Analizando historias de XOps UEBA para anomalías de uso y eventos

Este artículo explica cómo usar el Workbench de Historias XOps y la página de análisis de historias para analizar historias de XOps por comportamientos anómalos detectados por los motores de Anomalías de Uso y Anomalías de Eventos.

Para más información sobre cómo usar el Workbench de Historias, consulte Revisando las Historias de Detección y Respuesta XOps en el Workbench de Historias.

Nota

Nota: XOps es la capa de análisis unificado de Cato para seguridad y operaciones, ofreciendo conocimientos e indicaciones para remediación. XOps ha reemplazado a XDR, para más información, consulte Preguntas Frecuentes de XOps.

Resumen

El servicio XOps de Cato (anteriormente XDR) detecta actividades anómalas basadas en el Análisis del Comportamiento de Usuarios y Entidades (UEBA), lo que puede indicar una amenaza de seguridad. Los motores de Anomalías de Uso y Anomalías de Eventos monitorean y analizan el tráfico de red para identificar comportamientos inusuales que podrían ser signos de cuentas comprometidas, amenazas internas y ataques avanzados. Estos motores incorporan técnicas de aprendizaje automático y modelos estadísticos con entrenamiento en tráfico de red para construir modelos de comportamiento base para los usuarios y entidades en su cuenta. Basado en estos modelos, los motores pueden identificar varios tipos de anomalías.

Estas son descripciones breves de los motores de anomalías UEBA de XOps y los tipos de anomalías que identifican:

  • Uso Anómalos - Identifica anomalías relacionadas con el uso inusual en aplicaciones. Por ejemplo, un usuario sube más datos a una aplicación de lo habitual

  • Eventos Anómalos - Detecta anomalías que implican a una entidad en la red desencadenando un número inusual de eventos de seguridad. Por ejemplo, un sitio en la network desencadena significativamente más eventos de bloqueo del firewall de Internet de lo habitual

Cuando los motores de anomalías UEBA de XOps generan una historia, puede revisarla en el Workbench de Historias y profundizar en el análisis de los datos de la historia.

Requisitos previos

  • Las historias de Anomalías de Uso y Anomalías de Eventos están disponibles solo para clientes de XOps y MDR. Para más información sobre la adquisición de un XOps o la suscripción al servicio MDR, por favor contacte a su representante de Cato.

Profundización y Análisis de Historias de Anomalías de UEBA

Puede hacer clic en una historia de Uso Anómalos o Eventos Anómalos en el Stories Workbench para profundizar y analizar los detalles en una página diferente. Esta página contiene una serie de widgets que le ayudarán a evaluar la amenaza potencial.

Mostrando una Historia de Seguridad

Haga clic en una historia de seguridad en la página del Stories Workbench para mostrar los detalles de la historia de UEBA.

Para ver la página de Banco de Trabajo de Historias:

  • Desde el menú de navegación, haga clic en Inicio > Stories Workbench.

Generación de Resúmenes de Historias de IA

El desglose del Stories Workbench incluye una herramienta que le permite crear una descripción de historia en lenguaje natural generada por AI, que proporciona un contexto enriquecido y le ayuda a evaluar rápidamente la historia. El resumen de la historia se genera dinámicamente para reflejar el estado actual de la historia. Si la historia se actualiza con nueva información, puede regenerar el resumen para reflejar los cambios.

  • El resumen de historia de AI se genera solo a demanda por el admin

Protección de Datos Sensibles con Tokenización

Para una seguridad robusta de los datos durante la transmisión de datos de historias a servicios de AI de terceros, Cato utiliza tokenización para asegurar que todos los datos sensibles permanecen en la plataforma XOps de Cato. Esto implica reemplazar información sensible con identificadores únicos, o "tokens," haciendo que los datos carezcan de sentido para entidades no autorizadas. Los datos sensibles nunca se exponen a servicios de terceros. Este enfoque asegura la confidencialidad de los detalles de la historia, alineándose con nuestro compromiso con estándares robustos de privacidad y seguridad de datos.

Nota

Nota: Debido a las limitaciones de la AI generativa, la información proporcionada en los resúmenes de historias puede contener ocasionalmente imprecisiones.

Comprendiendo los Widgets de Anomalía de UEBA

ueba_story_original.png

Estos son los widgets para una historia de Uso Anómalos o Eventos Anómalos:

Item

Nombre

Descripción

1

Resumen de la historia

Un resumen de la información básica sobre la historia, incluyendo:

  • Nombre de la anomalía

  • Indicador para el Ataque Detectado

  • El Producer de Detección & Respuesta (engine) que generó la historia

  • Severidad del Analista - Severidad de la amenaza

  • Veredicto del Analista para la amenaza

  • Tipo de ataque

  • Clasificación detallada de la amenaza según lo determinado por un analista

  • Estado de la historia

2

Cronología de la historia

Muestra una timeline de la historia, como los changes realizados en el verdict y la severity de la historia, y cuando se actualiza el status

3

Detalles

Detalles básicos sobre la historia, incluyendo

  • Una descripción y resumen de la amenaza

    • Haga clic en Generate AI Summary para una description de historia en lenguaje natural que proporcione un contexto enriquecido y le ayude a evaluar rápidamente la historia

  • Primera Señal - Hora de la primera señal (flujo de tráfico) asociada con la anomalía

  • Fecha de Creación - Hora en la que se generó la historia

  • Última Actualización - Hora de la última actualización de la historia, como un nuevo objetivo o un veredicto cambiado

  • Criticidad - Puntaje de riesgo general para la historia según lo calculado por el algoritmo de análisis de riesgos de aprendizaje automático de Cato (los valores van de 1 (menos crítico) a 10 (más crítico))

  • Período de Entrenamiento - El período de entrenamiento para el modelo de aprendizaje automático para determinar comportamiento anómalo

  • ID de Indicación - El identificador para la indicación utilizada por los motores de XOps. Puede usar el ID para buscar la indicación en el Catálogo de Indicaciones

  • Etiquetas MITRE - Técnicas MITRE ATT&CK® identificadas para la amenaza.

    Para más información sobre el marco MITRE ATT&CK®, consulte Usando el Panel de MITRE ATT&CK®.

    • Haga clic en una técnica MITRE ATT&CK® para leer su description en el website MITRE ATT&CK®

  • Veredicto Previsto y Tipo Previsto basado en predicciones de aprendizaje automático para el veredicto probable y el tipo de malware potencial que usted puede identificar. Los algorithms de machine learning analizan los veredictos finales de historias similares

  • Historias Similares - Muestra historias con objetivos similares. Los details mostrados para cada historia incluyen: story threat type, story verdict (si está disponible), y el level de similitud según lo calculado por un model de aprendizaje automático (indicado por un porcentaje) Pase el ratón sobre la historia para mostrar una clasificación más detallada de la amenaza

4

Distribución de anomalías

Gráfico del comportamiento anómalo de los últimos 14 días. Para historias de Uso Anómalos, el gráfico muestra datos de las aplicaciones relevantes. Para historias de Eventos Anómalos, el gráfico muestra datos de los eventos relevantes.

  • Para mostrar los details de la anomaly, desplace el ratón sobre el gráfico

  • Para investigar más de cerca las diferentes aplicaciones o eventos detectados en la anomalía, haga clic en el botón de alternancia de una aplicación o evento para activar o desactivar su gráfico.

  • Haga clic en View All para abrir la pantalla de Application Analytics pre-filtrada para las aplicaciones relacionadas con la anomaly

5

Fuente

Información básica sobre el device en su network asociado con la anomaly

6

Principales Aplicaciones

Principales aplicaciones relacionadas con la anomalía, con detalles relevantes. Por ejemplo, una application para una anomaly de bandwidth ascendente aparece con la cantidad total de subida desde la application

  • Haga clic en View All para abrir la pantalla de Application Analytics pre-filtrada para las applications relacionadas con la anomaly

7

Principales Servidores/Destinos

Principales servidores y destinos involucrados en la anomalía, con detalles relevantes. Por ejemplo, un server para una anomaly de bandwidth ascendente aparece con la cantidad total de subida al server

  • Haga clic en View All para abrir la pantalla de Application Analytics y mostrar los destinations pre-filtrados para las applications relacionadas con la anomaly

8

Principales Hosts

Principales hosts relacionados con la anomalía, con detalles relevantes. Por ejemplo:

  • Un host para una anomaly de bandwidth ascendente aparece con el número de cargas desde el host

  • Los hosts para una anomalía en el comportamiento de un usuario muestran las IP addresses para el usuario en connections relacionadas con la anomaly

Haga clic en View All para abrir la pantalla de Application Analytics y mostrar los hosts pre-filtrados para las applications relacionadas con la anomaly

9

Objetivos

Muestra datos para las fuentes potencialmente maliciosas fuera del sitio de su red relacionadas con la historia.

Estas son descripciones de las columnas de la tabla de objetivos:

  • Target - Domains o IP addresses de fuentes externas identificadas en flows de tráfico relacionados con la historia

  • Fecha de Creación - Fecha de registro del dominio objetivo

  • Enlaces de Objetivo - Enlaces para buscar el objetivo en varias fuentes externas de inteligencia de amenazas. Para información adicional, haga clic en el icono de VirusTotal o seleccione otros recursos del menú desplegable.

  • Puntuación Maliciosa - La puntuación maliciosa del objetivo según los algoritmos de inteligencia de amenazas de Cato. Las puntuaciones varían de 0 (benigno) a 1 (malicioso)

  • Popularidad - Frecuencia con la que el objetivo aparece en las fuentes de datos internas de Cato. Los valores son: Impular, Bajo, Medio, Alto

  • Categorías - Categorías de Cato para el dominio objetivo

  • Feeds de Amenazas - Número de fuentes de inteligencia de amenazas de Cato que detectaron el objetivo como malicioso

  • Motores - Número de motores de seguridad de terceros que detectaron el objetivo como malicioso

  • País del Registrante - País donde se registra el dominio objetivo

  • Resultados de Búsqueda de Google - Número de resultados de búsqueda de Google para el objetivo

10

Principales Conexiones

Datos para las principales conexiones relacionadas con la anomalía. Por ejemplo, para una Anomalía de Ancho de Banda Ascendente de Usuario SDP, las conexiones con más ancho de banda de subida utilizado.

Estas son las descripciones de las columnas de la tabla:

  • Aplicación - La aplicación detectada en el flujo de tráfico para la conexión

  • IP de Origen - Dirección IP de origen en su red que envía o recibe el flujo

  • Destino - Dirección IP o dominio del objetivo externo que envía o recibe el flujo

  • Flujos - Número de flujos asociados con la conexión

  • Descarga - Uso del ancho de banda de descarga

  • Carga - Uso del ancho de banda de carga

  • Uso - Uso total del ancho de banda

Requisitos previos para Historias de Anomalías de UEBA

Algunas indicaciones detectadas por el motor de detección de anomalías requieren la configuración de un conector, una licencia específica o ambas. Esta tabla lista los requisitos previos para estas indicaciones. Si una indicación no está listada en la tabla, no hay requisitos previos adicionales.

Indicación

Requisitos Previos

Anomalía de Inicio de Sesión de Usuario Fallido

Licencia CASB y al menos uno de estos conectores:

  • Salesforce

  • GitHub

  • Azure ID

Descarga Masiva (Anomalía de Eventos de Descarga de Usuario)

Licencia CASB

Descarga Masiva (Anomalía de Eventos de Descarga de Sitio)

Licencia CASB

Subida Masiva (Anomalía de Eventos de Subida de Usuario)

Licencia CASB

Subida Masiva (Anomalía de Eventos de Subida de Sitio)

Licencia CASB

Eliminación Masiva (Actividad de Eliminación Inusual - Usuario)

Licencia CASB

Eliminación Masiva (Actividad de Eliminación Inusual - Sitio)

Licencia CASB

Creación Masiva (Actividad de Creación de Archivos Inusual - Usuario)

Licencia CASB

Primera Vez Detectado Uso de Protocolos Obsoletos o No Autorizados - Sitio

Licencia de Prevención de Amenazas

Primera Vez Detectado Uso de Protocolos Obsoletos o No Autorizados - Usuario

Licencia de Prevención de Amenazas

Anomalía de Tráfico C&C - Usuario

Licencia de Prevención de Amenazas

Anomalía de Tráfico C&C - Primer Subida a un Bucket S3 Sitios

Licencia de Prevención de Amenazas

Primera Subida a un Bucket S3

Licencia CASB y Anti-Malware

Anomalía de Eliminación de Correo

Licencia CASB y estos conectores

  • M365-Exchange

  • Actividades de Auditoría de Microsoft Exchange

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios