Revisión de historias de detección y respuesta para clientes MDR

Resumen de Historias de Detección & Respuesta

Cato Detection & Response es una nueva capa de seguridad que crea historias para amenazas. Cuando los motores de correlación avanzados de Cato analizan los datos de tráfico y encuentran una coincidencia para una amenaza potencial, generan una historia. La historia contiene datos de flujos de tráfico con propiedades comunes que se relacionan con la misma amenaza. El banco de trabajo de historias muestra los detalles de cada historia para ayudarle a comprender y analizar las amenazas. Puede ordenar y filtrar las historias para encontrar los ataques potenciales más importantes y, luego, profundizar en una historia para investigar más los detalles.

Estos son ejemplos de datos que una historia puede incluir:

Fuentes en su red
Objetivos externos del tráfico de red
Identificación y descripción de la amenaza
Geolocalizaciones relevantes
Aplicaciones relacionadas
Flujos de tráfico relevantes
Popularidad del objetivo según datos internos de Cato
Puntuación maliciosa del objetivo según algoritmos de inteligencia de amenazas de Cato

Requisitos Previos

Esta versión de la función de Detección & Respuesta está disponible solo para los clientes de Cato MDR. Para más información sobre la suscripción al servicio MDR, por favor contacte a su representante de Cato.

Mostrando el banco de trabajo de historias

El banco de trabajo de historias muestra un resumen de las historias para las amenazas potenciales en su cuenta.

Para mostrar el banco de trabajo de historias:

Desde el menú de navegación, haz clic en Home> Stories Workbench.

Comprensión de las columnas de historias

Columna	Descripción
ID	Cato ID único para esta historia
Creado	Fecha del primer flujo de tráfico para la historia
Actualizado	Fecha del flujo de tráfico más reciente para la historia
Puntuación de riesgo	Análisis de riesgo de Cato sobre la historia (los valores son de 1 a 10)
IOA	Indicador de ataque para la historia
Fuente	Dirección IP o nombre del dispositivo en su red afectado por la historia
Tipo	Threat Hunting - Una historia donde los algoritmos de Cato y el aprendizaje automático detectaron un incidente de seguridad potencial Anomalía de uso - Una historia donde una aplicación mostró un comportamiento inusual que indica un incidente de seguridad potencial Anomalía de eventos - Una historia donde hay un número inusual de eventos de seguridad activados por una entidad en su red
Estado	Pendiente Cliente - La historia fue enviada al cliente y está esperando una respuesta de ellos Pendiente Analista - Esperando más información de los analistas de seguridad de Cato Cerrado - Los analistas de seguridad de Cato cerraron el incidente

Agrupando las historias

Para proporcionar contexto al revisar las historias, puede mostrar las historias en grupos definidos por detalles, incluyendo Fuente, Indicación, Estado, y Tipo. Por ejemplo, puede mostrar juntas todas las historias relacionadas con una dirección IP de origen específica o todas las historias de ciberocupación. Esto le brinda una perspectiva más amplia al analizar las historias y puede ayudarle a llegar a conclusiones más rápidas y precisas.

Cada grupo resalta los niveles de criticidad para las historias en ese grupo, incluyendo el número de historias de alta, media y baja criticidad.

Para agrupar las historias en el banco de trabajo de historias:

Desde el menú de navegación, haz clic en Home > Stories Workbench.
Desde el menú desplegable Group By, seleccione el criterio requerido.

Las historias se muestran en grupos expandibles.

Filtrando las historias

Hay dos formas de filtrar los datos en el banco de trabajo de historias: actualice automáticamente el filtro con el elemento seleccionado, o configure manualmente el filtro.

Filtrado automático para un elemento

Al pasar el cursor sobre un elemento o campo donde esté disponible una opción de filtro, aparecerá el botón . Haga clic en el icono para mostrar las opciones de filtro:

Agregar al Filtro - Agrega el elemento al filtro, y el banco de trabajo de historias ahora solo muestra historias que incluyen este elemento. Por ejemplo, si filtras por una puntuación de riesgo específica, la pantalla solo muestra historias con esa puntuación de riesgo.
Excluir del Filtro - Actualiza el filtro para excluir este elemento, y el banco de trabajo de historias ahora solo muestra historias que NO incluyen este elemento.

Puede seguir agregando elementos al filtro, haga clic en nuevamente para actualizar el filtro y profundizar más.

Seleccionando el rango de tiempo

El rango de tiempo predeterminado para el banco de trabajo de historias es los dos días anteriores. Puede seleccionar un rango de tiempo diferente para mostrar las historias en un período de tiempo más largo o más corto. Para más información, consulte Estableciendo el filtro de rango de tiempo.

El rango máximo de fechas para el banco de trabajo de historias es de 90 días.

Configuración manual del filtro

Puede configurar manualmente el filtro de historias para obtener un mayor nivel de detalle al analizar las historias. Después de configurar el filtro, se agrega a la barra de filtro de historias y la pantalla se actualiza automáticamente para mostrar las historias que coinciden con el nuevo filtro.

Para crear un filtro:

En la barra de filtro, haga clic en .
Comience a escribir o seleccione el Campo.
Seleccione el Operador, que determina la relación entre el Campo y el Valor que está buscando.
Seleccione el Valor.
Haga clic en Agregar Filtro. El filtro se agrega a la barra de filtro y el Stories Workbench se actualiza para mostrar historias basadas en los filtros.

Limpiando el filtro

Puede eliminar cada elemento en el filtro por separado o limpiar todo el filtro.

Para borrar los filtros del banco de trabajo de historias:

Para borrar un solo filtro, haga clic en junto al filtro (elemento 1 arriba).
Para borrar todos los filtros, haga clic en X al final derecho de la barra de filtro (elemento 2 arriba).

Profundizando y analizando historias

Puede hacer clic en una historia en el banco de trabajo de historias para profundizar e investigar los detalles en una pantalla diferente. Esta pantalla contiene una serie de widgets que le ayudan a evaluar la amenaza potencial. Hay widgets especializados para analizar datos de historias de Threat Hunting o Anomalía de Uso.

Comprensión de los widgets de Threat Hunting

Estos son los widgets para una historia de Threat Hunting:

Elemento

Nombre

Descripción

Resumen de la historia

Un resumen de información básica sobre la historia, incluyendo:

Categoría de amenaza
Severidad de la amenaza según lo determinado por los analistas
Número de señales (flujos de tráfico) asociados con el ataque
Número de dispositivos comprometidos
Estado de la historia

Cronología de la historia

Muestra una cronología de la historia, como los cambios realizados en el veredicto y severidad de la historia, y cuándo se identifican nuevos objetivos relacionados con la historia

Detalles

Información clave para analizar la historia, incluyendo una descripción de amenazas, firmas de amenazas de Cato detectadas en el tráfico relevante y técnicas MITRE ATT&CK® identificadas para la amenaza.

Para más información sobre el marco de MITRE ATT&CK®, consulte Trabajando con el Dashboard MITRE ATT&CK®.

Pase el ratón sobre una firma para mostrar un resumen del registro de eventos
Haga clic en la firma para abrir la pantalla de eventos pre-filtrada por la firma
Haga clic en una técnica MITRE ATT&CK® para leer su descripción en el sitio web de MITRE ATT&CK®

Fuente

Información básica sobre los dispositivos en su red afectados por la amenaza

Geolocalización del ataque

Muestra la geolocalización para las fuentes en tu red (ubicaciones anaranjadas) y fuentes externas (ubicaciones rojas) relacionadas con la amenaza. Las flechas que conectan las fuentes indican la dirección del tráfico

Distribución del Ataque

Distribución temporal de los flujos relacionados con el ataque.

Para facilitar la lectura del gráfico, en Targets, haga clic en un objetivo para ocultar esos datos del gráfico
Para mostrar los detalles del ataque, pase el ratón sobre el gráfico

Objetivos

Muestra datos para las fuentes potencialmente maliciosas fuera del sitio de tu red relacionadas con la historia.

Columna	Descripción
Fecha de Creación	Fecha de registro del dominio objetivo
Objetivo	Dominios o direcciones IP de fuentes externas identificadas en flujos de tráfico relacionados con la historia
Enlaces del Objetivo	Enlaces para buscar el objetivo en diversas fuentes de inteligencia de amenazas. Para información adicional, haga clic en el ícono de VirusTotal, o seleccione otros recursos del menú desplegable.
Puntuación Maliciosa	La puntuación maliciosa del objetivo según los algoritmos de inteligencia de amenazas de Cato. Las puntuaciones varían de 0 (benigno) a 1 (malicioso)
Popularidad	Con qué frecuencia aparece el objetivo en las fuentes de datos internas de Cato. Los valores son: Impopular, Bajo, Medio, Alto
Categorías	Categorías de Cato para el dominio objetivo
Fuentes de Amenazas	Número de fuentes de inteligencia de amenazas de Cato que detectaron el objetivo como malicioso
Motores	Número de motores de seguridad de terceros que detectaron el objetivo como malicioso
País	País donde está registrado el dominio objetivo
Resultados de Búsqueda en Google	Número de resultados de búsqueda en Google para el objetivo

Flujos Relacionados con el Ataque

Muestra datos para una muestra representativa de flujos de tráfico relacionados con el ataque.

Columna	Descripción
Objetivo	Dominio objetivo o IP del flujo
Hora de Inicio	Marca de tiempo para el inicio del flujo
Dirección	Dirección del flujo. Las direcciones incluyen: Entrante - Tráfico hacia tu red originado en una fuente externa Saliente - Tráfico de tu red a una fuente externa WANbound - Tráfico de tu red a otro sitio en tu red
IP de Origen	Dirección IP de origen en tu red que envía o recibe el flujo
Puerto de Origen	Puerto de origen en tu red que envía o recibe el flujo
IP de Destino	Dirección IP del objetivo externo que envía o recibe el flujo
Puerto de Destino	El puerto del objetivo externo que envía o recibe el flujo
Método	El método HTTP en el flujo (GET, POST, etc.)
URL de Ruta Completa	La URL completa del recurso externo en el flujo
Código de Respuesta HTTP	El código de estado emitido por el objetivo en respuesta a la solicitud del lado del navegador por parte del cliente
Cliente	El tipo de cliente en el flujo
App de Cato	Aplicación de Cato utilizada en el flujo
Referente	La dirección del sitio web original que contiene el enlace al recurso solicitado
Agente de Usuario	El agente (por ejemplo, versión del navegador) identificado en el campo User Agent en el encabezado de solicitud HTTP en el flujo
País de Destino	Ubicación de la IP de Destino en el flujo

Entendiendo los Widgets de Anomalía de Uso

Estos son los widgets para una historia de Anomalía de Uso:

Ítem	Nombre	Descripción
1	Resumen de la Historia	Proporciona un resumen de la información básica sobre la historia, incluyendo: Nombre de la Anomalía Gravedad El periodo de entrenamiento para el modelo de aprendizaje automático para determinar el comportamiento anómalo Estado de la Historia
2	Detalles	Información clave para analizar la historia, incluyendo una descripción y resumen de la amenaza, y técnicas de MITRE ATT&CK® identificadas para la amenaza. Para más sobre el marco MITRE ATT&CK®, consulte Trabajo con el Panel MITRE ATT&CK®. Haga clic en una técnica MITRE ATT&CK® para leer su descripción en el sitio web de MITRE ATT&CK®
3	Distribución de Anomalías	Gráfico del comportamiento anómalo de los últimos 14 días Para mostrar los detalles de la anomalía, pase el ratón sobre el gráfico Haga clic en Ver Todo para abrir la pantalla de Analytics de Aplicaciones prefiltrada para las aplicaciones relacionadas con la anomalía
4	Principales Hosts	Principales hosts relacionados con la anomalía, con detalles relevantes. Por ejemplo, un host para una anomalía de ancho de banda ascendente aparece con el número de subidas desde el host Haga clic en Ver Todo para abrir la pantalla de Analytics de Aplicaciones y mostrar los hosts prefiltrados para las aplicaciones relacionadas con la anomalía
5	Principales Aplicaciones	Principales aplicaciones relacionadas con la anomalía, con detalles relevantes. Por ejemplo, una aplicación para una anomalía de ancho de banda ascendente aparece con el número de subidas desde la aplicación Haga clic en Ver Todo para abrir la pantalla de Analytics de Aplicaciones prefiltrada para las aplicaciones relacionadas con la anomalía
6	Principales Servidores/Destinos	Principales servidores y destinos relacionados con la anomalía, con detalles relevantes. Por ejemplo, un servidor para una anomalía de ancho de banda ascendente aparece con el número de subidas al servidor Haga clic en Ver Todo para abrir la pantalla de Analytics de Aplicaciones y mostrar los destinos prefiltrados para las aplicaciones relacionadas con la anomalía

Revisando Historias Ticketadas

El equipo de MDR de Cato abre tickets para notificarle sobre historias significativas. Cuando recibe un ticket, puede revisar fácilmente la historia en el Stories Workbench haciendo clic en el enlace proporcionado en el ticket. Este es un ticket de muestra: