Mitigando Amenazas en Historias de XOps

Este artículo discute cómo mitigar una amenaza en una historia de XOps.

Visión general

Las historias de XOps a menudo involucran actividades sospechosas originadas de un usuario específico o un Objetivo (como una dirección IP o FQDN). Por ejemplo, una historia podría indicar que una sesión remota de usuario fue comprometida o que un dispositivo está comunicándose con un dominio sospechoso de phishing. La página de Resumen de la historia en el Banco de Trabajo de Historias te permite mitigar efectivamente ambos tipos de amenazas mediante:

  • Revocar la Sesión de Usuario: Puedes revocar la sesión del usuario directamente desde la historia. Esto cierra la sesión del usuario y le solicita que se autentique nuevamente a través de la pantalla de inicio de sesión del Cliente, asegurando que solo los usuarios legítimos recuperen el acceso. Si el usuario no está conectado en el momento de la mitigación, su token de autenticación se revoca y deberá autenticarse nuevamente al reconectar.

  • Agregar Objetivo a la Lista de Bloqueo: Puedes agregar Objetivos sospechosos a un Contenedor que puedes incluir en tus políticas de lista de bloqueo. Esto asegura que ningún usuario conectado a Cato pueda acceder al Objetivo.

    Contenedores son categorías definidas por el usuario que le ayudan a gestionar grupos de elementos tales como direcciones IP o FQDNs. Una vez que creas un Contenedor, se puede agregar a una regla de Firewall con la acción Bloquear. Los Objetivos sospechosos solo se bloquean una vez que el Contenedor se incluye en una regla de firewall. Cuando mitigas una amenaza de una historia de XOps, puedes agregar un Objetivo a un contenedor existente o crear uno nuevo. Los usuarios aún pueden acceder a Objetivos que se agregan a un Contenedor pero no están incluidos en una regla de firewall.

Caso de Uso - Actividad Inusual del Usuario

Los analistas de Example Corp. investigaron una historia de XOps en la página de Resumen e identificaron a un usuario subiendo una gran cantidad de datos a una aplicación para compartir archivos. No están seguros si la actividad de carga es por razones legítimas o no. Los analistas además notan que el agente de usuario en uso para esta actividad de carga es anómalo para este usuario, indicando un posible caso de robo de credenciales por un adversario. Por lo tanto, deciden revocar la sesión del usuario para forzar la reautenticación en el dispositivo. Los analistas pueden entonces continuar su investigación sabiendo que solo un usuario autenticado legítimamente está conectado a la red.

Caso de Uso - Ataque de Malware

Un analista de seguridad investiga una historia de XOps en la página de Resumen e identifica una dirección IP asociada con malware. Después de una investigación adicional, el analista confirma que se trata de un ataque originado de un actor malicioso conocido.

El analista agrega el Objetivo al Contenedor de direcciones IP sospechosas de la compañía que se incluye en una regla de firewall de Internet con una acción de Bloqueo.

La amenaza se contiene ya que ningún otro usuario puede acceder a la dirección IP.

Mitigación de Amenazas en una Historia de XOps

En la página de Resumen de la historia, mitiga amenazas desde el menú Acciones.

Placeholder.png

Para mitigar amenazas:

  1. En el Resumen de la historia, haz clic en el botón Acciones.

  2. Selecciona la acción de mitigación que deseas tomar:

    • Para revocar un usuario, haz clic en Revocar Sesión de Usuario. Se abre el panel de Revocar Sesión de Usuario. Selecciona el usuario cuya sesión activa deseas revocar. El panel muestra automáticamente al usuario identificado en la historia.

    • Para agregar un Objetivo a la lista de bloqueados, haga clic en Agregar Objetivo a la Lista de Bloqueados. Selecciona un Objetivo para mitigar y elige un Contenedor existente al que deseas agregarlo, o haz clic en Crear Nuevo para crear un nuevo Contenedor. Asegúrate de que el Contenedor esté incluido en una regla de firewall.

  3. (Opcional) Agrega una nota.

  4. Confirma tu acción.

Revisión de Acciones de Mitigación en el Centro de Acción

La pestaña del Centro de Acción en la página Home > Detection & Response Policy te permite revisar las acciones de mitigación de XOps tomadas en tu cuenta.

XDR_Action_Center.png

El Centro de Acción muestra la siguiente información para cada acción de mitigación:

  • Tiempo - Marca temporal de cuando se envió la acción de mitigación

  • Acción - Descripción de la acción de mitigación

  • Asunto - El usuario en el que se realizó la acción

  • Estado - Estado de la acción. Para la acción Agregar Objetivo a la Lista de Bloqueo, estos son los valores de Estado:

    • Éxito - La solicitud para revocar la sesión se envió al servicio de usuarios de Cato

    • Fallo - Hubo un problema con la solicitud para revocar la sesión

  • Autor - Administrador que realizó la acción

  • Desencadenante - El ID de Historia de la historia desde la cual se envió la acción. Haz clic para abrir la página de Resumen de la historia

  • Nota - Nota opcional ingresada por el administrador

Limitaciones conocidas

  • La acción Revocar sesión de usuario está disponible solo para usuarios remotos que se conectan a la red con el Cliente de Cato. No es soportado para usuarios detrás de un sitio

  • La acción Revocar Sesión de Usuario es compatible para historias que identificaron un usuario y que son generadas por uno de los siguientes productores:

    • Prevención de Amenazas

    • Caza de Amenazas

    • Anomalía de Eventos

    • Anomalía de Uso

    • Alertas de Endpoint de Cato

  • Puede tardar hasta 10 minutos para que la sesión del usuario sea revocada

  • Puede haber un pequeño retraso entre agregar un contenedor a una regla de firewall y el bloqueo del objetivo

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios