Profundización y análisis de historias de seguridad de XOps

Este artículo analiza cómo puedes usar la página Historia de Detección y Respuesta para analizar historias de amenazas potenciales en tu cuenta.

Resumen

Puedes hacer clic en una historia en el Banco de Trabajo de Historias para profundizar e investigar los detalles en la página Historia de Detección y Respuesta. Esta página contiene un Resumen de la historia y un resumen de Historias Relacionadas. El Resumen contiene varios widgets que te ayudan a evaluar la amenaza potencial identificada por los motores de XOps, mientras que el resumen de Historias Relacionadas te ayuda a poner la historia en un contexto más amplio para el análisis.

Generando resúmenes de historias de IA

El desglose en el Stories Workbench incluye una herramienta que te permite crear una descripción de la historia en lenguaje natural generada por IA, lo cual ofrece contexto enriquecido y te ayuda a evaluar rápidamente la historia. El resumen de la historia se genera dinámicamente para reflejar el estado actual de la historia. Si la historia se actualiza con nueva información, puedes regenerar el resumen para reflejar los cambios.

  • El resumen de historia de IA es generado solo a solicitud por el administrador

Protegiendo datos sensibles con tokenización

Para una seguridad de datos robusta durante la transmisión de datos de historia a servicios de IA de terceros, Cato utiliza tokenización para garantizar que todos los datos sensibles permanezcan en la plataforma Cato XOps. Esto implica reemplazar información sensible con identificadores únicos, o "tokens", haciendo que los datos sean ininteligibles para entidades no autorizadas. Los datos sensibles nunca se exponen a servicios de terceros. Este enfoque asegura la confidencialidad de los detalles de la historia, alineándose con nuestro compromiso con altos estándares de privacidad y seguridad de datos.

Nota

Nota: Debido a las limitaciones de la IA generativa, la información proporcionada en los resúmenes de las historias puede contener ocasionalmente inexactitudes.

Profundizando y analizando historias

Una Historia de Detección y Respuesta incluye widgets para evaluar la amenaza identificada. Dentro de la Historia, puedes revisar las alertas relevantes y evidencias de apoyo como procesos, archivos, valores de registro, tareas programadas y actividad de red. Esta evidencia se presenta en uno de los siguientes formatos:

  • Un árbol de procesos cronológico presentado en el contexto de una Alerta específica. Esto te ayuda a entender la secuencia de eventos que parecieron sospechosos y generaron la Alerta.

    Nota: Esto puede no estar disponible en algunas historias debido a problemas de conectividad de la API.

  • La Tabla de Evidencias proporciona un resumen de las Evidencias para la historia. Esto ayuda a evaluar de manera más amplia la prevalencia de actividades maliciosas o sospechosas específicas en el dispositivo de punto final.

Entendiendo los Widgets de Resumen de la Historia

Detection___Response_Story_Overview.png

Estos son los widgets de Resumen de la historia:

Nota

Nota: No todos los widgets están incluidos en cada historia. Los widgets en cada historia dependen del tipo de historia y los datos disponibles.

Nombre Descripción
Resumen de la historia

El Resumen muestra un resumen de la información básica sobre la historia, incluyendo:

  • Indicación para el ataque detectado
  • El motor de Detección & Respuesta que creó la historia
  • Severidad de la amenaza según lo determinado por el analista
  • Veredicto de la amenaza según lo determinado por el analista
  • Tipo de ataque (por ejemplo, Extensión del Navegador, Aplicación Nativa, Scanner, Aplicación Web)
  • Clasificación detallada de la amenaza según lo determinado por el analista (por ejemplo, Escaneo de Puerto, Dominio Recién Registrado, Escaneo SMB)
  • Número de dispositivos comprometidos
  • Número de señales (flujos de tráfico) asociados con el ataque
  • Duración de la historia desde que fue creada
  • Estado de la historia

Utilice el menú desplegable Acciones y seleccione Gestionar Historia para cambiar configuraciones de la historia como Veredicto del Analista, Severidad según el Analista, Estado y Clasificación.

La pestaña Historias Relacionadas proporciona contexto para la historia que estás investigando al permitirte revisar rápidamente historias con la misma fuente e historias con características similares que involucran diferentes fuentes en tu red.
Cronología de la historia Muestra una cronología de la historia, como cambios realizados en el veredicto y la severidad de la historia, y cuándo se identifican nuevos objetivos relacionados con la historia.
Detalles

Información clave para analizar la historia, incluida una descripción de la amenaza y las técnicas MITRE ATT&CK® identificadas para la amenaza.

  • Haga clic en Generar Resumen de IA para obtener una descripción de la historia en lenguaje natural que proporciona un contexto enriquecido y te ayuda a evaluar rápidamente la historia

Otros detalles incluyen:

  • Gravedad - Puntuación de riesgo general para la historia calculada por el algoritmo de análisis de riesgo de aprendizaje automático de Cato (los valores son de 1 a 10)

    Este modelo de aprendizaje automático, conocido como un bosque aleatorio, calcula la gravedad analizando parámetros específicos de la inteligencia de amenazas (TI) y los datos generados a partir de flujos de red y eventos.

    Un bosque aleatorio es un tipo de modelo de ML que combina los resultados de muchos "árboles de decisión" más pequeños para mejorar la precisión y la fiabilidad. Es especialmente útil para evaluar datos complejos y multifactoriales como las amenazas de seguridad.

    Para evaluar la gravedad, el modelo considera factores importantes tales como:

    • Tipo de sistema operativo
    • Popularidad del dominio dentro de Cato
    • Clasificación del cliente
    • Tipo de motor de seguridad que crea los eventos (si es relevante)
    • Acción realizada (bloquear, monitorear, etc.)
    • Técnicas MITRE
    • Ubicación IP
    • Datos WHOIS

    En total, el modelo evalúa más de 40 parámetros para asegurar una evaluación completa y precisa de la gravedad de la historia.

  • Veredicto Predicho y Tipo Predicho basado en predicciones de aprendizaje automático para el veredicto probable y el tipo potencial de malware que puedes identificar. Los algoritmos de aprendizaje automático analizan los veredictos finales de historias similares

Para más información sobre el marco de MITRE ATT&CK®, consulte Usar el Dashboard MITRE ATT&CK®.

  • Haga clic en una técnica de MITRE ATT&CK® para leer su descripción en el sitio web de MITRE ATT&CK®
Entidades Las entidades donde ocurrieron las historias. Estos podrían ser Usuarios, Sitios, Almacenes de datos, aplicaciones, etc.
Alertas/Incidentes/Detecciones

Muestra detalles de las Alertas relacionadas con la historia.

  • Expande una Alerta para mostrar un árbol de procesos cronológico de las Evidencias relacionadas con la Alerta, incluyendo procesos, archivos y valores de registro
  • Haz clic en un elemento del árbol de procesos para profundizar más y mostrar datos granulares sobre la Evidencia

Estas son las columnas en la tabla:

  • Una que describe la actividad sospechosa
  • Criticidad - Puntuación total de riesgo para la Alerta calculada por el algoritmo de análisis de riesgo de aprendizaje automático de Cato (los valores son de 1 a 10)

  • Técnicas MITRE - Técnicas MITRE ATT&CK® identificadas para la amenaza

    Para más sobre el marco MITRE ATT&CK®, consulte Using the MITRE ATT&CK® Dashboard.

  • Estado - Muestra si la Alerta es Nueva o ya se resolvió
  • Fecha de la Primera Actividad - Fecha de la actividad sospechosa inicial detectada para la Alerta
  • Fecha de la Última Actividad - Fecha de la actividad sospechosa más reciente detectada para la Alerta
  • Nombre de la Amenaza - Nombre del malware detectado. Por ejemplo: Trojan:Win32/Startpage
  • Descripción y Acciones Recomendadas - Haz clic en Ver para una breve descripción de la Alerta y pasos recomendados para investigar y mitigar la amenaza
  • Objetivo - La URL involucrada en la Alerta
  • IP de Destino - La dirección IP remota involucrada en la historia
Evidencias

Agrega detalles para todos los Procesos, Archivos y valores de Registro identificados en la evidencia para las distintas Alertas de la historia.

Algunas de las columnas en la tabla de Evidencias son compartidas por todos los tipos de Evidencias, mientras que otras son específicas por tipo.

Estas son las columnas que aparecen para todos los tipos de Evidencias:

  • Veredicto - Veredicto generado por Defender para la evidencia (Malicioso, Sospechoso o No se encontraron amenazas)
  • Estado de Remediación - Muestra si la amenaza fue remediada
  • Creado - Fecha y hora en que se registró el evento

Estas son las columnas específicas para cada tipo de Evidencia:

  • Procesos:

    • Nombre del Proceso - Nombre del archivo ejecutable para el proceso
    • ID del Proceso - Número de ID asignado por Windows para el proceso
    • Línea de Comando del Proceso - Argumentos pasados al proceso en Windows. Esto puede revelar un contexto importante sobre la ejecución de un proceso sospechoso
    • Ruta del Archivo - Ubicación en el dispositivo terminal del archivo ejecutable para el proceso

  • Archivos:

    • Ruta del Archivo - Ubicación del archivo en el dispositivo terminal
    • Nombre del Archivo - Nombre del archivo, incluyendo la extensión
    • Tamaño del Archivo - Tamaño del archivo en bytes, kilobytes o megabytes

  • Registro:

    • Clave de Registro Nombre
    • Tipo de Valor de Registro - Formato de los datos almacenados en el valor del registro
    • Valor del Registro - El valor de la entrada del registro
Geolocalización del Ataque Muestra la geolocalización para fuentes en tu red (ubicaciones en naranja) y fuentes externas (ubicaciones en rojo) relacionadas con la amenaza. Las flechas que conectan las fuentes indican la dirección del tráfico
Acciones de Objetivo

Eventos relacionados con cada objetivo, incluyendo la siguiente información:

Columna Descripción
Objetivo Dominios o direcciones IP de fuentes externas identificadas en flujos de tráfico relacionados con la historia
Tipo Motor de seguridad que generó los eventos relacionados con el objetivo
Acción Acción tomada en el tráfico relacionado con el objetivo
Eventos Relacionados

Muestra las firmas de amenazas que aparecen en eventos relacionados con el objetivo.

  • Pasa el ratón sobre una firma para mostrar un resumen del registro de eventos
  • Haz clic en la firma para abrir la página de Eventos pre-filtrada por la firma
Distribución del Ataque

Distribución temporal de los flujos relacionados con el ataque.

  • Para facilitar la lectura del gráfico, dentro de Objetivos, haz clic en un objetivo para ocultar esos datos del gráfico
  • Para mostrar los detalles del ataque, pasa el ratón sobre el gráfico
Objetivos

Muestra datos para las fuentes potencialmente maliciosas fuera de tu sitio de red relacionadas con la historia.

Columna Descripción
Fecha de Creación Fecha de registro del dominio objetivo
Objetivo Dominios o direcciones IP de fuentes externas identificadas en flujos de tráfico relacionados con la historia
Enlaces de Objetivo

Enlaces para buscar el objetivo en varias fuentes de inteligencia de amenazas externas.

Para más información, haz clic en el icono de VirusTotal o selecciona otros recursos del menú desplegable.
Puntaje de Malicia El puntaje de malicia del objetivo según los algoritmos de inteligencia de amenazas de Cato. Los puntajes van de 0 (benigno) a 1 (malicioso)
Popularidad Con qué frecuencia aparece el objetivo en las fuentes de datos internas de Cato. Los valores son: Impópular, Bajo, Medio, Alto
Categorías Categorías de Cato para el dominio objetivo
Fuentes de Amenazas Número de fuentes de inteligencia de amenazas de Cato que detectaron el objetivo como malicioso
Motores Número de motores de seguridad de terceros que detectaron el objetivo como malicioso
País del Registrante País donde está registrado el dominio objetivo
Resultados de Búsqueda de Google Número de resultados de búsqueda de Google para el objetivo
Flujos Relacionados con el Ataque

Muestra datos de una muestra representativa de eventos relacionados con el ataque.

Columna Descripción
Objetivo Dominio de objetivo o IP del flujo de comunicación relevante
Hora de Inicio Marca de tiempo para el inicio del flujo
Dirección

Dirección del flujo. Las direcciones incluyen:

  • Entrante - Tráfico hacia tu red originado en una fuente externa
  • Saliente - Tráfico desde tu red hacia una fuente externa
  • WANbound - Tráfico desde tu red hacia otro sitio en tu red
IP de Origen Dirección IP de origen en tu red enviando o recibiendo el flujo
Puerto de Origen Puerto de origen en tu red enviando o recibiendo el flujo
IP de Destino Dirección IP del objetivo externo enviando o recibiendo el flujo
Puerto de Destino El puerto del objetivo externo enviando o recibiendo el flujo
Método El método HTTP en el flujo (GET, POST, etc.)
URL de Ruta Completa La URL completa del recurso externo en el flujo
Cliente Tipo de aplicaciones cliente que se ejecutan en el sistema operativo que creó este flujo de red (por ejemplo, Chrome)
Cato App La aplicación de Cato utilizada en el flujo
País de Destino Ubicación del IP de Destino en el flujo
IP de Respuesta DNS La dirección IP devuelta por una búsqueda DNS

Eventos de Inicio de Sesión

(Este widget requiere el conector Microsoft Entra ID)

Gráficos con desgloses de datos de eventos de inicio de sesión para el usuario desde el día de la alerta más los 2 días anteriores. Utiliza el menú desplegable para elegir el tipo de datos mostrados en los gráficos. Estas son las opciones:

  • IP de Origen - La dirección IP del origen detectado en el evento de inicio de sesión
  • Ubicación del Inicio de Sesión - La geolocalización desde donde se realizó el inicio de sesión
  • Clasificación del Cliente - El tipo de cliente utilizado para el inicio de sesión (por ejemplo, el nombre y la versión del navegador)

  • Agente de Usuario - El agente de usuario utilizado en el inicio de sesión tal como aparece en el campo de User Agent del encabezado HTTP para el tráfico. Estos son ejemplos de valores de agentes de usuario:

    • Chrome/90.0.4430.212
    • Safari/537.36
    • Mozilla/5.0 (Windows NT 10.0; Win64; x64)
  • Tipo de OS - El tipo de sistema operativo en el dispositivo utilizado para el inicio de sesión (por ejemplo, Windows, macOS)
  • Versión de OS - El número de versión del sistema operativo en el dispositivo utilizado para el inicio de sesión

Eventos de Inicio de Sesión en el Usuario

(Este widget requiere el conector de Microsoft Entra ID)

Muestra datos de eventos de inicio de sesión del usuario desde el día de la alerta y los 2 días anteriores.

Estas son las columnas en la tabla:

  • Hora del evento de inicio de sesión
  • Nombre de Usuario para el inicio de sesión
  • IP de Origen - La dirección IP del origen detectado en el evento de inicio de sesión
  • Ubicación del Inicio de Sesión - La geolocalización desde donde se realizó el inicio de sesión
  • Acción - Resultado del intento de inicio de sesión (valores: Fallido, Exitoso, Acceso denegado)
  • Razón del Fallo - Explicación para resultados de inicio de sesión de Fallido o Acceso denegado
  • Aplicación - La aplicación a la que el usuario intentó iniciar sesión
  • Clasificación del Cliente - El tipo de cliente utilizado para el inicio de sesión (por ejemplo, el nombre y la versión del navegador)
  • Tipo de OS - El tipo de sistema operativo en el dispositivo utilizado para el inicio de sesión (por ejemplo, Windows, macOS)
  • Versión de OS - El número de versión del sistema operativo en el dispositivo utilizado para el inicio de sesión

  • Agente de Usuario - El agente de usuario utilizado en el inicio de sesión tal como aparece en el campo de User Agent del encabezado HTTP para el tráfico. Estos son ejemplos de valores de agentes de usuario:

    • Chrome/90.0.4430.212
    • Safari/537.36
    • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

Entendiendo el Resumen de Historias Relacionadas

XDR_Related_Stories.png

El resumen de Historias Relacionadas proporciona contexto para la historia que está investigando al permitirle revisar rápidamente historias con la misma fuente e historias con características similares que involucran diferentes fuentes en su red. El resumen muestra detalles clave para cada historia relacionada, y le permite abrir fácilmente el Banco de Trabajo de Historias prefiltrado para las historias relacionadas, o la página de Historia de Detección y Respuesta para una historia relacionada específica.

Estas son las tablas en el resumen de Historias Relacionadas:

  • La tabla de Historias Más Similares le permite ver rápidamente si otras fuentes en su red están involucradas en historias con características similares a esta historia en investigación, como la misma Indicación u Objetivo. Esta tabla muestra hasta las 5 historias más similares según el puntaje de Similitud de Objetivos. La tabla no está limitada a un rango de tiempo específico.
  • La tabla de Historias en la Fuente muestra todas las historias generadas por la fuente en esta historia, dentro del rango de tiempo seleccionado. El rango de tiempo predeterminado es las últimas 2 semanas. Esto le permite evaluar el contexto más amplio de actividad para esta fuente. Por ejemplo, esto puede ayudar a determinar si el comportamiento en esta historia es inusual o rutinario para esta fuente específica.

Estas son las acciones que se pueden realizar en ambas tablas:

  • Haga clic en Ver en el Banco de Trabajo para abrir el Banco de Trabajo de Historias prefiltrado para mostrar las historias en la tabla
  • Haga clic en la fila de una historia para abrir la página de Historia de Detección y Respuesta para esa historia

Estas son las columnas en las tablas de Historias Relacionadas:

  • Hora de Creación - Hora en que fue generada la historia
  • Última Actualización - Hora de la última actualización de la historia, como un nuevo objetivo o cambio de veredicto

  • Indicación - Indicador de ataque para la historia. Para más información sobre indicaciones, consulta Usando el Catálogo de Indicaciones

    • Haga clic en Open_in_New_Tab.png para abrir la página de la Historia de Detección & Respuesta para esta historia en una nueva pestaña
    • Haga clic en Tooltip_icon.png para más información sobre la indicación
  • Fuente - Dirección IP, nombre del dispositivo o usuario SDP en su red involucrado en la historia
  • Similitud de Objetivos (solo para Historias Más Similares) - Nivel de similitud de objetivos en común con la historia investigada, calculado por un modelo de aprendizaje automático (indicado por un porcentaje)
  • Objetivos Comunes (solo para Historias Más Similares) - URLs o direcciones IP de objetivos en común con la historia que se investiga
  • Criticidad - El análisis de riesgo de Cato para la historia (los valores son de 1 (bajo riesgo) - 10 (alto riesgo))

  • El Estado de la historia - Los valores incluyen:

    • Abierto - La historia fue generada y no está resuelta
    • Pendiente Cliente - La historia fue enviada al cliente y está esperando una respuesta de ellos
    • Pendiente Analista - Esperando más información de analistas de seguridad
    • Cerrado - Los analistas de seguridad cerraron la historia
    • Reabierto - Los productores de XOps detectaron nuevo tráfico que coincide con una historia cerrada y reabrieron automáticamente la historia para permitir una revisión adicional. Las historias se reabren para el tráfico detectado 12 o más horas después de que la historia fuera cerrada por primera vez. Dentro de 12 horas la historia no se reabre para permitir el manejo de la historia a través de mitigación o silenciamiento
  • Veredicto del Analista - El veredicto asignado a la historia por un analista
  • Clasificación del Analista - Una clasificación detallada del tipo de amenaza según lo definido por un analista

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios