Investigación y Análisis de Historias de Seguridad de XOps

Este artículo discute cómo se puede usar la página de Historias de Detección & Respuesta para analizar historias por potenciales amenazas en su cuenta.

Nota

Nota: XOps es la capa de análisis unificada de Cato para seguridad y operaciones, que ofrece análisis y remediación guiada. XOps ha reemplazado a XDR, para más información, consulta Preguntas Frecuentes sobre XOps.

Resumen

Puedes hacer clic en una historia en el Banco de Trabajo de Historias para profundizar e investigar los detalles en la página de Historial de Detección y Respuesta. Esta página contiene una Visión general de la historia y un resumen de Historias Relacionadas. El Resumen contiene varios widgets que te ayudan a evaluar la posible amenaza identificada por los motores XOps, mientras que el resumen de Historias Relacionadas te ayuda a poner la historia en un contexto más amplio para su análisis.

Generando Resúmenes de Historia AI

La función de profundización del Stories Workbench incluye una herramienta que le permite crear una descripción de historia en lenguaje natural generada por IA, que proporciona un contexto rico y le ayuda a evaluar rápidamente la historia. El resumen de la historia se genera dinámicamente para reflejar el estado actual de la historia. Si la historia se actualiza con nueva información, puede regenerar el resumen para reflejar los cambios.

  • El resumen de historias con IA solo se genera bajo demanda por el admin

Protegiendo Datos Sensibles con Tokenización

Para una seguridad de datos robusta durante la transmisión de datos de historias a servicios de IA de terceros, Cato utiliza la tokenización para asegurar que todos los datos sensibles permanezcan en la plataforma XOps de Cato. Esto implica reemplazar información sensible con identificadores únicos, o "tokens," haciendo que los datos sean ininteligibles para entidades no autorizadas. Los datos sensibles nunca se exponen a servicios de terceros. Este enfoque asegura la confidencialidad de los detalles de la historia, en línea con nuestro compromiso con estándares robustos de privacidad y seguridad de datos.

Nota

Nota: Debido a las limitaciones de la IA generativa, la información proporcionada en los resúmenes de historias puede ocasionalmente contener inexactitudes.

Descenso y Análisis de Historias

Una Historia de Detección y Respuesta incluye widgets para evaluar la amenaza identificada. Dentro de la Historia, puedes revisar las alertas relevantes y las evidencias de respaldo como procesos, archivos, valores de registro, tareas programadas y actividad de red. Estas evidencias se presentan de la siguiente manera:

  • Un árbol de procesos cronológicos presentado en el contexto de una Alerta específica. Esto te ayuda a entender la secuencia de eventos que parecían sospechosos y generaron la Alerta.

    Nota: Esto puede no estar disponible en algunas historias debido a problemas de conectividad API.

  • La tabla Evidencias proporciona una vista general de las Evidencias para la historia. Esto ayuda a evaluar más ampliamente la prevalencia de actividades maliciosas o sospechosas específicas en el dispositivo de punto final.

Comprendiendo los Widgets de Resumen de Historia

Detection___Respuesta_Historia_Descripción_General.png

Estos son los widgets de Visión General de la historia:

Nota

Nota: No se incluye cada widget en cada historia. Los widgets en cada historia dependen del tipo de historia y los datos disponibles.

Nombre

Descripción

Resumen de la historia

La Resumen muestra un resumen de la información básica sobre la historia, incluyendo:

  • Indicación para el ataque detectado

  • El motor de Detección y Respuesta que creó la historia

  • Severidad de la amenaza según lo determinado por el analista

  • Veredicto de la amenaza según lo determinado por el analista

  • Tipo de ataque (por ejemplo, Extensión de Navegador, Aplicación Nativa, Escáner, Aplicación Web)

  • Clasificación detallada de la amenaza según lo determinado por el analista (por ejemplo, Escaneo de Puertos, Dominio Registrado Recientemente, Escaneo SMB)

  • Número de dispositivos comprometidos

  • Número de señales (flujos de tráfico) asociados con el ataque

  • Duración de la historia desde que fue creada

  • Estado de la historia

    Usa el menú desplegable Acciones y selecciona Gestionar Historia para cambiar la configuración de la historia como Veredicto del Analista, Severidad del Analista, Estado, y Clasificación.

    La pestaña Historias Relacionadas proporciona contexto para la historia que estás investigando permitiéndote revisar rápidamente historias con la misma fuente y historias con características similares que involucran diferentes fuentes en tu red.

    Cronología de la historia

    Muestra una cronología de la historia, como cambios realizados en el veredicto de la historia y la severidad, y cuando nuevos objetivos relacionados con la historia son identificados

    Detalles

    Información clave para analizar la historia, incluyendo una descripción de la amenaza, y técnicas MITRE ATT&CK® identificadas para la amenaza.

    • Haga clic en Generar Resumen con IA para una descripción de la historia en lenguaje natural que proporcione un contexto rico y le ayude a evaluar rápidamente la historia

    Otros detalles incluyen:

    • Criticidad - Puntaje de riesgo general para la historia calculado por el algoritmo de análisis de riesgo de aprendizaje automático de Cato (los valores son de 1 - 10)

      Este modelo de aprendizaje automático, conocido como un bosque aleatorio, calcula la criticidad analizando parámetros específicos de inteligencia de amenazas (TI) y datos generados de flujos de red y eventos.

      Un bosque aleatorio es un tipo de modelo de aprendizaje automático que combina los resultados de muchos "árboles de decisión" más pequeños para mejorar la precisión y la fiabilidad. Es especialmente útil para evaluar datos complejos y multifactoriales como las amenazas de seguridad.

      Para evaluar la criticidad, el modelo considera factores importantes como:

      • Tipo de SO

      • Popularidad del dominio dentro de Cato

      • Clasificación del cliente

      • Tipo de motor de seguridad que crea los eventos (si es relevante)

      • Acción tomada (bloquear, monitorizar, etc.)

      • Técnicas MITRE

      • Ubicación IP

      • Datos WHOIS

      En total, el modelo evalúa más de 40 parámetros para garantizar una evaluación completa y precisa de la criticidad de la historia.

    • Veredicto Predicho y Tipo Predicho basado en predicciones de aprendizaje automático para el veredicto probable y el tipo de malware potencial que puede identificar. Los algoritmos de aprendizaje automático analizan los veredictos finales de historias similares

    Para más información sobre el marco MITRE ATT&CK®, consulta Usando el Tablero MITRE ATT&CK®.

    • Haga clic en una técnica MITRE ATT&CK® para leer su descripción en el sitio web de MITRE ATT&CK®

    Fuente

    Información básica sobre el usuario y los dispositivos en tu red impactados por la amenaza

    Alertas/Incidentes/Detecciones

    Muestra detalles para las Alertas relacionadas con la historia.

    • Expande una Alerta para mostrar un árbol de procesos cronológicos para las Evidencias relacionadas con la Alerta, incluyendo procesos, archivos y valores de registro

    • Haz clic en un elemento del árbol de procesos para profundizar aún más y mostrar datos granulares sobre la Evidencia

    Estas son las columnas en la tabla:

    • Una que describe la actividad sospechosa

    • Criticidad - Puntuación de riesgo general para la Alerta según lo calculado por el algoritmo de análisis de riesgo de aprendizaje automático de Cato (los valores son de 1 - 10)

    • Técnicas MITRE - Técnicas MITRE ATT&CK® identificadas para la amenaza

      Para más información sobre el marco MITRE ATT&CK®, consulta Usando el Dashboard MITRE ATT&CK®.

    • Estado - Muestra si la Alerta es Nueva o ya ha sido Resuelta

    • Fecha de Primera Actividad - Fecha de actividad sospechosa inicial detectada para la Alerta

    • Fecha de Última Actividad - Fecha de la actividad sospechosa más reciente detectada para la Alerta

    • Nombre de la Amenaza - Nombre del malware detectado. Por ejemplo: Trojan:Win32/Startpage

    • Descripción & Acciones Recomendadas - Haz clic en Ver para una breve descripción de Alerta y pasos recomendados para investigar y mitigar la amenaza

    • Objetivo - La URL involucrada en la Alerta

    • IP de Destino - La dirección IP remota involucrada en la historia

    Evidencias

    Agrega detalles para todos los Procesos, Archivos, y valores de Registro identificados en la evidencia para las diferentes Alertas de historia.

    Algunas de las columnas en la tabla Evidencias son compartidas por todos los tipos de Evidencias, y algunas son específicas por tipo.

    Estas son las columnas que aparecen para todos los tipos de Evidencias:

    • Veredicto - Veredicto generado por Defender para la pieza de evidencia (Malicioso, Sospechoso, o No se encontraron amenazas)

    • Estado de Remediación - Muestra si la amenaza fue remediada

    • Creado - Fecha y hora cuando el evento fue registrado

    Estas son las columnas específicas para cada tipo de Evidencia:

    • Procesos:

      • Nombre del Proceso - Nombre del archivo ejecutable para el proceso

      • ID del Proceso - Número de identificación asignado por Windows para el proceso

      • Línea de Comando del Proceso - Argumentos que fueron pasados al proceso en Windows. Esto puede revelar un contexto importante sobre la ejecución de un proceso sospechoso

      • Ruta del Archivo - Ubicación en el dispositivo de punto final del archivo ejecutable para el proceso

    • Archivos:

      • Ruta del Archivo - Ubicación del archivo en el dispositivo de punto final

      • Nombre del Archivo - Nombre del archivo incluyendo extensión

      • Tamaño del Archivo - Tamaño del archivo en bytes, kilobytes, o megabytes

    • Registro:

      • Clave de Registro Nombre

      • Tipo de Valor de Registro - Formato de los datos almacenados en el valor de registro

      • Valor de Registro - El valor de la entrada de registro

    Geolocalización del Ataque

    Muestra la geolocalización para fuentes en su red (ubicaciones naranjas) y fuentes externas (ubicaciones rojas) relacionadas con la amenaza. Las flechas que conectan las fuentes indican la dirección del tráfico

    Acciones del Objetivo

    Eventos relacionados con cada objetivo, incluyendo la siguiente información:

    Columna

    Descripción

    Objetivo

    Dominios o direcciones IP de fuentes externas identificadas en los flujos de tráfico relacionados con la historia

    Tipo

    Motor de seguridad que generó los eventos relacionados con el objetivo

    Acción

    Acción tomada en el tráfico relacionado con el objetivo

    Eventos Relacionados

    Muestra firmas de amenazas que aparecen en eventos relacionados con el objetivo.

    • Pase el ratón sobre una firma para mostrar un resumen del registro de eventos

    • Haga clic en la firma para abrir la página de Eventos pre-filtrada por la firma

    Distribución del Ataque

    Distribución temporal de los flujos relacionados con el ataque.

    • Para facilitar la lectura del gráfico, en Objetivos, haga clic en un objetivo para ocultar esos datos del gráfico

    • Para mostrar los detalles del ataque, pase el ratón sobre el gráfico

    Objetivos

    Muestra datos para las fuentes potencialmente maliciosas fuera de su sitio de red relacionadas con la historia.

    Columna

    Descripción

    Fecha de Creación

    Fecha de registro del dominio objetivo

    Objetivo

    Dominios o direcciones IP de fuentes externas identificadas en los flujos de tráfico relacionados con la historia

    Enlaces del Objetivo

    Enlaces para buscar el objetivo en diversas fuentes de inteligencia de amenazas externas.

    Para información adicional, haga clic en el icono de VirusTotal o seleccione otros recursos del menú desplegable.

    Puntuación de Malicia

    La puntuación de malicia del objetivo según los algoritmos de inteligencia de amenazas de Cato. Las puntuaciones van de 0 (benigno) a 1 (malicioso)

    Popularidad

    Con qué frecuencia aparece el objetivo en las fuentes de datos internas de Cato. Los valores son: Impoular, Bajo, Medio, Alto

    Categorías

    Categorías de Cato para el dominio objetivo

    Fuentes de Amenazas

    Número de fuentes de inteligencia de amenazas de Cato que detectaron el objetivo como malicioso

    Motores

    Número de motores de seguridad de terceros que detectaron el objetivo como malicioso

    País del Registrante

    País donde el dominio objetivo está registrado

    Resultados de Búsqueda en Google

    Número de resultados de búsqueda en Google para el objetivo

    Flujos Relacionados con el Ataque

    Muestra datos para una muestra representativa de eventos relacionados con el ataque.

    Columna

    Descripción

    Objetivo

    Dominio o IP del objetivo del flujo de comunicación relevante

    Hora de Inicio

    Marca de tiempo para el inicio del flujo

    Dirección

    Dirección del flujo. Las direcciones incluyen:

    • Entrante - Tráfico a su red que se origina en una fuente externa

    • Saliente - Tráfico de su red a una fuente externa

    • WANbound - Tráfico de su red a otro sitio en su red

    IP de Origen

    Dirección IP de origen en su red que envía o recibe el flujo

    Puerto de Origen

    Puerto de origen en su red que envía o recibe el flujo

    IP de Destino

    Dirección IP del objetivo externo que envía o recibe el flujo

    Puerto de Destino

    El puerto del objetivo externo que envía o recibe el flujo

    Método

    El método HTTP en el flujo (GET, POST, y demás)

    URL Completa

    La URL completa del recurso externo en el flujo

    Cliente

    Tipo de aplicaciones cliente que se ejecutan en el sistema operativo que creó este flujo de red (por ejemplo, Chrome)

    Aplicación Cato

    La aplicación Cato utilizada en el flujo

    País de Destino

    Ubicación de la IP de Destino en el flujo

    IP de Respuesta DNS

    La dirección IP devuelta por una consulta DNS

    Eventos de Inicio de Sesión

    (Este widget requiere el conector de Microsoft Entra ID)

    Gráficos con desgloses de datos de los eventos de inicio de sesión del usuario desde el día de la alerta más los 2 días anteriores. Usa el menú desplegable para elegir el tipo de datos mostrados en los gráficos. Estas son las opciones:

    • IP de Origen - La dirección IP de la fuente detectada en el evento de inicio de sesión

    • Ubicación de Inicio de Sesión - La geolocalización desde donde se realizó el inicio de sesión

    • Clasificación del Cliente - El tipo de cliente utilizado para el inicio de sesión (por ejemplo, el nombre y la versión del navegador)

    • Agente de Usuario - El agente de usuario utilizado en el inicio de sesión como aparece en el campo Agente de Usuario en el encabezado HTTP para el tráfico. Estos son ejemplos de valores de agente de usuario:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • Tipo de SO - El tipo de sistema operativo en el dispositivo utilizado para el inicio de sesión (por ejemplo, Windows, macOS)

    • Versión de SO - El número de versión del sistema operativo en el dispositivo utilizado para el inicio de sesión

    Eventos de Inicio de Sesión en el Usuario

    (Este widget requiere el conector de Microsoft Entra ID)

    Muestra datos de los eventos de inicio de sesión del usuario desde el día de la alerta y los 2 días anteriores.

    Estas son las columnas en la tabla:

    • Hora del evento de inicio de sesión

    • Nombre de Usuario para el inicio de sesión

    • IP de Origen - La dirección IP de la fuente detectada en el evento de inicio de sesión

    • Ubicación de Inicio de Sesión - La geolocalización desde donde se realizó el inicio de sesión

    • Acción - Resultado del intento de inicio de sesión (valores: Fallido, Exitoso, Acceso denegado)

    • Razón de Fallo - Explicación para los resultados de inicio de sesión de Fallido o Acceso denegado

    • Aplicación - La aplicación en la que el usuario intentó iniciar sesión

    • Clasificación del Cliente - El tipo de cliente utilizado para el inicio de sesión (por ejemplo, el nombre y la versión del navegador)

    • Tipo de SO - El tipo de sistema operativo en el dispositivo utilizado para el inicio de sesión (por ejemplo, Windows, macOS)

    • Versión de SO - El número de versión del sistema operativo en el dispositivo utilizado para el inicio de sesión

    • Agente de Usuario - El agente de usuario utilizado en el inicio de sesión tal como aparece en el campo Agente de Usuario en el encabezado HTTP para el tráfico. Estos son ejemplos de valores de agente de usuario:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    Entendiendo el Resumen de Historias Relacionadas

    XDR_Historias_Relacionadas.png

    El resumen de Historias Relacionadas proporciona contexto para la historia que estás investigando al permitirte revisar rápidamente historias con la misma fuente e historias con características similares que involucran diferentes fuentes en tu red. El resumen muestra detalles clave para cada historia relacionada, y te permite abrir fácilmente el Stories Workbench prefiltrado para las historias relacionadas, o la página de Historia de Detección & Respuesta para una historia relacionada específica.

    Estas son las tablas en el resumen de Historias Relacionadas:

    • La tabla de Mejores Historias Similares te permite ver rápidamente si otras fuentes en tu red están involucradas en historias con características similares a esta historia que se está investigando, como la misma Indicación u Objetivo. Esta tabla muestra hasta las 5 mejores historias similares según la puntuación de Similitud de Objetivos. La tabla no está limitada a un rango de tiempo específico.

    • La tabla de Historias en la Fuente muestra todas las historias generadas por la fuente en esta historia, dentro del rango de tiempo seleccionado. El rango de tiempo predeterminado es las últimas 2 semanas. Esto te permite evaluar el contexto más amplio de actividades para esta fuente. Por ejemplo, esto puede ayudar a determinar si el comportamiento en esta historia es inusual o rutinario para esta fuente específica.

    Las siguientes acciones se pueden realizar en ambas tablas:

    • Haz clic en Ver en el Workbench para abrir el Acta de Historias prefiltrado para mostrar las historias en la tabla

    • Haz clic en la fila de una historia para abrir la página de Historia de Detección & Respuesta para esa historia

    Estas son las columnas en las tablas de Historias Relacionadas:

    • Hora de Creación - Hora en que se generó la historia

    • Última Actualización - Hora de la última actualización de la historia, como un nuevo objetivo o un veredicto cambiado

    • Indicación - Indicador de ataque para la historia. Para más información sobre indicaciones, consulta Usando el Catálogo de Indicaciones

      • Haga clic Open_in_New_Tab.png para abrir la página de Historia de Detección y Respuesta para esta historia en una nueva pestaña

      • Haga clic Tooltip_icon.png para más información sobre la indicación

    • Fuente - Dirección IP, nombre del dispositivo o usuario SDP en su red involucrado en la historia

    • Similitud de Objetivos (solo para Mejores Historias Similares) - Nivel de similitud de objetivos en común con la historia investigada, calculado por un modelo de aprendizaje automático (indicado por un porcentaje)

    • Objetivos Comunes (solo para Mejores Historias Similares) - URLs o direcciones IP de objetivos en común con la historia que se está investigando

    • Criticidad - Análisis de riesgo de Cato de la historia (los valores son de 1 (bajo riesgo) - 10 (alto riesgo))

    • El Estado de la historia - Los valores incluyen:

      • Abierto - La historia fue generada y no está resuelta

      • Pendiente de Cliente - La historia fue enviada al cliente y está esperando una respuesta de ellos

      • Pendiente de Analista - Esperando más información de los analistas de seguridad

      • Cerrado - Los analistas de seguridad cerraron la historia

      • Reabierto - Los productores de XOps detectaron nuevo tráfico que coincide con una historia cerrada, y automáticamente reabrieron la historia para permitir una revisión adicional. Las historias se reabren por el tráfico detectado 12 o más horas después de que la historia fue cerrada por primera vez. Dentro de 12 horas, la historia no es reabierta para permitir el manejo de la historia a través de la mitigación o supresión

    • Veredicto del Analista - El veredicto asignado a la historia por un analista

    • Clasificación del Analista - Una clasificación detallada del tipo de amenaza según lo definido por un analista

    ¿Fue útil este artículo?

    Usuarios a los que les pareció útil: 1 de 1

    0 comentarios