Cet article explique comment utiliser le Catalogue d'indications pour obtenir plus d'informations sur les activités potentiellement malveillantes identifiées par la couche de sécurité Cato Détection & Réponse.
Pour plus d'informations sur Détection & Réponse, voir Examiner les Histoires Détection & Réponse XOps dans le Stories Workbench.
Le Catalogue d'indications contient des explications et des informations de référence pour les centaines d'indications (indicateurs d'attaque) identifiées par les moteurs de sécurité Détection & Réponse. Une indication est un ensemble d'actions et de comportements pouvant indiquer l'intention de mener une attaque, même si aucune violation de sécurité réelle n'a encore été identifiée. Par exemple, un hôte générant du trafic présentant des caractéristiques de C&C peut indiquer une attaque de logiciel malveillant. Lorsque les moteurs analysent les données de trafic et identifient une correspondance pour une indication, ils créent une histoire de sécurité qui est affichée dans la page Stories Workbench, y compris l'indication pour l'histoire et d'autres données pour aider à enquêter sur la menace. Le Catalogue d'indications fournit une description complète de toutes les indications.
Vous pouvez facilement rechercher et filtrer le catalogue pour trouver des indications et vérifier quelles indications sont liées à une tactique d'attaque spécifique. Le catalogue vous permet également de rechercher une indication spécifique pour voir si elle est couverte par les moteurs de Détection & Réponse, de montrer les indications les plus récentes et de consulter les journaux d'événements pertinents pour une indication.
Le Catalogue d'indications inclut des informations pour un certain nombre de Types d'indications de menace, détectées par les différents moteurs de Détection & Réponse. Voici des descriptions brèves de certains des différents moteurs et des types d'indications qu'ils identifient, pour une liste complète voir, Bienvenue au Service Cato XOps.
-
Prévention des menaces - Détecte un ensemble spécifique de comportements d'attaque dans les événements IPS
-
Opérations du Site - Identifie les problèmes réseaux tels que la connectivité dégradée
-
Recherche de menaces - Identifie un ensemble étendu de comportements d'attaque dans les événements et les données de trafic enrichies
-
Anomalie d'utilisation - Identifie des indications relatives à des applications montrant une utilisation inhabituelle. Par exemple, une application utilisant plus de bande passante montante que d'habitude
-
Anomalie d'événements - Détecte des indications impliquant une entité sur le réseau déclenchant un nombre inhabituel d'événements de sécurité
-
Anomalie d'expérience - Détecte des changements significatifs dans l'expérience d'une application ou des performances réseau d'une application
Votre licence Détection & Réponse détermine les Types d'indication activés pour votre compte. Le Catalogue d'Indications montre votre licence actuelle, et si une indication spécifique est disponible pour cette licence. Lorsqu'une indication est indisponible pour votre licence, les histoires basées sur cette indication ne seront pas créées et affichées dans le Stories Workbench. Pour plus d'informations sur les Niveaux de Licence XOps, voir Bienvenue au Service Cato XOps.
Pour montrer le Catalogue d'indications :
-
Dans le menu de navigation, cliquez sur Resources > Indications Catalog.
Le Catalogue d'indications a ces colonnes :
-
ID - L'identifiant pour l'indication utilisé par les moteurs de Détection & Réponse
-
Indication - Le nom de la catégorie d'indication. Une catégorie peut inclure plusieurs indications différentes avec des comportements similaires
-
Une Description des actions et comportements suspects de l'indication
-
Disponible dans le compte - Si l'indication est activée pour le compte, en fonction du niveau de licence Détection & Réponse.
Pour plus d'informations sur la disponibilité des indications, consultez Types d'indication et licences.
-
Référence MITRE - Montre les techniques de menace liées dans le cadre MITRE ATT&CK® pour l'indication. Pour plus d'informations sur le cadre MITRE ATT&CK®, voir Utilisation du Dashboard MITRE ATT&CK®
-
Cliquez sur la référence pour ouvrir la page des événements pré-filtrée pour la technique MITRE ATT&CK®
-
-
Type - Montre le moteur Détection & Réponse qui détecte l'indication
Définissez les filtres suivants pour trouver facilement des indications pertinentes :
-
ID - Sélectionnez un ID d'indication pour montrer l'indication
-
Vous pouvez utiliser le menu déroulant Status pour filtrer le catalogue afin de ne montrer que les indications Nouvelles.
Les indications sont considérées comme nouvelles si elles ont été récemment ajoutées au catalogue et apparaissent avec le label Nouveau. Le label n'indique pas une durée spécifique
-
Indication - Sélectionnez une catégorie d'indication pour filtrer le catalogue et montrer les indications dans cette catégorie
-
Recherchez dans le champ Description pour des indications pertinentes.
-
Disponible dans le compte - Filtrez le catalogue pour ne montrer que les indications qui sont Disponibles ou Non disponibles pour le compte.
Pour plus d'informations sur la disponibilité des indications, consultez Types d'indication et licences.
-
Technique MITRE - Sélectionnez une technique d'attaque telle que définie dans le cadre MITRE ATT&CK® pour montrer les indications liées à la technique
-
Type - Sélectionnez un moteur de Détection & Réponse pour filtrer le catalogue et montrer les indications que le moteur détecte
0 commentaire
Vous devez vous connecter pour laisser un commentaire.