Analyse des histoires XOps UEBA pour les anomalies d'utilisation et d'événements

Cet article explique comment utiliser l'atelier de récits XOps et la page de détail des récits pour analyser les récits XOps pour un comportement anormal détecté par les moteurs d'anomalie d'utilisation et d'événements.

Pour plus d'informations sur l'utilisation de l'atelier de récits, voir Examiner les récits XOps de détection et de réponse dans l'atelier de récits.

Remarque

Note : XOps est la couche d'analyse unifiée de Cato pour la sécurité et les opérations, offrant des informations et une remédiation guidée. XOps a remplacé XDR, pour plus d'informations, voir FAQ sur XOps.

Aperçu

Le service XOps de Cato (anciennement XDR) détecte des activités anormales basées sur l'analyse du comportement des utilisateurs et des entités (UEBA), pouvant indiquer une menace pour la sécurité. Les moteurs Anomalie d'utilisation et Anomalie d'événements surveillent et analysent le trafic réseau pour identifier les comportements inhabituels qui pourraient être des signes de comptes compromis, de menaces internes et d'attaques avancées. Ces moteurs intègrent des techniques d'apprentissage automatique et de modélisation statistique avec formation sur le trafic réseau pour construire des modèles de comportement de référence pour les utilisateurs et les entités dans votre compte. Sur la base de ces modèles, les moteurs peuvent identifier divers types d'anomalies.

Voici des descriptions succinctes des moteurs d'anomalie XOps UEBA et des types d'anomalies qu'ils identifient :

  • Anomalie d'utilisation - Identifie les anomalies liées à une utilisation inhabituelle dans les applications. Par exemple, un utilisateur télécharge plus de données sur une application que d'habitude

  • Anomalie d'événements - Détecte des anomalies qui impliquent une entité sur le réseau déclenchant un nombre inhabituel d'événements de sécurité. Par exemple, un site sur le réseau déclenche considérablement plus d'événements de blocage du pare-feu Internet que d'habitude

Lorsque les moteurs d'anomalie XOps UEBA génèrent un récit, vous pouvez le consulter dans l'atelier de récits et approfondir pour une analyse supplémentaire des données du récit.

Prérequis

  • Les histoires d'anomalies d'utilisation et d'événements sont disponibles uniquement pour les clients XOps et MDR. Pour plus d'informations sur l'achat d'un XOps, ou l'abonnement au service MDR, veuillez contacter votre représentant Cato.

Explorer et Analyser les Stories d'Anomalies UEBA

Vous pouvez cliquer sur une histoire d'anomalie d'utilisation ou d'anomalie d'événements dans le Stories Workbench pour approfondir et enquêter sur les détails dans une page différente. Cette page contient un certain nombre de widgets qui vous aident à évaluer la menace potentielle.

Affichage d'une Story de Sécurité

Cliquez sur une histoire de sécurité dans la page du Stories Workbench pour afficher les détails de l'histoire UEBA.

Pour voir la page Atelier des Histoires :

  • Dans le menu de navigation, cliquez sur Accueil > Stories Workbench.

Génération de Résumés de Story par AI

L'exploration du Stories Workbench comprend un outil qui vous permet de créer une description d'histoire en langage naturel générée par AI, qui fournit un contexte riche et vous aide à évaluer rapidement l'histoire. Le résumé de l'histoire est généré dynamiquement pour refléter l'état actuel de l'histoire. Si l'histoire est mise à jour avec de nouvelles informations, vous pouvez régénérer le résumé pour refléter les changements.

  • Le résumé de l'histoire AI est généré uniquement à la demande par l'administrateur

Protection des données sensibles avec la Tokenisation

Pour une sécurité des données robuste lors de la transmission de données de récit vers des services d'IA tiers, Cato utilise la tokenisation pour s'assurer que toutes les données sensibles restent dans la plateforme XOps de Cato. Cela implique de remplacer les informations sensibles par des identifiants uniques, ou "tokens", rendant les données dénuées de sens pour les entités non autorisées. Les données sensibles ne sont jamais exposées à des services tiers. Cette approche garantit la confidentialité des détails de l'histoire, en accord avec notre engagement envers des normes robustes de confidentialité et de sécurité des données.

Note

Remarque : En raison des limitations de l'IA générative, les informations fournies dans les résumés des histoires peuvent occasionnellement contenir des inexactitudes.

Comprendre les Widgets d'anomalies UEBA

ueba_story_original.png

Voici les widgets pour une histoire d'anomalie d'utilisation ou d'anomalie d'événements :

Élément

Nom

Description

1

Résumé de l'histoire

Un résumé des informations de base sur l'histoire, y compris :

  • Nom de l'anomalie

  • Indication pour l' Attaque Détectée

  • Le producteur Détection & Réponse (engin) qui a généré l'histoire

  • Gravité de l'analyste - Gravité de la menace

  • Verdict de l'analyste pour la menace

  • Type d'attaque

  • Classification détaillée de la menace telle que déterminée par un analyste

  • Statut de l'histoire

2

Chronologie de l'histoire

Affiche une chronologie de l'histoire, comme les changements apportés au verdict de l'histoire et à la gravité, et quand le statut est mis à jour

3

Détails

Détails de base sur l'histoire, y compris

  • Une description et un résumé de la menace

    • Cliquez sur Générer un résumé AI pour une description de l'histoire en langage naturel qui fournit un contexte riche et vous aide à évaluer rapidement l'histoire

  • Premier signal - Heure du premier signal (flux de trafic) associé à l'anomalie

  • Date de création - Heure à laquelle l'histoire a été générée

  • Dernière mise à jour - Heure de la dernière mise à jour de l'histoire, tel qu'un nouvel objectif ou un verdict modifié

  • Criticité - Score global de risque pour l'histoire tel que calculé par l'algorithme d'analyse de risque d'apprentissage automatique de Cato (les valeurs vont de 1 (moins critique) à 10 (plus critique))

  • Période d'entraînement - La période d'entraînement pour le modèle d'apprentissage automatique pour déterminer un comportement anormal

  • ID d'indication - L'identifiant de l'indication utilisé par les moteurs XOps. Vous pouvez utiliser l'ID pour rechercher l'indication dans le Catalogue des indications

  • Étiquettes MITRE - Techniques MITRE ATT&CK® identifiées pour la menace.

    Pour plus d'informations sur le cadre MITRE ATT&CK®, voir Utilisation du tableau de bord MITRE ATT&CK®.

    • Cliquez sur une technique MITRE ATT&CK® pour lire sa description sur le site MITRE ATT&CK®

  • Verdict Prévu et Type Prévu basé sur des prédictions d'apprentissage automatique pour le verdict probable et le type de malware potentiel que vous pouvez identifier. Les algorithmes d'apprentissage automatique analysent les verdicts finaux d'histoires similaires

  • Histoires Similaires - Affiche des histoires avec des cibles similaires. Les détails affichés pour chaque histoire incluent : le type de menace de l'histoire, le verdict de l'histoire (si disponible), et le niveau de similarité tel que calculé par un modèle d'apprentissage automatique (indiqué par un pourcentage). Placez la souris sur le récit pour afficher une classification plus détaillée de la menace

4

Distribution des anomalies

Graphique du comportement anormal pour les 14 derniers jours. Pour les histoires d'anomalies d'utilisation, le graphique montre les données des applications pertinentes. Pour les histoires d'anomalies d'événements, le graphique montre les données des événements pertinents.

  • Pour afficher les détails de l'anomalie, survolez le graphique avec la souris

  • Pour enquêter plus en détail sur les différentes applications ou événements détectés dans l'anomalie, cliquez sur le bouton de basculement d'une application ou d'un événement pour activer ou désactiver son graphique.

  • Cliquez sur View All pour ouvrir l'écran Application Analytics pré-filtré pour les applications liées à l'anomalie

5

Source

Informations de base sur l'appareil de votre réseau associé à l'anomalie

6

Principales Applications

Principales applications liées à l'anomalie, avec des détails pertinents. Par exemple, une application pour une anomalie de la bande passante montante apparaît avec le montant total des uploads depuis l'application

  • Cliquez sur View All pour ouvrir l'écran Application Analytics pré-filtré pour les applications liées à l'anomalie

7

Principaux Serveurs/Destinations

Principaux serveurs et destinations impliqués dans l'anomalie, avec des détails pertinents. Par exemple, un serveur pour une anomalie de la bande passante montante apparaît avec le montant total des uploads au serveur

  • Cliquez sur View All pour ouvrir l'écran Application Analytics et afficher les destinations pré-filtrées pour les applications liées à l'anomalie

8

Principaux Hôtes

Principaux hôtes liés à l'anomalie, avec des détails pertinents. Par exemple :

  • Un hôte pour une anomalie de la bande passante montante apparaît avec le nombre de chargements depuis l'hôte

  • Les hôtes pour une anomalie dans le comportement d'un utilisateur montrent les adresses IP pour l'utilisateur dans les connexions liées à l'anomalie

Cliquez sur View All pour ouvrir l'écran Application Analytics et montrer les hôtes pré-filtrés pour les applications liées à l'anomalie

9

Cibles

Montre les données pour les sources potentiellement malveillantes en dehors de votre site réseau liées à l'histoire.

Ce sont les descriptions des colonnes du tableau des cibles :

  • Cible - Domaines ou adresses IP des sources externes identifiées dans les flux de trafic liés à l'histoire

  • Date de création - Date d'enregistrement du domaine cible

  • Liens Cibles - Liens pour chercher la cible dans diverses sources externes d'intelligence de menaces. Pour des informations supplémentaires, cliquez sur l'icône VirusTotal ou sélectionnez d'autres ressources dans le menu déroulant.

  • Score Malveillant - Le score malveillant de la cible selon les algorithmes d'intelligence des menaces de Cato. Les scores varient de 0 (bénin) à 1 (malveillant)

  • Popularité - Fréquence à laquelle la cible apparaît dans les sources de données internes de Cato. Les valeurs sont : Impulaire, Bas, Moyen, Haut

  • Catégories - Catégories de Cato pour le domaine cible

  • Flux de Menaces - Nombre de sources d'intelligence de menaces de Cato ayant détecté la cible comme malveillante

  • Moteurs - Nombre de moteurs de sécurité tiers qui ont détecté la cible comme malveillante

  • Pays du Déposant - Pays où le domaine cible est enregistré

  • Résultats de Recherche Google - Nombre de résultats de recherche Google pour la cible

10

Principales Connexions

Données pour les principales connexions liées à l'anomalie. Par exemple, pour une Anomalie de la Bande Passante Montante de l'Utilisateur SDP, les connexions avec le plus de bande passante utilisée.

Ce sont les descriptions des colonnes du tableau :

  • Application - L'application détectée dans le flux de trafic pour la connexion

  • IP Source - Adresse IP source dans votre réseau envoyant ou recevant le flux

  • Destination - Adresse IP ou domaine de la cible externe envoyant ou recevant le flux

  • Flux - Nombre de flux associés à la connexion

  • Téléchargement - Utilisation de la bande passante de téléchargement

  • Téléversement - Utilisation de la bande passante de téléversement

  • Utilisation - Utilisation totale de la bande passante

Prérequis pour les Stories d'Anomalies UEBA

Certaines indications détectées par le moteur de détection d'anomalies nécessitent la configuration d'un connecteur, d'une licence spécifique ou des deux. Ce tableau répertorie les prérequis pour ces indications. Si une indication n'est pas répertoriée dans le tableau, il n'y a pas de prérequis supplémentaires.

Indication

Prérequis

Anomalie de connexion utilisateur échouée

Licence CASB et au moins un de ces connecteurs :

  • Salesforce

  • GitHub

  • Azure ID

Téléchargement en masse (Anomalie des Événements de Téléchargement Utilisateur)

Licence CASB

Téléchargement en masse (Anomalie des Événements de Téléchargement Site)

Licence CASB

Téléversement en masse (Anomalie des Événements de Téléversement Utilisateur)

Licence CASB

Téléversement en masse (Anomalie des Événements de Téléversement Site)

Licence CASB

Suppression en masse (Activité de suppression inhabituelle - Utilisateur)

Licence CASB

Suppression en masse (Activité de suppression inhabituelle - Site)

Licence CASB

Création en masse (Activité de création de fichiers inhabituelle - Utilisateur)

Licence CASB

Première Détection de l'utilisation de Protocoles obsolètes ou non autorisés - Site

Licence de prévention des menaces

Première Détection de l'utilisation de Protocoles obsolètes ou non autorisés - Utilisateur

Licence de prévention des menaces

Anomalie de Trafic C&C - Utilisateur

Licence de prévention des menaces

Anomalie de Trafic C&C - Premier Téléchargement vers un Bucket S3 Site

Licence de prévention des menaces

Premier Téléchargement vers un Bucket S3

Licence CASB et Anti-Malware

Anomalie de suppression du courrier

Licence CASB et ces connecteurs

  • M365-Exchange

  • Activités d'audit Microsoft Exchange

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire