Profundización y análisis de historias de seguridad de XOps

Este artículo analiza cómo puedes usar la página Historia de Detección y Respuesta para analizar historias de amenazas potenciales en tu cuenta.

Resumen

Puedes hacer clic en una historia en el Banco de Trabajo de Historias para profundizar e investigar los detalles en la página Historia de Detección y Respuesta. Esta página contiene un Resumen de la historia y un resumen de Historias Relacionadas. El Resumen contiene varios widgets que te ayudan a evaluar la amenaza potencial identificada por los motores de XOps, mientras que el resumen de Historias Relacionadas te ayuda a poner la historia en un contexto más amplio para el análisis.

Generación de resúmenes de historias con IA

El desglose en el Stories Workbench incluye una herramienta que te permite crear una descripción de la historia en lenguaje natural generada por IA, lo cual ofrece contexto enriquecido y te ayuda a evaluar rápidamente la historia. El resumen de la historia se genera dinámicamente para reflejar el estado actual de la historia. Si la historia se actualiza con nueva información, puedes regenerar el resumen para reflejar los cambios.

  • El resumen de la historia por IA se genera solo a demanda por el administrador

Protegiendo datos sensibles con tokenización

Para una seguridad de datos robusta durante la transmisión de datos de historia a servicios de IA de terceros, Cato utiliza tokenización para garantizar que todos los datos sensibles permanezcan en la plataforma Cato XOps. Esto implica reemplazar información sensible con identificadores únicos, o "tokens", haciendo que los datos sean ininteligibles para entidades no autorizadas. Los datos sensibles nunca se exponen a servicios de terceros. Este enfoque asegura la confidencialidad de los detalles de la historia, alineándose con nuestro compromiso con altos estándares de privacidad y seguridad de datos.

Nota

Nota: Debido a las limitaciones de la IA generativa, la información proporcionada en los resúmenes de las historias puede contener ocasionalmente inexactitudes.

Profundización y análisis de historias

Una Historia de Detección y Respuesta incluye widgets para evaluar la amenaza identificada. Dentro de la Historia, puedes revisar las alertas relevantes y evidencias de apoyo como procesos, archivos, valores de registro, tareas programadas y actividad de red. Esta evidencia se presenta en uno de los siguientes formatos:

  • Un árbol de procesos cronológico presentado en el contexto de una Alerta específica. Esto te ayuda a entender la secuencia de eventos que parecieron sospechosos y generaron la Alerta.

    Nota: Esto puede no estar disponible en algunas historias debido a problemas de conectividad de la API.

  • La tabla de Evidencias proporciona un resumen de las Evidencias de la historia. Esto ayuda a evaluar más ampliamente la prevalencia de actividades maliciosas o sospechosas específicas en el dispositivo final.

Entendiendo los widgets de Resumen de la Historia

Detection___Response_Story_Overview.png

Estos son los widgets de Resumen de la historia:

Nota

Nota: No todos los widgets están incluidos en cada historia. Los widgets en cada historia dependen del tipo de historia y los datos disponibles.

Nombre

Descripción

Resumen de la historia

El Resumen muestra un resumen de la información básica sobre la historia, incluyendo:

  • Indicación del ataque detectado

  • El motor de Detección y Respuesta que creó la historia

  • Gravedad de la amenaza según lo determinado por el analista

  • Veredicto de la amenaza según lo determinado por el analista

  • Tipo de ataque (por ejemplo, Extensión de Navegador, Aplicación Nativa, Escáner, Aplicación Web)

  • Clasificación detallada de la amenaza según lo determinado por el analista (por ejemplo, Escaneo de Puertos, Dominio Registrado Recientemente, Escaneo SMB)

  • Número de dispositivos comprometidos

  • Número de señales (flujos de tráfico) asociadas con el ataque

  • Duración de la historia desde que fue creada

  • Estado de la historia

    Usa el menú desplegable de Acciones y selecciona Administrar Historia para cambiar configuraciones de la historia como Veredicto del Analista, Gravedad del Analista, Estado, y Clasificación.

    La pestaña Historias Relacionadas proporciona contexto para la historia que estás investigando permitiéndote revisar rápidamente historias con la misma fuente e historias con características similares involucrando diferentes fuentes en tu red.

    Línea de tiempo de la historia

    Muestra una línea de tiempo de la historia, como cambios hechos al veredicto y gravedad de la historia, y cuando se identifican nuevos objetivos relacionados con la historia

    Detalles

    Información clave para analizar la historia, incluyendo una descripción de la amenaza y técnicas MITRE ATT&CK® identificadas para la amenaza.

    • Haz clic en Generar Resumen de IA para obtener una descripción de la historia en lenguaje natural que proporciona contexto enriquecido y te ayuda a evaluar rápidamente la historia

    Otros detalles incluyen:

    • Criticidad - Puntuación total de riesgo para la historia calculada por el algoritmo de análisis de riesgo de aprendizaje automático de Cato (los valores son de 1 a 10)

      Este modelo de aprendizaje automático, conocido como bosque aleatorio, calcula la criticidad analizando parámetros específicos de inteligencia de amenazas (TI) y datos generados a partir de flujos y eventos de la red.

      Un bosque aleatorio es un tipo de modelo ML que combina los resultados de muchos "árboles de decisión" más pequeños para mejorar la precisión y la fiabilidad. Es especialmente útil para evaluar datos complejos de múltiples factores como amenazas de seguridad.

      Para evaluar la criticidad, el modelo considera factores importantes como:

      • Tipo de OS

      • Popularidad del dominio dentro de Cato

      • Clasificación del cliente

      • Tipo de motor de seguridad que crea los eventos (si es relevante)

      • Acción tomada (bloquear, monitorear, etc.)

      • Técnicas MITRE

      • Ubicación de la IP

      • Datos WHOIS

      En total, el modelo evalúa más de 40 parámetros para asegurar una evaluación completa y precisa de la criticidad de la historia.

    • Veredicto Previsto y Tipo Previsto basados en predicciones de aprendizaje automático para el veredicto probable y tipo de malware potencial que puedas identificar. Los algoritmos de aprendizaje automático analizan los veredictos finales de historias similares

    Para más sobre el marco MITRE ATT&CK®, consulte Using the MITRE ATT&CK® Dashboard.

    • Haz clic en una técnica MITRE ATT&CK® para leer su descripción en el sitio web de MITRE ATT&CK®

    Fuente

    Información básica sobre el usuario y dispositivos en tu red afectados por la amenaza

    Alertas/Incidentes/Detecciones

    Muestra detalles de las Alertas relacionadas con la historia.

    • Expande una Alerta para mostrar un árbol de procesos cronológico de las Evidencias relacionadas con la Alerta, incluyendo procesos, archivos y valores de registro

    • Haz clic en un elemento del árbol de procesos para profundizar más y mostrar datos granulares sobre la Evidencia

    Estas son las columnas en la tabla:

    • Una que describe la actividad sospechosa

    • Criticidad - Puntuación total de riesgo para la Alerta calculada por el algoritmo de análisis de riesgo de aprendizaje automático de Cato (los valores son de 1 a 10)

    • Técnicas MITRE - Técnicas MITRE ATT&CK® identificadas para la amenaza

      Para más sobre el marco MITRE ATT&CK®, consulte Using the MITRE ATT&CK® Dashboard.

    • Estado - Muestra si la Alerta es Nueva o ya se resolvió

    • Fecha de la Primera Actividad - Fecha de la actividad sospechosa inicial detectada para la Alerta

    • Fecha de la Última Actividad - Fecha de la actividad sospechosa más reciente detectada para la Alerta

    • Nombre de la Amenaza - Nombre del malware detectado. Por ejemplo: Trojan:Win32/Startpage

    • Descripción y Acciones Recomendadas - Haz clic en Ver para una breve descripción de la Alerta y pasos recomendados para investigar y mitigar la amenaza

    • Objetivo - La URL involucrada en la Alerta

    • IP de Destino - La dirección IP remota involucrada en la historia

    Evidencias

    Agrega detalles para todos los Procesos, Archivos y valores de Registro identificados en la evidencia para las distintas Alertas de la historia.

    Algunas de las columnas en la tabla de Evidencias son compartidas por todos los tipos de Evidencias, mientras que otras son específicas por tipo.

    Estas son las columnas que aparecen para todos los tipos de Evidencias:

    • Veredicto - Veredicto generado por Defender para la evidencia (Malicioso, Sospechoso o No se encontraron amenazas)

    • Estado de Remediación - Muestra si la amenaza fue remediada

    • Creado - Fecha y hora en que se registró el evento

    Estas son las columnas específicas para cada tipo de Evidencia:

    • Procesos:

      • Nombre del Proceso - Nombre del archivo ejecutable para el proceso

      • ID del Proceso - Número de ID asignado por Windows para el proceso

      • Línea de Comando del Proceso - Argumentos pasados al proceso en Windows. Esto puede revelar un contexto importante sobre la ejecución de un proceso sospechoso

      • Ruta del Archivo - Ubicación en el dispositivo terminal del archivo ejecutable para el proceso

    • Archivos:

      • Ruta del Archivo - Ubicación del archivo en el dispositivo terminal

      • Nombre del Archivo - Nombre del archivo, incluyendo la extensión

      • Tamaño del Archivo - Tamaño del archivo en bytes, kilobytes o megabytes

    • Registro:

      • Clave de Registro Nombre

      • Tipo de Valor de Registro - Formato de los datos almacenados en el valor del registro

      • Valor del Registro - El valor de la entrada del registro

    Geolocalización del Ataque

    Muestra la geolocalización para fuentes en tu red (ubicaciones en naranja) y fuentes externas (ubicaciones en rojo) relacionadas con la amenaza. Las flechas que conectan las fuentes indican la dirección del tráfico

    Acciones de Objetivo

    Eventos relacionados con cada objetivo, incluyendo la siguiente información:

    Columna

    Descripción

    Objetivo

    Dominios o direcciones IP de fuentes externas identificadas en flujos de tráfico relacionados con la historia

    Tipo

    Motor de seguridad que generó los eventos relacionados con el objetivo

    Acción

    Acción tomada en el tráfico relacionado con el objetivo

    Eventos Relacionados

    Muestra las firmas de amenazas que aparecen en eventos relacionados con el objetivo.

    • Pasa el ratón sobre una firma para mostrar un resumen del registro de eventos

    • Haz clic en la firma para abrir la página de Eventos pre-filtrada por la firma

    Distribución del Ataque

    Distribución temporal de los flujos relacionados con el ataque.

    • Para facilitar la lectura del gráfico, dentro de Objetivos, haz clic en un objetivo para ocultar esos datos del gráfico

    • Para mostrar los detalles del ataque, pasa el ratón sobre el gráfico

    Objetivos

    Muestra datos para las fuentes potencialmente maliciosas fuera de tu sitio de red relacionadas con la historia.

    Columna

    Descripción

    Fecha de Creación

    Fecha de registro del dominio objetivo

    Objetivo

    Dominios o direcciones IP de fuentes externas identificadas en flujos de tráfico relacionados con la historia

    Enlaces de Objetivo

    Enlaces para buscar el objetivo en varias fuentes de inteligencia de amenazas externas.

    Para más información, haz clic en el icono de VirusTotal o selecciona otros recursos del menú desplegable.

    Puntaje de Malicia

    El puntaje de malicia del objetivo según los algoritmos de inteligencia de amenazas de Cato. Los puntajes van de 0 (benigno) a 1 (malicioso)

    Popularidad

    Con qué frecuencia aparece el objetivo en las fuentes de datos internas de Cato. Los valores son: Impópular, Bajo, Medio, Alto

    Categorías

    Categorías de Cato para el dominio objetivo

    Fuentes de Amenazas

    Número de fuentes de inteligencia de amenazas de Cato que detectaron el objetivo como malicioso

    Motores

    Número de motores de seguridad de terceros que detectaron el objetivo como malicioso

    País del Registrante

    País donde está registrado el dominio objetivo

    Resultados de Búsqueda de Google

    Número de resultados de búsqueda de Google para el objetivo

    Flujos Relacionados con el Ataque

    Muestra datos de una muestra representativa de eventos relacionados con el ataque.

    Columna

    Descripción

    Objetivo

    Dominio de objetivo o IP del flujo de comunicación relevante

    Hora de Inicio

    Marca de tiempo para el inicio del flujo

    Dirección

    Dirección del flujo. Las direcciones incluyen:

    • Entrante - Tráfico hacia tu red originado en una fuente externa

    • Saliente - Tráfico desde tu red hacia una fuente externa

    • WANbound - Tráfico desde tu red hacia otro sitio en tu red

    IP de Origen

    Dirección IP de origen en tu red enviando o recibiendo el flujo

    Puerto de Origen

    Puerto de origen en tu red enviando o recibiendo el flujo

    IP de Destino

    Dirección IP del objetivo externo enviando o recibiendo el flujo

    Puerto de Destino

    El puerto del objetivo externo enviando o recibiendo el flujo

    Método

    El método HTTP en el flujo (GET, POST, etc.)

    URL de Ruta Completa

    La URL completa del recurso externo en el flujo

    Cliente

    Tipo de aplicaciones cliente que se ejecutan en el sistema operativo que creó este flujo de red (por ejemplo, Chrome)

    Cato App

    La aplicación de Cato utilizada en el flujo

    País de Destino

    Ubicación del IP de Destino en el flujo

    IP de Respuesta DNS

    La dirección IP devuelta por una búsqueda DNS

    Eventos de Inicio de Sesión

    (Este widget requiere el conector Microsoft Entra ID)

    Gráficos con desgloses de datos de eventos de inicio de sesión para el usuario desde el día de la alerta más los 2 días anteriores. Utiliza el menú desplegable para elegir el tipo de datos mostrados en los gráficos. Estas son las opciones:

    • IP de Origen - La dirección IP del origen detectado en el evento de inicio de sesión

    • Ubicación del Inicio de Sesión - La geolocalización desde donde se realizó el inicio de sesión

    • Clasificación del Cliente - El tipo de cliente utilizado para el inicio de sesión (por ejemplo, el nombre y la versión del navegador)

    • Agente de Usuario - El agente de usuario utilizado en el inicio de sesión tal como aparece en el campo de User Agent del encabezado HTTP para el tráfico. Estos son ejemplos de valores de agentes de usuario:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • Tipo de OS - El tipo de sistema operativo en el dispositivo utilizado para el inicio de sesión (por ejemplo, Windows, macOS)

    • Versión de OS - El número de versión del sistema operativo en el dispositivo utilizado para el inicio de sesión

    Eventos de Inicio de Sesión en el Usuario

    (Este widget requiere el conector de Microsoft Entra ID)

    Muestra datos de eventos de inicio de sesión del usuario desde el día de la alerta y los 2 días anteriores.

    Estas son las columnas en la tabla:

    • Hora del evento de inicio de sesión

    • Nombre de Usuario para el inicio de sesión

    • IP de Origen - La dirección IP del origen detectado en el evento de inicio de sesión

    • Ubicación del Inicio de Sesión - La geolocalización desde donde se realizó el inicio de sesión

    • Acción - Resultado del intento de inicio de sesión (valores: Fallido, Exitoso, Acceso denegado)

    • Razón del Fallo - Explicación para resultados de inicio de sesión de Fallido o Acceso denegado

    • Aplicación - La aplicación a la que el usuario intentó iniciar sesión

    • Clasificación del Cliente - El tipo de cliente utilizado para el inicio de sesión (por ejemplo, el nombre y la versión del navegador)

    • Tipo de OS - El tipo de sistema operativo en el dispositivo utilizado para el inicio de sesión (por ejemplo, Windows, macOS)

    • Versión de OS - El número de versión del sistema operativo en el dispositivo utilizado para el inicio de sesión

    • Agente de Usuario - El agente de usuario utilizado en el inicio de sesión tal como aparece en el campo de User Agent del encabezado HTTP para el tráfico. Estos son ejemplos de valores de agentes de usuario:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    Entendiendo el Resumen de Historias Relacionadas

    XDR_Related_Stories.png

    El resumen de Historias Relacionadas proporciona contexto para la historia que está investigando al permitirle revisar rápidamente historias con la misma fuente e historias con características similares que involucran diferentes fuentes en su red. El resumen muestra detalles clave para cada historia relacionada, y le permite abrir fácilmente el Banco de Trabajo de Historias prefiltrado para las historias relacionadas, o la página de Historia de Detección y Respuesta para una historia relacionada específica.

    Estas son las tablas en el resumen de Historias Relacionadas:

    • La tabla de Historias Más Similares le permite ver rápidamente si otras fuentes en su red están involucradas en historias con características similares a esta historia en investigación, como la misma Indicación u Objetivo. Esta tabla muestra hasta las 5 historias más similares según el puntaje de Similitud de Objetivos. La tabla no está limitada a un rango de tiempo específico.

    • La tabla de Historias en la Fuente muestra todas las historias generadas por la fuente en esta historia, dentro del rango de tiempo seleccionado. El rango de tiempo predeterminado es las últimas 2 semanas. Esto le permite evaluar el contexto más amplio de actividad para esta fuente. Por ejemplo, esto puede ayudar a determinar si el comportamiento en esta historia es inusual o rutinario para esta fuente específica.

    Estas son las acciones que se pueden realizar en ambas tablas:

    • Haga clic en Ver en el Banco de Trabajo para abrir el Banco de Trabajo de Historias prefiltrado para mostrar las historias en la tabla

    • Haga clic en la fila de una historia para abrir la página de Historia de Detección y Respuesta para esa historia

    Estas son las columnas en las tablas de Historias Relacionadas:

    • Hora de Creación - Hora en que fue generada la historia

    • Última Actualización - Hora de la última actualización de la historia, como un nuevo objetivo o cambio de veredicto

    • Indicación - Indicador de ataque para la historia. Para más información sobre indicaciones, consulta Usando el Catálogo de Indicaciones

      • Haga clic en Open_in_New_Tab.png para abrir la página de Historia de Detección y Respuesta para esta historia en una nueva pestaña

      • Haga clic en Tooltip_icon.png para más información sobre la indicación

    • Fuente - Dirección IP, nombre del dispositivo o usuario SDP en su red involucrado en la historia

    • Similitud de Objetivos (solo para Historias Más Similares) - Nivel de similitud de objetivos en común con la historia investigada, calculado por un modelo de aprendizaje automático (indicado por un porcentaje)

    • Objetivos Comunes (solo para Historias Más Similares) - URLs o direcciones IP de objetivos en común con la historia que se investiga

    • Criticidad - El análisis de riesgo de Cato para la historia (los valores son de 1 (bajo riesgo) - 10 (alto riesgo))

    • El Estado de la historia - Los valores incluyen:

      • Abierto - La historia fue generada y no está resuelta

      • Pendiente Cliente - La historia fue enviada al cliente y está esperando una respuesta de ellos

      • Pendiente Analista - Esperando más información de analistas de seguridad

      • Cerrado - Los analistas de seguridad cerraron la historia

      • Reabierto - Los productores de XOps detectaron nuevo tráfico que coincide con una historia cerrada y reabrieron automáticamente la historia para permitir una revisión adicional. Las historias se reabren para el tráfico detectado 12 o más horas después de que la historia fuera cerrada por primera vez. Dentro de 12 horas la historia no se reabre para permitir el manejo de la historia a través de mitigación o silenciamiento

    • Veredicto del Analista - El veredicto asignado a la historia por un analista

    • Clasificación del Analista - Una clasificación detallada del tipo de amenaza según lo definido por un analista

    ¿Fue útil este artículo?

    Usuarios a los que les pareció útil: 1 de 1

    0 comentarios