Introducción a XOps

Este artículo describe las mejores prácticas para investigar amenazas con la plataforma Cato XOps.

Resumen

La plataforma Cato XOps permite a los equipos de Operaciones de Seguridad y Operaciones de Red utilizar IA y automatización para monitorear la red de la organización tanto para amenazas de seguridad como para problemas de rendimiento de la red. XOps transforma cantidades inmanejables de eventos de seguridad y red en historias consumibles, multifuncionales y procesables.

Este artículo describe las mejores prácticas para aprovechar al máximo XOps para mejorar significativamente el monitoreo de seguridad de su organización y la remediación de amenazas. Primero, discutimos la configuración de integraciones para expandir las capacidades de XOps, y luego describimos un flujo de trabajo de extremo a extremo sobre cómo investigar una historia en el Banco de Trabajo de Historias, incluyendo los siguientes pasos:

  1. Configurar Integraciones de XOps
  2. Identificando las historias más importantes para centrarse en
  3. Pasos para comenzar una investigación
  4. Estableciendo un veredicto y remediando la amenaza

Estableciendo Integraciones para XOps

Para maximizar la utilidad de la plataforma XOps, recomendamos configurar integraciones compatibles que expandan el número y tipo de productores de historias XOps. Recomendamos configurar una de las siguientes integraciones de seguridad de endpoints para ayudarle a obtener una imagen más completa de amenazas potenciales y realizar investigaciones en una plataforma XOps unificada que se extiende tanto a la red como al endpoint. Para una lista completa de productores de XOps, consulte Bienvenido al Servicio Cato XOps.

  • Conector Defender for Endpoint de Microsoft - Los clientes que utilizan Defender for Endpoint pueden aprovechar la API de Microsoft para integrar datos de alertas de Defender y generar historias de XOps para dispositivos de punto final. Para más información sobre esta integración, consulte Microsoft Defender for Endpoint Alerts: Configuring the XOps Integration.

  • Alertas de SentinelOne - Los clientes que usan SentinelOne pueden integrar datos de SentinelOne EDR para generar historias para dispositivos de puntos de conexión. El productor de SentinelOne crea una historia correlacionando datos de incidentes de EDR de SentinelOne basados en el UUID del Agente (ID del dispositivo) y el archivo de amenaza Hash dentro de los 90 días. Estas historias incluyen todas las pruebas relevantes para los incidentes detectados por SentinelOne.

    Para más información sobre la integración de Alertas de SentinelOne, consulte SentinelOne EDR: Configuración de la Integración XOps.

  • Alertas de CrowdStrike - Los clientes que utilizan CrowdStrike pueden integrar datos de detecciones de CrowdStrike basados en el ID de incidente. Estas historias incluyen toda la evidencia relevante para la detección identificada por CrowdStrike.

    Para más información sobre la integración de Alertas de CrowdStrike, consulte CrowdStrike: Configuración de la Integración XOps.

  • Protección de Endpoint de Cato - La solución EPP de Cato se integra nativamente con Cato XOps para generar historias para dispositivos de punto final, sin necesidad de configurar un conector. Para más información sobre esta integración, consulte Cato Endpoint Protection (EPP): Configuring the XOps Integration.

Identificando las Historias Más Importantes

Seleccionar las historias correctas para trabajar en el Banco de Trabajo de Historias es un primer paso crucial para el uso efectivo de la plataforma XOps. Puede usar las herramientas e información proporcionada en el Banco de Trabajo para identificar rápidamente las historias de mayor prioridad a investigar. Recomendamos los siguientes pasos:

  1. Agrupar las historias - Las opciones de Agrupar por pueden darle una visión general rápida de los diferentes tipos de historias en su cuenta, así como indicar elementos específicos de interés en la red como fuentes o usuarios. Estos son ejemplos de opciones útiles de Agrupar por:

    • Fuente y IP de Origen - vea rápidamente los usuarios, dispositivos y direcciones IP involucrados en las historias
    • Productor - Revise rápidamente los diferentes tipos de historias detectadas. Para más información sobre los diferentes tipos de Productores, consulte Welcome to the Cato XOps Service.
    • Indicaciones - Obtenga un resumen de los indicadores específicos de ataque detectados

    Recomendamos recorrer las diferentes opciones de Agrupar por para obtener una comprensión rápida de las historias en su red desde diferentes perspectivas, lo que puede ayudar a identificar áreas particulares de interés en las que centrar la investigación.

    Stories_Workbench_Grouping2.png
  2. Priorizar por Gravedad - Comience enfocándose en las historias con la puntuación más alta de Gravedad. Estas son las amenazas potenciales que podrían tener el impacto más significativo en su red. Puede hacer clic en el encabezado de columna Gravedad para ordenar las historias por Gravedad, o filtrar las historias por niveles específicos de Gravedad. Además, cuando utiliza las opciones Agrupar Por, cada grupo indica el número de historias de alta Gravedad para el grupo.

Iniciar una Investigación

Una vez que haya seleccionado una historia para investigar, puede hacer clic en la historia para profundizar en los detalles en la página de Descripción General de la Historia de Detección & Respuesta Descripción General de la Historia. Recomendamos tomar los siguientes pasos para obtener una comprensión inicial de lo que está sucediendo en la historia:

  1. Generar un Resumen AI - El widget de Detalles incluye una herramienta que le permite crear una descripción de la historia en lenguaje natural generada por AI, que proporciona un rico contexto y le ayuda a evaluar rápidamente la historia. Genere el resumen haciendo clic en el botón Generar Resumen AI.

    XDR_Core_Story_Summary.png

  2. Verifique si el Tráfico fue Bloqueado - La tabla de Acciones de Objetivo muestra eventos relacionados con cada objetivo involucrado en la historia, incluyendo si se aplicó la acción Bloquear al tráfico por uno de los servicios de Seguridad como IPS. Si parte del tráfico hacia los objetivos no fue bloqueado, entonces la historia tiene un nivel de riesgo más alto. Incluso si todo el tráfico hacia los objetivos fue bloqueado, es posible que este tráfico esté relacionado con una amenaza en curso que requiera más investigación.

    XDR_Core_Target_Actions.png

  3. Evalúe los Objetivos - La tabla de Objetivos muestra datos para las fuentes potencialmente maliciosas fuera del sitio de su red relacionadas con la historia. Recomendamos centrarse en las siguientes columnas cuando comience su investigación:

    • La Puntuación de Malicia le indica la probabilidad de que el objetivo sea malicioso, según los algoritmos de aprendizaje automático de Inteligencia de Amenazas de Cato. Las puntuaciones varían de 0 (benigno) a 1 (malicioso)
    • Los Enlaces de Destino lo ayudan a entender la reputación del objetivo buscando el objetivo en varias fuentes externas de inteligencia de amenazas
    XDR_Core_Targets_table.png
  4. Trabajar con XOps Libros de Jugadas - Los Libros de Jugadas de Seguridad de Cato XOps proporcionan un enfoque estructurado para investigar tipos específicos de historias. Le guían a través del proceso de investigación y le ayudan a identificar elementos de acción. Para las historias con un libro de jugadas relevante, puede encontrar el enlace al libro de jugadas en el widget Detalles. Los Libros de Jugadas de Seguridad XOps también están disponibles aquí.
  5. Usar Comentarios - Si la investigación de la historia incluye colaboración entre los miembros del equipo, utilice Comentarios para documentar qué trabajo se ha realizado y proporcionar información importante y contexto para el próximo analista que examine la historia. Para más información sobre el uso de comentarios, consulte Managing XOps Story Investigations.

Estableciendo el Veredicto y Tomando Pasos de Remediación

El panel de Acciones de Historia le permite realizar acciones cruciales y registrar información importante al concluir su investigación. Algunos analistas cometen el error de cerrar una historia sin establecer un veredicto, y pierden gran parte del beneficio del proceso de investigación. Cuando establece un veredicto, registra información significativa sobre la historia para referencia futura, y puede aprender sobre acciones recomendadas para la remediación. Este es un flujo de trabajo de ejemplo para establecer un veredicto y realizar pasos de remediación básicos después de identificar que un dispositivo ha sido comprometido por un intento de explotación de una vulnerabilidad conocida:

  1. Haga clic en Acciones > Gestionar Historia para abrir el panel de Acciones de Historia.

    XDR_Comment_buttons.png
  2. Establecer el Veredicto del Analista a Malicioso.
  3. Defina la Severidad de la amenaza.

  4. Defina el Tipo como Intento de Explotación, y si es posible defina una Clasificación más específica para la amenaza. Use el campo de Información Adicional para registrar detalles sobre el proceso de investigación o los resultados.

    XDR_Core_Example_Verdict.png

  5. Siga las Acciones Recomendadas, incluyendo:

    1. Crear reglas de firewall para bloquear objetivos y fuentes maliciosos que haya identificado en la historia.
    2. Actualizar el software del dispositivo para remediar la vulnerabilidad y evitar ataques de explotación futuros.
  6. Si identifica un usuario comprometido, puede revocar la sesión remota del usuario para prevenir el acceso a la red. Para más información sobre cómo revocar una sesión remota, consulte Revocando una Sesión de Usuario Remoto.
  7. Establezca el Estado de la Historia a Cerrado.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios