con la anomalía, con detalles relevantes. Por ejemplo, una aplicación para una anomalía de ancho de banda en sentido ascendente aparece con el total de carga de la aplicación

  • Haga clic en Ver Todo para abrir la pantalla de Analítica de Aplicaciones pre-filtrada para las aplicaciones relacionadas con la anomalía

7

Principales Servidores/Destinos

Principales servidores y destinos involucrados en la anomalía, con detalles relevantes. Por ejemplo, un servidor para una anomalía de ancho de banda en sentido ascendente aparece con el total de carga al servidor

  • Haga clic en Ver Todo para abrir la pantalla de Analítica de Aplicaciones y mostrar los destinos pre-filtrados para las aplicaciones relacionadas con la anomalía

8

Principales Hosts

Principales hosts relacionados con la anomalía, con detalles relevantes. Por ejemplo:

  • Un host para una anomalía de ancho de banda en sentido ascendente aparece con la cantidad de cargas del host

  • Hosts para una anomalía en el comportamiento de un usuario muestran las direcciones IP para el usuario en conexiones relacionadas con la anomalía

Haga clic en Ver Todo para abrir la pantalla de Analítica de Aplicaciones y mostrar los hosts pre-filtrados para las aplicaciones relacionadas con la anomalía

9

Destinos

Muestra datos de las fuentes potencialmente maliciosas fuera de su sitio de red relacionadas con la historia.

Estas son las descripciones de las columnas de la tabla objetivo:

  • Objetivo - Dominios o direcciones IP de fuentes externas identificadas en flujos de tráfico relacionados con la historia.

  • Fecha de Creación - Fecha de registro del dominio objetivo.

  • Enlaces del Objetivo - Enlaces para buscar el objetivo en varias fuentes externas de inteligencia de amenazas. Para información adicional, haga clic en el icono de VirusTotal o seleccione otros recursos del menú desplegable.

  • Puntuación de Maliciosidad - La puntuación de malicia del objetivo según los algoritmos de inteligencia de amenazas de Cato. Las puntuaciones van de 0 (benigno) a 1 (malicioso).

  • Popularidad - Con qué frecuencia aparece el objetivo en las fuentes de datos internas de Cato. Los valores son: No popular, Bajo, Medio, Alto

  • Categorías - Categorías de Cato para el dominio objetivo.

  • Alimentadores de Amenazas - Número de fuentes de inteligencia de amenazas de Cato que detectaron el objetivo como malicioso.

  • Motores - Número de motores de seguridad de terceros que detectaron el objetivo como malicioso.

  • País del Registrante - País donde está registrado el dominio objetivo.

  • Resultados de Búsqueda en Google - Número de resultados de búsqueda de Google para el objetivo.

10

Principales Conexiones

Datos de las principales conexiones relacionadas con la anomalía. Por ejemplo, para una Anomalía de Ancho de Banda del Usuario SDP Upstream, las conexiones con mayor uso de ancho de banda de subida.

Estas son las descripciones de las columnas de la tabla:

  • Aplicación - La aplicación detectada en el flujo de tráfico de la conexión.

  • IP de Origen - Dirección IP de origen en su red enviando o recibiendo el flujo.

  • Destino - Dirección IP o dominio del destino externo enviando o recibiendo el flujo.

  • Flujos - Número de flujos asociados con la conexión.

  • Descarga - Uso de ancho de banda de descarga.

  • Subida - Uso de ancho de banda de subida.

  • Uso - Uso total de ancho de banda.

Requisitos Previos para Historias de Anomalías UEBA

Algunas indicaciones detectadas por el motor de Detección de Anomalías requieren la configuración de un conector, una licencia específica o ambos. Esta tabla enumera los requisitos previos para estas indicaciones. Si una indicación no está listada en la tabla, no hay requisitos previos adicionales.

Indicación

Requisitos Previos

Anomalía de Inicio de Sesión de Usuario Fallido

Licencia CASB y al menos uno de estos conectores:

  • Salesforce

  • GitHub

  • Azure ID

Descarga Masiva (Anomalía de Eventos de Descarga de Usuario)

Licencia CASB

Descarga Masiva (Anomalía de Eventos de Descarga del Sitio)

Licencia CASB

Carga Masiva (Anomalía de Eventos de Carga de Usuario)

Licencia CASB

Carga Masiva (Anomalía de Eventos de Carga del Sitio)

Licencia CASB

Eliminación Masiva (Actividad Inusual de Eliminación - Usuario)

Licencia CASB

Eliminación Masiva (Actividad Inusual de Eliminación - Sitio)

Licencia CASB

Creación Masiva (Actividad Inusual de Creación de Archivos - Usuario)

Licencia CASB

Primera vez que se ve el Uso de Protocolos Obsoletos o No Autorizados - Sitio

Licencia de Prevención de Amenazas

Primera vez que se ve el Uso de Protocolos Obsoletos o No Autorizados - Usuario

Licencia de Prevención de Amenazas

Anomalía de Tráfico de C&C - Usuario

Licencia de Prevención de Amenazas

C&C Primera Vez que se Sube a un Bucket S3C Anomalía de Tráfico - Sitio

Licencia de Prevención de Amenazas

Primera Vez que se Sube a un Bucket S3

Licencia CASB y Anti-Malware

Anomalía de Eliminación de Correo

Licencia CASB y estos conectores

  • M365-Exchange

  • Actividades de Auditoría de Microsoft Exchange

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios