Analyse approfondie et analyse des histoires de sécurité XOps

Cet article explique comment utiliser la page Histoire de Détection & Réponse pour analyser des histoires de menaces potentielles dans votre compte.

Vue d'ensemble

Vous pouvez cliquer sur une histoire dans l'Atelier des Histoires pour approfondir et enquêter sur les détails dans la page Histoire de Détection & Réponse. Cette page contient un aperçu de l'histoire et un résumé des histoires connexes. L'aperçu contient un certain nombre de widgets qui vous aident à évaluer la menace potentielle identifiée par les moteurs XOps, tandis que le résumé des histoires connexes vous aide à replacer l'histoire dans un contexte plus large pour l'analyse.

Génération de résumés d'histoires IA

L'analyse approfondie de l'Atelier des Histoires inclut un outil qui vous permet de créer une description d'histoire en langage naturel générée par l'IA, fournissant un contexte riche et vous aidant à évaluer rapidement l'histoire. Le résumé de l'histoire est généré dynamiquement pour refléter l'état actuel de l'histoire. Si l'histoire est mise à jour avec de nouvelles informations, vous pouvez régénérer le résumé pour refléter les changements.

  • Le résumé de l'histoire IA est généré uniquement à la demande par l'administrateur

Protection des données sensibles par la tokenisation

Pour une sécurité des données robuste lors de la transmission des données d'histoire aux services d'IA tiers, Cato utilise la tokenisation pour garantir que toutes les données sensibles restent dans la plateforme XOps de Cato. Cela implique de remplacer les informations sensibles par des identifiants uniques, ou "tokens", rendant les données incompréhensibles pour les entités non autorisées. Les données sensibles ne sont jamais exposées aux services tiers. Cette approche garantit la confidentialité des détails de l'histoire, conformément à notre engagement envers des normes rigoureuses de confidentialité et de sécurité des données.

Remarque

Remarque : En raison des limitations de l'IA générative, les informations fournies dans les résumés d'histoires peuvent parfois contenir des inexactitudes.

Analyse approfondie et analyse des histoires

Une histoire de Détection et Réponse inclut des widgets pour évaluer la menace identifiée. Dans l'histoire, vous pouvez examiner les alertes pertinentes et les preuves justificatives comme les processus, fichiers, valeurs de registre, tâches planifiées et activité réseau. Ces preuves sont présentées de deux manières :

  • Un arbre de processus chronologique présenté dans le contexte d'une alerte spécifique. Cela vous aide à comprendre la séquence d'événements qui semblait suspecte et a généré l'alerte.

    Remarque : Cela peut être indisponible sur certaines histoires en raison de problèmes de connectivité API.

  • Le tableau Évidences fournissant un aperçu des preuves pour l'histoire. Cela aide à évaluer plus largement la prévalence d'activités spécifiques malveillantes ou suspectes sur l'appareil terminal.

Comprendre les widgets d'aperçu de l'histoire

Detection___Response_Story_Overview.png

Ce sont les widgets d'aperçu de l'histoire :

Remarque

Remarque : Tous les widgets ne sont pas inclus dans chaque histoire. Les widgets dans chaque histoire dépendent du type d'histoire et des données disponibles.

Nom

Description

Résumé de l'histoire

La Vue d'ensemble montre un résumé des informations de base sur l'histoire, y compris :

  • Indication pour l'attaque détectée

  • Le moteur de Détection & Réponse qui a créé l'histoire

  • Gravité de la menace déterminée par l'analyste

  • Verdict pour la menace déterminé par l'analyste

  • Type d'attaque (par exemple, Extension de navigateur, Application native, Scanner, Application Web)

  • Classification détaillée de la menace déterminée par l'analyste (par exemple, Scan de Port, Domaine nouvellement enregistré, Scan SMB)

  • Nombre d'appareils compromis

  • Nombre de signaux (flux de trafic) associés à l'attaque

  • Durée de l'histoire depuis sa création

  • Statut de l'histoire

    Utilisez le menu déroulant Actions et sélectionnez Gérer l'Histoire pour modifier les paramètres de l'histoire tels que le Verdict de l'Analyste, Gravité de l'analyste, le Statut, et la Classification.

    L'onglet Histoires connexes fournit un contexte pour l'histoire que vous enquêtez en vous permettant d'examiner rapidement les histoires ayant la même source et les histoires avec des caractéristiques similaires impliquant différentes sources sur votre réseau.

    Chronologie de l'histoire

    Affiche une chronologie de l'histoire, comme les modifications apportées au verdict et à la gravité de l'histoire, et quand de nouvelles cibles liées à l'histoire sont identifiées

    Détails

    Informations clés pour analyser l'histoire, y compris une description de la menace, et les techniques MITRE ATT&CK® identifiées pour la menace.

    • Cliquez sur Générer le Résumé IA pour une description d'histoire en langage naturel qui fournit un contexte riche et vous aide à évaluer rapidement l'histoire

    Autres détails incluent :

    • Criticité - Score global de risque pour l'histoire comme calculé par l'algorithme d'analyse de risque par apprentissage machine de Cato (les valeurs vont de 1 à 10)

      Ce modèle d'apprentissage machine, connu sous le nom de forêt aléatoire, calcule la criticité en analysant des paramètres spécifiques à partir du renseignement sur les menaces (TI) et des données générées par les flux et événements du réseau.

      Une forêt aléatoire est un type de modèle ML qui combine les résultats de nombreux "arbres de décision" plus petits pour améliorer la précision et la fiabilité. Il est particulièrement utile pour évaluer des données complexes et multi-factorielles comme les menaces de sécurité.

      Pour évaluer la criticité, le modèle considère des facteurs importants tels que :

      • Type de système d'exploitation

      • Popularité du domaine au sein de Cato

      • Classification du client

      • Type de moteur de sécurité créant les événements (si pertinent)

      • Action entreprise (bloquer, surveiller, etc.)

      • Techniques MITRE

      • Localisation IP

      • Données WHOIS

      En tout, le modèle évalue plus de 40 paramètres pour garantir une évaluation complète et précise de la criticité de l'histoire.

    • Verdict Prévu et Type Prévu basés sur les prédictions d'apprentissage automatique pour le verdict probable et le type de malware potentiel que vous pourriez identifier. Les algorithmes d'apprentissage automatique analysent les verdicts finaux d'histoires similaires

    Pour plus d'informations sur le cadre MITRE ATT&CK®, consultez le tableau de bord MITRE ATT&CK®.

    • Cliquez sur une technique MITRE ATT&CK® pour lire sa description sur le site web MITRE ATT&CK®

    Source

    Informations de base sur l'utilisateur et les appareils dans votre réseau impactés par la menace

    Alertes/Incidents/Detections

    Affiche les détails des alertes liées à l'histoire.

    • Développez une alerte pour afficher un arbre chronologique des processus pour les preuves liées à l'alerte, y compris les processus, les fichiers et les valeurs de registre

    • Cliquez sur un élément dans l'arbre de processus pour approfondir et afficher des données granulaires sur la preuve

    Ce sont les colonnes dans le tableau :

    • Une qui décrit l'activité suspecte

    • Criticité - Score global de risque pour l'alerte comme calculé par l'algorithme d'analyse du risque par apprentissage machine de Cato (les valeurs vont de 1 à 10)

    • Techniques MITRE - Techniques MITRE ATT&CK® identifiées pour la menace

      Pour plus d'informations sur le cadre MITRE ATT&CK®, consultez le tableau de bord MITRE ATT&CK®.

    • Statut - Montre si l'alerte est Nouvelle ou a déjà été Résolue

    • Date de la Première Activité - Date de la première activité suspecte détectée pour l'alerte

    • Date de la Dernière Activité - Date de l'activité suspecte la plus récente détectée pour l'alerte

    • Nom de la Menace - Nom du malware détecté. Par exemple : Trojan:Win32/Startpage

    • Description & Actions Recommandées - Cliquez sur Voir pour une brève description de l'alerte et les étapes recommandées pour enquêter et atténuer la menace

    • Cible - L'URL impliquée dans l'alerte

    • IP de Destination - L'adresse IP distante impliquée dans l'histoire

    Évidences

    Agrège les détails pour tous les Processus, Fichiers, et valeurs de Registre identifiés dans la preuve pour les différentes alertes de l'histoire.

    Certaines des colonnes du tableau Évidences sont partagées par tous les types de preuves, et certaines sont spécifiques par type.

    Ce sont les colonnes qui apparaissent pour tous les types de preuves :

    • Verdict - Verdict généré par Defender pour la pièce de preuve (Malveillant, Suspect, ou Aucune menace trouvée)

    • État - Montre si la menace a été atténuée

    • Créé - Date et heure de l'enregistrement de l'événement

    Ce sont les colonnes spécifiques pour chaque type de Preuve :

    • Processus :

      • Nom du processus - Nom du fichier exécutable pour le processus

      • ID du processus - Numéro d'identification attribué par Windows pour le processus

      • Ligne de commande du processus - Arguments passés au processus sous Windows. Cela peut révéler un contexte important sur l'exécution d'un processus suspect

      • Chemin du fichier - Emplacement sur l'appareil de point de terminaison du fichier exécutable pour le processus

    • Fichiers :

      • Chemin du fichier - Emplacement du fichier sur l'appareil de point de terminaison

      • Nom du fichier - Nom du fichier incluant l'extension

      • Taille du fichier - Taille du fichier en octets, kilooctets ou mégaoctets

    • Registre :

      • Clé du registre Nom

      • Type de valeur du registre - Format des données stockées dans la valeur du registre

      • Valeur du registre - La valeur de l'entrée du registre

    Géolocalisation d'attaque

    Montre la géolocalisation des sources dans votre réseau (emplacements orange) et des sources externes (emplacements rouges) liées à la menace. Les flèches reliant les sources indiquent la direction du trafic

    Actions ciblées

    Événements liés à chaque cible, y compris l'information suivante :

    Colonne

    Description

    Cible

    Domaines ou adresses IP de sources externes identifiées dans les flux de trafic liés à l'histoire

    Type

    Moteur de sécurité ayant généré les événements liés à la cible

    Action

    Action prise sur le trafic lié à la cible

    Événements liés

    Montre les signatures de menace apparaissant dans les événements liés à la cible.

    • Passez la souris sur une signature pour afficher un journal récapitulatif de l'événement

    • Cliquez sur la signature pour ouvrir la page des événements pré-filtrée pour la signature

    Répartition des attaques

    Répartition temporelle des flux liés à l'attaque.

    • Pour faciliter la lecture du graphique, dans Cibles, cliquez sur une cible pour masquer ces données du graphique

    • Pour montrer les détails de l'attaque, passez la souris sur le graphique

    Cibles

    Montre les données des sources potentiellement malveillantes en dehors de votre site réseau liées à l'histoire.

    Colonne

    Description

    Date de création

    Date d'enregistrement du domaine cible

    Cible

    Domaines ou adresses IP de sources externes identifiées dans les flux de trafic liés à l'histoire

    Liens Cibles

    Liens pour rechercher la cible dans diverses sources de renseignements sur les menaces externes.

    Pour plus d'informations, cliquez sur l'icône VirusTotal, ou sélectionnez d'autres ressources dans le menu déroulant.

    Score de Malveillance

    Le score de malveillance de la cible selon les algorithmes de renseignements sur les menaces de Cato. Les scores vont de 0 (bénin) à 1 (malveillant)

    Popularité

    Fréquence d'apparition de la cible dans les sources de données internes de Cato. Les valeurs sont : Impopulaire, Faible, Moyen, Élevé

    Catégories

    Catégories Cato pour le domaine cible

    Sources de renseignements sur les menaces

    Nombre de sources de renseignements sur les menaces de Cato ayant détecté la cible comme malveillante

    Moteurs tiers

    Nombre de moteurs de sécurité tiers ayant détecté la cible comme malveillante

    Pays d'enregistrement

    Pays où le domaine cible est enregistré

    Résultats de Recherche Google

    Nombre de résultats de recherche Google pour la cible

    Flux liés à l'attaque

    Montre les données pour un échantillon représentatif des événements liés à l'attaque.

    Colonne

    Description

    Cible

    Domain ou IP de la cible du flux de communication pertinent

    Heure de début

    Horodatage du début du flux

    Direction

    Direction du flux. Les directions incluent :

    • Entrant - Trafic vers votre réseau provenant d'une source externe

    • Sortant - Trafic de votre réseau vers une source externe

    • WANbound - Trafic de votre réseau vers un autre site sur votre réseau

    Adresse IP source

    Adresse IP source dans votre réseau envoyant ou recevant le flux

    Port source

    Port source de votre réseau envoyant ou recevant le flux

    Adresse IP de destination

    Adresse IP de la cible externe envoyant ou recevant le flux

    Port de destination

    Le port de la cible externe envoyant ou recevant le flux

    Méthode

    La méthode HTTP dans le flux (GET, POST, etc.)

    URL complète du chemin

    L'URL complète de la ressource externe dans le flux

    Client

    Type d'applications clientes qui s'exécutent sur le système d'exploitation ayant créé ce flux réseau (par exemple, Chrome)

    Application Cato

    L'application Cato utilisée dans le flux

    Pays de destination

    Emplacement de l'adresse IP de destination dans le flux

    Réponse IP DNS

    L'adresse IP renvoyée par une recherche DNS

    Événements de connexion

    (Ce widget nécessite le connecteur Microsoft Entra ID)

    Graphiques avec des répartitions de données des événements de connexion de l'utilisateur à partir du jour de l'alerte plus les 2 jours précédents. Utilisez le menu déroulant pour choisir le type de données affichées sur les graphiques. Voici les options :

    • Adresse IP source - L'adresse IP de la source détectée dans l'événement de connexion

    • Localisation de la connexion - La géolocalisation d'où la connexion a été effectuée

    • Classification du client - Le type de client utilisé pour la connexion (par exemple, le nom et la version du navigateur)

    • Agent utilisateur - L'agent utilisateur utilisé lors de la connexion tel qu'il apparaît dans le champ User Agent de l'en-tête HTTP pour le trafic. Voici des exemples de valeurs d'agent utilisateur :

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • Type de système d'exploitation - Le type de système d'exploitation sur l'appareil utilisé pour la connexion (par exemple, Windows, macOS)

    • Version du système d'exploitation - Le numéro de version du système d'exploitation sur l'appareil utilisé pour la connexion

    Événements de Connexion sur l'Utilisateur

    (Cette vue nécesssite le connecteur Microsoft Entra ID)

    Affiche les données des événements de connexion de l'utilisateur depuis le jour de l'alerte et les 2 jours précédents.

    Voici les colonnes du tableau :

    • Temps de l'événement de connexion

    • Nom de l'utilisateur pour la connexion

    • Adresse IP source - L'adresse IP de la source détectée dans l'événement de connexion

    • Localisation de la connexion - La géolocalisation d'où la connexion a été effectuée

    • Action - Résultat de la tentative de connexion (valeurs : Échec, Réussi, Accès refusé)

    • Raison de l'échec - Explication des résultats de connexion Échoué ou Accès refusé

    • Application - L'application à laquelle l'utilisateur a tenté de se connecter

    • Classification du client - Le type de client utilisé pour la connexion (par exemple, le nom et la version du navigateur)

    • Type de système d'exploitation - Le type de système d'exploitation sur l'appareil utilisé pour la connexion (par exemple, Windows, macOS)

    • Version du système d'exploitation - Le numéro de version du système d'exploitation sur l'appareil utilisé pour la connexion

    • Agent utilisateur - L'agent utilisateur utilisé lors de la connexion tel qu'il apparaît dans le champ User Agent de l'en-tête HTTP pour le trafic. Voici des exemples de valeurs d'agent utilisateur :

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    Comprendre le Résumé des Histoires Connexes

    XDR_Related_Stories.png

    Le résumé des histoires connexes fournit un contexte pour l'histoire que vous enquêtez en vous permettant de revoir rapidement les histoires avec la même source et les histoires avec des caractéristiques similaires impliquant différentes sources sur votre réseau. Le résumé affiche les détails clés pour chaque histoire connexe et vous permet d'ouvrir facilement l'Atelier des Histoires préfiltré pour les histoires connexes, ou la page Détection & Réponse pour une histoire connexe spécifique.

    Voici les tableaux dans le résumé des Histoires Connexes :

    • Le tableau Histoires Similaires Principales vous permet de voir rapidement si d'autres sources de votre réseau sont impliquées dans des histoires avec des caractéristiques similaires à celle étant investiguée, telles que la même Indication ou Cible. Ce tableau affiche jusqu'à 5 histoires similaires principales selon le score de Similitude des Cibles. Le tableau n'est pas limité à une période de temps spécifique.

    • Le tableau Histoires sur la Source montre toutes les histoires générées par la source de cette histoire, dans la période de temps sélectionnée. La période de temps par défaut est les 2 dernières semaines. Cela vous permet d'évaluer le contexte plus large de l'activité de cette source. Par exemple, cela peut aider à déterminer si le comportement dans cette histoire est inhabituel ou routinier pour cette source spécifique.

    Les actions suivantes peuvent être effectuées dans les deux tableaux :

    • Cliquez sur Voir dans l'Atelier pour ouvrir l'Atelier des Histoires préfiltré pour montrer les histoires dans le tableau

    • Cliquez dans la ligne d'une histoire pour ouvrir la page Détection & Réponse pour cette histoire

    Voici les colonnes dans les tableaux des Histoires Connexes :

    • Temps de Création - Temps où l'histoire a été générée

    • Dernière Mise à Jour - Temps de la dernière mise à jour de l'histoire, tel qu'un nouveau cible ou un verdict changé

    • Indication - Indicateur d'attaque pour l'histoire. Pour plus d'informations sur les indications, voir Utiliser le Catalogue des Indications

      • Cliquez Open_in_New_Tab.png pour ouvrir la page de Détection & Réponse pour cette histoire dans un nouvel onglet

      • Cliquez Tooltip_icon.png pour plus d'informations sur l'indication

    • Source - Adresse IP, nom de l'appareil, ou utilisateur SDP sur votre réseau impliqué dans l'histoire

    • Similitude des cibles (uniquement pour les Histoires Similaires Principales) - Niveau de similitude des cibles en commun avec l'histoire investiguée, tel que calculé par un modèle d'apprentissage automatique (indiqué par un pourcentage)

    • Cibles Communes (uniquement pour les Histoires Similaires Principales) - URLs ou adresses IP des cibles en commun avec l'histoire en cours d'investigation

    • Criticité - Analyse de risque de l'histoire par Cato (les valeurs vont de 1 (risque faible) à 10 (risque élevé))

    • Le Statut de l'histoire - Les valeurs comprennent :

      • Ouvert - L'histoire a été générée et n'est pas résolue

      • En attente de client - L'histoire a été envoyée au client et attend une réponse de sa part

      • En attente de l'analyste - En attente de plus d'informations des analystes de sécurité

      • Fermé - Les analystes de sécurité ont fermé l'histoire

      • Rouverte - Les producteurs XOps ont détecté un nouveau trafic qui correspond à une histoire fermée, et ont automatiquement rouvert l'histoire pour permettre un examen plus approfondi. Les histoires sont rouvertes pour le trafic détecté 12 heures ou plus après la première fermeture de l'histoire. Dans les 12 heures, l'histoire n'est pas rouverte pour permettre la gestion de l'histoire par atténuation ou silencing.

    • Verdict de l'analyste - Le verdict attribué à l'histoire par un analyste

    • Classification par l'analyste - Une classification détaillée du type de menace telle que définie par un analyste

    Cet article vous a-t-il été utile ?

    Utilisateurs qui ont trouvé cela utile : 1 sur 1

    0 commentaire