Analyse des Histoires UEBA XOps pour les Anomalies d'Utilisation et d'Événements

Cet article explique comment utiliser l'Atelier des Histoires XOps et la page de détail pour analyser les histoires XOps pour des comportements anormaux détectés par les moteurs d'Anomalies d'Utilisation et d'Événements.

Pour plus d'informations sur l'utilisation du Stories Workbench, voir Revue des Histoires de Détection & Réponse XOps dans l'Atelier des Histoires.

Vue d'ensemble

Le service XOps de Cato détecte des activités anormales basées sur l'analyse du comportement des utilisateurs et des entités (UEBA), ce qui peut indiquer une menace de sécurité. Les moteurs d'Anomalies d'Utilisation et d'Événements surveillent et analysent le trafic réseau pour identifier des comportements inhabituels qui pourraient être des signes de comptes compromis, de menaces internes et d'attaques avancées. Ces moteurs intègrent des techniques d'apprentissage machine et de modélisation statistique avec une formation sur le trafic réseau pour construire des modèles de comportement de base pour les utilisateurs et les entités de votre compte. Basé sur ces modèles, les moteurs peuvent identifier différents types d'anomalies.

Voici de brèves descriptions des moteurs d'anomalie UEBA XOps et des types d'anomalies qu'ils identifient :

  • Anomalie d'Utilisation - Identifie les anomalies liées à une utilisation inhabituelle dans les applications. Par exemple, un utilisateur charge plus de données dans une application que d'habitude

  • Événements Anormaux - Détecte les anomalies impliquant une entité sur le réseau déclenchant un nombre inhabituel d'événements de sécurité. Par exemple, un site sur le réseau déclenche beaucoup plus d'événements de blocage de Pare-feu Internet qu'à l'accoutumée

Lorsque les moteurs d'anomalie UEBA XOps génèrent une histoire, vous pouvez l'examiner dans l'Atelier des Histoires et approfondir pour une analyse plus poussée des données de l'histoire.

Prérequis

  • Les histoires d'Anomalie d'Utilisation et d'Événements Anormaux ne sont disponibles que pour les clients XOps et MDR. Pour plus d'informations sur l'achat d'un XOps, ou pour souscrire au service MDR, veuillez contacter votre représentant Cato.

Analyse et Exploration des Histoires d'Anomalie UEBA

Vous pouvez cliquer sur une histoire d'Anomalie d'Utilisation ou d'Événements Anormaux dans l'Atelier des Histoires pour approfondir et examiner les détails dans une page différente. Cette page contient un certain nombre de widgets qui vous aident à évaluer la menace potentielle.

Afficher une Histoire de Sécurité

Cliquez sur une histoire de Sécurité dans la page Atelier des Histoires pour afficher les détails de l'histoire UEBA.

Pour afficher la page de l'Atelier des Histoires :

  • Dans le menu de navigation, cliquez sur Accueil > Atelier des Histoires.

Génération de Résumés des Histoires AI

L'exploration de l'Atelier des Histoires inclut un outil qui vous permet de créer une description en langue naturelle de l'histoire générée par l'IA, fournissant un contexte riche et vous aidant à évaluer rapidement l'histoire. Le résumé de l'histoire est généré dynamiquement pour refléter l'état actuel de l'histoire. Si l'histoire est mise à jour avec de nouvelles informations, vous pouvez régénérer le résumé pour refléter les changements.

  • Le résumé AI de l'histoire est généré uniquement à la demande par l'administrateur

Protection des Données Sensibles avec la Tokenisation

Pour une sécurité des données robuste pendant la transmission des données d'histoire à des services AI tiers, Cato utilise la tokenisation pour garantir que toutes les données sensibles restent sur la plate-forme Cato XOps. Cela implique de remplacer les informations sensibles par des identifiants uniques ou « tokens », rendant les données inutiles pour les entités non autorisées. Les données sensibles ne sont jamais exposées aux services tiers. Cette approche garantit la confidentialité des détails de l'histoire, conformément à notre engagement envers des normes rigoureuses de confidentialité et de sécurité des données.

Remarque

Remarque : En raison des limitations de l'IA générative, les informations fournies dans les résumés d'histoire peuvent occasionnellement contenir des inexactitudes.

Comprendre les Widgets d'Anomalie UEBA

ueba_story_original.png

Voici les widgets pour une histoire d'Anomalie d'Utilisation ou d'Événements Anormaux :

Éléments

Nom

Description

1

Résumé de l'historique

Un résumé des informations de base sur l'histoire, incluant :

  • Nom de l'anomalie

  • Indication pour l'Attaque Détectée

  • Le Producteur (moteur) de Détection & Réponse qui a généré l'histoire

  • Gravité Selon l'Analyste - Gravité de la menace

  • Verdict de l'Analyste pour la menace

  • Type de menace

  • Classification détaillée de la menace telle que déterminée par un analyste

  • Statut de l'histoire

2

Chronologie de l'histoire

Affiche une chronologie de l'histoire, tels que les changements apportés au verdict et à la gravité de l'histoire, et quand le statut est mis à jour

3

Détails

Détails de base sur l'histoire, incluant

  • Une description et un résumé de la menace

    • Cliquez sur Générer le Résumé IA pour une description de l'histoire en langue naturelle qui fournit un contexte riche et vous aide à évaluer rapidement l'histoire

  • Premier Signal - Heure du premier signal (flux de trafic) associé à l'anomalie

  • Date de Création - Heure de génération de l'histoire

  • Dernière Mise à Jour - Heure de la dernière mise à jour de l'histoire, par exemple un nouveau cible ou un verdict modifié

  • Criticité - Score global de risque pour l'histoire tel que calculé par l'algorithme d'analyse des risques par apprentissage machine de Cato (les valeurs vont de 1 (moins critique) à 10 (plus critique))

  • Période d'entraînement - La période d'entraînement du modèle d'apprentissage machine pour déterminer le comportement anormal

  • ID d'Indication - L'identifiant pour l'indication utilisée par les moteurs XOps. Vous pouvez utiliser l'ID pour rechercher l'indication dans le Catalogue des Indications

  • Balises MITRE - Techniques MITRE ATT&CK® identifiées pour la menace.

    Pour plus d'informations sur le cadre MITRE ATT&CK®, consultez Utilisation du Tableau de Bord MITRE ATT&CK®.

    • Cliquez sur une technique MITRE ATT&CK® pour lire sa description sur le site Web MITRE ATT&CK®

  • Verdict Prévu et Type Prévu basés sur les prédictions de l'apprentissage machine pour le verdict probable et le type de malware potentiel que vous pouvez identifier. Les algorithmes d'apprentissage machine analysent les verdicts finaux d'histoires similaires

  • Histoires Similaires - Montre les histoires avec des Cibles similaires. Les détails montrés pour chaque histoire incluent : type de menace de l'histoire, verdict de l'histoire (si disponible) et le niveau de similarité tel que calculé par un modèle d'apprentissage machine (indiqué par un pourcentage). Survolez l'histoire avec la souris pour afficher une classification plus détaillée de la menace

4

Distribution des Anomalies

Graphique du comportement anormal pour les 14 derniers jours. Pour les histoires d'Anomalie d'Utilisation, le graphique montre les données pour les applis concernées. Pour les histoires d'Événements Anormaux, le graphique montre les données pour les événements concernés.

  • Pour afficher les détails de l'anomalie, survolez le graphique avec la souris

  • Pour enquêter plus près sur les différentes applis ou événements détectés dans l'anomalie, cliquez sur le bouton bascule d'une appli ou d'un événement pour activer ou désactiver son graphique.

  • Cliquez sur Tout afficher pour ouvrir l'écran Analytique des Applications préfiltré pour les applis liées à l'anomalie

5

Source

Informations de base sur le dispositif de votre réseau associé à l'anomalie

6

Principales Applications

Applications principales liées à l'anomalie, avec des détails pertinents. Par exemple, une application pour une anomalie de bande passante amont apparaît avec le montant total de téléversement de l'application

  • Cliquez sur Tout afficher pour ouvrir l'écran Analytique des Applications préfiltré pour les applis liées à l'anomalie

7

Principaux Serveurs/Destinations

Principaux serveurs et destinations impliqués dans l'anomalie, avec des détails pertinents. Par exemple, un serveur pour une anomalie de bande passante amont apparaît avec le montant total de téléversement au serveur

  • Cliquez sur Tout afficher pour ouvrir l'écran Analytique des Applications et afficher les destinations préfiltrées pour les applis liées à l'anomalie

8

Principaux Hôtes

Principaux hôtes liés à l'anomalie, avec des détails pertinents. Par exemple :

  • Un hôte pour une anomalie de bande passante amont apparaît avec le nombre de téléversements de l'hôte

  • Les hôtes pour une anomalie dans le comportement d'un utilisateur montrent les adresses IP pour l'utilisateur dans les connexions liées à l'anomalie

Cliquez sur Tout afficher pour ouvrir l'écran Analytique des Applications et afficher les hôtes préfiltrés pour les applis liées à l'anomalie

9

Cibles

Affiche les données pour les sources potentiellement malveillantes à l'extérieur de votre site réseau liées à l'histoire.

Ce sont les descriptions des colonnes du tableau cible :

  • Cible - Domaines ou adresses IP des sources externes identifiées dans les flux de trafic liés à l'histoire

  • Date de Création - Date d'enregistrement du domaine cible

  • Liens Cibles - Liens pour consulter la cible dans diverses sources externes de renseignements sur les menaces. Pour des informations supplémentaires, cliquez sur l'icône VirusTotal ou sélectionnez d'autres ressources dans le menu déroulant.

  • Score de Malveillance - Le score de malveillance de la cible selon les algorithmes de renseignements sur les menaces de Cato. Les scores vont de 0 (bénin) à 1 (malveillant)

  • Popularité - Fréquence d'apparition de la cible dans les sources de données internes de Cato. Les valeurs sont : Non populaire, Faible, Moyenne, Élevée

  • Catégories - Catégories Cato pour le domaine cible

  • Sources de renseignements sur les menaces - Nombre de sources de renseignements sur les menaces de Cato qui ont détecté la cible comme malveillante

  • Moteurs tiers - Nombre de moteurs de sécurité tiers qui ont détecté la cible comme malveillante

  • Pays d'enregistrement - Pays où le domaine cible est enregistré

  • Résultats de Recherche Google - Nombre de résultats de recherche Google pour la cible

10

Principales Connexions

Données pour les principales connexions liées à l'anomalie. Par exemple, pour une Anomalie de Bande Passante Amont d'un Utilisateur SDP, les connexions avec la bande passante de téléversement la plus utilisée.

Ce sont les descriptions des colonnes du tableau :

  • Application - L'application détectée dans le flux de trafic pour la connexion

  • Adresse IP source - Adresse IP source dans votre réseau envoyant ou recevant le flux

  • Destination - Adresse IP ou domaine de la cible externe envoyant ou recevant le flux

  • Flux - Nombre de flux associés à la connexion

  • Téléchargement - Utilisation de la bande passante de téléchargement

  • Téléversement - Utilisation de la bande passante de téléversement

  • Utilisation - Utilisation totale de la bande passante

Prérequis pour les Histoires d'Anomalies UEBA

Certaines indications détectées par le moteur de Détection d'Anomalies nécessitent la configuration d'un connecteur, une licence spécifique ou les deux. Ce tableau liste les prérequis pour ces indications. Si une indication n'est pas listée dans le tableau, il n'y a pas de prérequis supplémentaires.

Indication

Prérequis

Anomalie de Connexion d'Utilisateur Échouée

Licence CASB et au moins l'un de ces connecteurs :

  • Salesforce

  • GitHub

  • Azure ID

Téléchargement en Masse (Anomalie d'Événements de Téléchargement Utilisateur)

Licence CASB

Téléchargement en Masse (Anomalie d'Événements de Téléchargement Site)

Licence CASB

Téléversement en Masse (Anomalie d'Événements de Téléversement Utilisateur)

Licence CASB

Téléversement en Masse (Anomalie d'Événements de Téléversement Site)

Licence CASB

Suppression en Masse (Activité de Suppression Inhabituelle - Utilisateur)

Licence CASB

Suppression en Masse (Activité de Suppression Inhabituelle - Site)

Licence CASB

Création en Masse (Activité de Création de Fichier Inhabituelle - Utilisateur)

Licence CASB

Première Détection d'Utilisation de Protocoles Obsolètes ou Non Autorisés - Site

Licence de prévention des menaces

Première Détection d'Utilisation de Protocoles Obsolètes ou Non Autorisés - Utilisateur

Licence de prévention des menaces

Anomalie de Trafic C&C - Utilisateur

Licence de prévention des menaces

C&C Premier Téléversement vers un Bucket S3C Anomalie de Trafic - Site

Licence de prévention des menaces

Premier Téléversement vers un Bucket S3

Licence CASB et Anti-Malware

Anomalie de Suppression de Courriel

Licence CASB et ces connecteurs

  • M365-Exchange

  • Activités d'audit Microsoft Exchange

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire