Exploration et Analyse des Histoires de Sécurité XOps

Cet article explique comment utiliser la page Histoire de Détection & Réponse pour analyser les histoires de menaces potentielles dans votre compte.

Remarque

Remarque : XOps est la couche d'analytique unifiée de Cato pour la sécurité et les opérations, offrant des perspectives et une remédiation guidée. XOps a remplacé XDR, pour plus d'informations, voir FAQ XOps.

Aperçu

Vous pouvez cliquer sur une histoire dans le Stories Workbench pour explorer et enquêter sur les détails dans la page de l'histoire Détection & Réponse. Cette page contient un aperçu de l'histoire et un résumé des Histoires Liées. Le tableau de bord contient un certain nombre de widgets qui vous aident à évaluer la menace potentielle identifiée par les moteurs XOps, tandis que le résumé des histoires liées vous aide à mettre l'histoire dans un contexte plus large pour l'analyse.

Génération de résumés d‘historique IA

L'analyse approfondie du Stories Workbench inclut un outil qui vous permet de créer une description d'histoire en langage naturel générée par l'IA, ce qui fournit un contexte riche et vous aide à évaluer rapidement l'histoire. Le résumé de l'histoire est généré dynamiquement pour refléter l'état actuel de l'histoire. Si l'histoire est mise à jour avec de nouvelles informations, vous pouvez régénérer le résumé pour refléter les changements.

  • Le résumé d'histoire IA est généré uniquement à la demande par l'admin

Protéger les données sensibles avec la tokenisation

Pour une sécurité des données robuste lors de la transmission de données d'histoire vers des services IA tiers, Cato utilise la tokenisation pour garantir que toutes les données sensibles restent sur la plateforme Cato XOps. Cela implique de remplacer les informations sensibles par des identifiants uniques, ou « tokens », rendant les données inintelligibles aux entités non autorisées. Les données sensibles ne sont jamais exposées aux services tiers. Cette approche garantit la confidentialité des détails de l'histoire, en ligne avec notre engagement pour des standards de confidentialité et de sécurité des données robustes.

Remarque

Remarque : En raison des limitations de l'IA générative, les informations fournies dans les résumés d'histoires peuvent parfois contenir des inexactitudes.

Exploration et Analyse des Histoires

Une Histoire de Détection et Réponse inclut des widgets pour évaluer la menace identifiée. Dans l'Histoire, vous pouvez examiner les alertes pertinentes et les preuves à l'appui telles que les processus, les fichiers, les valeurs du registre, les tâches planifiées et l'activité réseau. Ces preuves sont présentées soit :

  • Un arbre chronologique de processus présenté dans le contexte d'une alerte spécifique. Cela vous aide à comprendre la séquence des événements qui ont paru suspects et ont généré l'Alerte.

    Remarque : Cela peut être indisponible pour certaines histoires en raison de problèmes de connectivité API.

  • Le tableau des Preuves offrant un aperçu des Preuves pour l'histoire. Cela aide à évaluer plus largement la prévalence d'activités malveillantes ou suspectes spécifiques sur l'appareil de point de terminaison.

Comprendre les widgets d'aperçu des histoires

Détection___Réponse_Histoire_Description_Générale.png

Ce sont les widgets Vue d'ensemble de l'histoire :

Note

Remarque : Tous les widgets ne sont pas inclus dans chaque histoire. Les widgets dans chaque histoire dépendent du type d'histoire et des données disponibles.

Nom

Description

Résumé de l'histoire

L'Aperçu montre un résumé des informations de base sur l'histoire, y compris :

  • Indication de l'attaque détectée

  • Le moteur de Détection & Réponse qui a créé l'histoire

  • Sévérité de la menace déterminée par l'analyste

  • Verdict de la menace déterminé par l'analyste

  • Type d'attaque (par exemple, Extension de Navigateur, Application Native, Scanner, Application Web)

  • Classification détaillée de la menace déterminée par l'analyste (par exemple, Scan de Port, Domaine Nouvellement Enregistré, Scan SMB)

  • Nombre d'appareils compromis

  • Nombre de signaux (flux de trafic) associés à l'attaque

  • Durée de l'histoire depuis sa création

  • Statut de l'histoire

    Utilisez le menu déroulant Actions et sélectionnez Gérer l'Histoire pour changer les paramètres de l'histoire tels que Verdict de l'analyste, Sévérité de l'analyste, Statut, et Classification.

    L'onglet Histoires Connexes fournit un contexte pour l'histoire que vous enquêtez en vous permettant de passer en revue rapidement les histoires avec la même source et celles avec des caractéristiques similaires impliquant différentes sources sur votre réseau.

    Chronologie de l'histoire

    Montre une chronologie de l'histoire, tels que les changements faits au verdict et à la sévérité de l'histoire, et quand de nouvelles cibles liées à l'histoire sont identifiées

    Détails

    Informations clés pour analyser l'histoire, y compris une description de la menace et les techniques MITRE ATT&CK® identifiées pour la menace.

    • Cliquez sur Générer un Résumé IA pour obtenir une description de l'histoire en langage naturel qui offre un contexte riche et vous aide à évaluer rapidement l'histoire

    Autres détails incluent :

    • Criticité - Score de risque global pour l'histoire tel que calculé par l'algorithme d'analyse de risque apprenant de Cato (les valeurs sont de 1 à 10)

      Ce modèle d'apprentissage automatique, connu sous le nom de forêt aléatoire, calcule la criticité en analysant des paramètres spécifiques provenant de l'intelligence des menaces (TI) et des données générées par les flux et événements réseau.

      Une forêt aléatoire est un type de modèle ML qui combine les résultats de nombreux petits “arbres de décision” pour améliorer l'exactitude et la fiabilité. C'est particulièrement utile pour évaluer des données complexes et multi-factorielles comme les menaces de sécurité.

      Pour évaluer la criticité, le modèle prend en compte des facteurs importants tels que :

      • Type de système d'exploitation

      • Popularité du domaine chez Cato

      • Classification du client

      • Type de moteur de sécurité créant les événements (si pertinent)

      • Action entreprise (bloquer, surveiller, etc.)

      • Techniques MITRE

      • Localisation IP

      • Données WHOIS

      En tout, le modèle évalue plus de 40 paramètres pour garantir une évaluation complète et précise de la criticité de l'histoire.

    • Verdict Prévu et Type Prévu basé sur les prévisions d'apprentissage automatique pour le verdict probable et le type de malware potentiel que vous pouvez identifier. Les algorithmes d'apprentissage automatique analysent les verdicts finaux d'histoires similaires

    Pour en savoir plus sur le cadre MITRE ATT&CK® , voir Utilisation du tableau de bord MITRE ATT&CK®.

    • Cliquez sur une technique MITRE ATT&CK® pour lire sa description sur le site Web de MITRE ATT&CK®

    Source

    Informations de base sur l'utilisateur et les appareils de votre réseau impactés par la menace

    Alertes/Incidents/Détections

    Affiche les détails des Alertes liées à l'histoire.

    • Développez une Alerte pour montrer un arbre chronologique de processus pour les Preuves liées à l'Alerte, incluant les processus, les fichiers et les valeurs du registre.

    • Cliquez sur un élément de l'arbre de processus pour explorer davantage et afficher les données granulaires sur la Preuve.

    Voici les colonnes du tableau :

    • Une qui décrit l'activité suspecte

    • Criticité - Score de risque global pour l'Alerte tel que calculé par l'algorithme d'analyse de risque via apprentissage automatique de Cato (valeurs de 1 - 10)

    • Techniques MITRE - Techniques MITRE ATT&CK® identifiées pour la menace

      Pour plus d'informations sur le cadre MITRE ATT&CK®, voir Utiliser le tableau de bord MITRE ATT&CK®.

    • Statut - Indique si l'Alerte est Nouvelle ou a déjà été Résolue

    • Date de Première Activité - Date de la première activité suspecte détectée pour l'Alerte

    • Date de Dernière Activité - Date de la dernière activité suspecte détectée pour l'Alerte

    • Nom de la Menace - Nom du malware détecté. Par exemple : Trojan:Win32/Startpage

    • Description & Actions Recommandées - Cliquez sur Voir pour une brève description de l'Alerte et des étapes recommandées pour enquêter et atténuer la menace

    • Cible - L'URL impliquée dans l'Alerte

    • IP de Destination - L'adresse IP distante impliquée dans l'histoire

    Preuves

    Agrège les détails pour tous les Processus, Fichiers et Valeurs du Registre identifiés dans la preuve pour les diverses alertes d'histoire.

    Certaines des colonnes du tableau des Preuves sont partagées par tous les types de Preuves, et certaines sont spécifiques à chaque type.

    Voici les colonnes qui apparaissent pour tous les types de Preuves :

    • Verdict - Verdict généré par Defender pour la pièce de preuve (Malveillant, Suspect, ou Aucune menace trouvée)

    • Statut de Remédiation - Indique si la menace a été corrigée

    • Créé - Date et heure à laquelle l'événement a été enregistré

    Voici les colonnes spécifiques à chaque type de Preuve :

    • Processus :

      • Nom du Processus - Nom du fichier exécutable pour le processus

      • ID de Processus - Numéro d'identification assigné par Windows pour le processus

      • Ligne de Commande du Processus - Arguments qui ont été passés au processus dans Windows. Cela peut révéler un contexte important sur l'exécution d'un processus suspect

      • Chemin du Fichier - Emplacement sur l'appareil de point de terminaison du fichier exécutable pour le processus

    • Fichiers :

      • Chemin du Fichier - Emplacement du fichier sur l'appareil de point de terminaison

      • Nom du Fichier - Nom du fichier incluant l'extension

      • Taille du Fichier - Taille du fichier en octets, kilooctets ou mégaoctets

    • Registre :

      • Clé de registre Nom

      • Type de Valeur du Registre - Format des données stockées dans la valeur du registre

      • Valeur du Registre - La valeur de l'entrée de registre

    Géolocalisation de l'Attaque

    Montre la géolocalisation des sources dans votre réseau (emplacements en orange) et des sources externes (emplacements en rouge) liées à la menace. Les flèches reliant les sources indiquent la direction du trafic

    Actions de la Cible

    Événements liés à chaque cible, comprenant les informations suivantes :

    Colonne

    Description

    Cible

    Domaines ou adresses IP des sources externes identifiées dans les flux de trafic liés à l'histoire

    Type

    Moteur de sécurité qui a généré les événements liés à la cible

    Action

    Action prise sur le trafic lié à la cible

    Événements Relatifs

    Montre des signatures de menace qui apparaissent dans les événements liés à la cible.

    • Passez la souris sur une signature pour afficher un journal récapitulatif des événements

    • Cliquez sur la signature pour ouvrir la page Événements pré-filtrée pour la signature

    Distribution de l'Attaque

    Distribution temporelle des flux liés à l'attaque.

    • Pour faciliter la lecture du graphique, dans Cibles, cliquez sur une cible pour masquer ces données du graphique

    • Pour afficher les détails de l'attaque, passez la souris sur le graphique

    Cibles

    Montre les données pour les sources potentiellement malveillantes hors de votre site réseau liées à l'histoire.

    Colonne

    Description

    Date de Création

    Date d'enregistrement du domaine cible

    Cible

    Domaines ou adresses IP de sources externes identifiées dans les flux de trafic liés à l'histoire

    Liens Cibles

    Liens pour rechercher la cible dans diverses sources de renseignement sur les menaces externes.

    Pour plus d'informations, cliquez sur l'icône VirusTotal, ou sélectionnez d'autres ressources dans le menu déroulant.

    Score Malveillant

    Le score malveillant de la cible selon les algorithmes de renseignement sur les menaces de Cato. Les scores varient de 0 (bénin) à 1 (malveillant)

    Popularité

    À quelle fréquence la cible apparaît dans les sources de données internes de Cato. Les valeurs sont : Impopulaire, Faible, Moyen, Élevé

    Catégories

    Catégories Cato pour le domaine cible

    Flux de Menaces

    Nombre de sources de renseignement sur les menaces de Cato qui ont détecté la cible comme malveillante

    Moteurs

    Nombre de moteurs de sécurité tiers qui ont détecté la cible comme malveillante

    Pays du Déposant

    Pays dans lequel le domaine cible est enregistré

    Résultats de Recherche Google

    Nombre de résultats de recherche Google pour la cible

    Flux Liés aux Attaques

    Affiche des données pour un échantillon représentatif des événements liés à l'attaque.

    Colonne

    Description

    Cible

    Domaine ou IP cible du flux de communication pertinent

    Heure de Début

    Horodatage pour le début du flux

    Direction

    Direction du flux. Les directions incluent :

    • Entrant - Trafic vers votre réseau provenant d'une source externe

    • Sortant - Trafic de votre réseau vers une source externe

    • WANsortant - Trafic de votre réseau vers un autre site sur votre réseau

    IP Source

    Adresse IP source dans votre réseau envoyant ou recevant le flux

    Port Source

    Port source dans votre réseau envoyant ou recevant le flux

    IP de Destination

    Adresse IP du ciblé externe envoyant ou recevant le flux

    Port de Destination

    Le port de la cible externe envoyant ou recevant le flux

    Méthode

    La méthode HTTP dans le flux (GET, POST, et ainsi de suite)

    URL Complète

    L'URL complète de la ressource externe dans le flux

    Client

    Type d'applications client exécutées sur le système d'exploitation qui a créé ce flux réseau (par exemple, Chrome)

    Application Cato

    L'application Cato utilisée dans le flux

    Pays de Destination

    Emplacement de l'IP de Destination dans le flux

    IP de Réponse DNS

    L'adresse IP renvoyée par une recherche DNS

    Événements de Connexion

    (Ce widget nécessite le connecteur Microsoft Entra ID)

    Graphiques avec des ventilations des données des événements de connexion de l'utilisateur depuis le jour de l'alerte plus les 2 jours précédents. Utilisez le menu déroulant pour choisir le type de données affichées sur les graphiques. Voici les options :

    • IP Source - Adresse IP de la source détectée dans l'événement de connexion

    • Lieu de Connexion - Géolocalisation d'où la connexion a été effectuée

    • Classification du Client - Type de client utilisé pour la connexion (par exemple, nom et version du navigateur)

    • Agent Utilisateur - L'agent utilisateur utilisé dans la connexion tel qu'il apparaît dans le champ User Agent dans l'en-tête HTTP pour le trafic. Voici des exemples de valeurs d'agent utilisateur :

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • Type de OS - Type de système d'exploitation sur l'appareil utilisé pour la connexion (par exemple, Windows, macOS)

    • Version du OS - Numéro de version du système d'exploitation sur l'appareil utilisé pour la connexion

    Événements de Connexion sur l'Utilisateur

    (Ce widget nécessite le connecteur Microsoft Entra ID)

    Affiche les données des événements de connexion de l'utilisateur depuis le jour de l'alerte et les 2 jours précédents.

    Voici les colonnes du tableau :

    • Temps de l'événement de connexion

    • Nom d'Utilisateur pour la connexion

    • IP Source - Adresse IP de la source détectée dans l'événement de connexion

    • Lieu de Connexion - Géolocalisation d'où la connexion a été effectuée

    • Action - Résultat de la tentative de connexion (valeurs : Échec, Réussie, Accès refusé)

    • Motif d'Échec - Explication pour les résultats de connexion Échec ou Accès refusé

    • Application - L'application à laquelle l'utilisateur a tenté de se connecter

    • Classification du Client - Type de client utilisé pour la connexion (par exemple, nom et version du navigateur)

    • Type de OS - Type de système d'exploitation sur l'appareil utilisé pour la connexion (par exemple, Windows, macOS)

    • Version du OS - Numéro de version du système d'exploitation sur l'appareil utilisé pour la connexion

    • Agent utilisateur - L'agent utilisateur utilisé lors de la connexion tel qu'il apparaît dans le champ Agent utilisateur dans l'en-tête HTTP pour le trafic. Voici des exemples de valeurs d'agent utilisateur :

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    Comprendre le Résumé des Histoires Connexes

    XDR_Histoires_Connexes.png

    Le résumé des Histoires Connexes fournit le contexte de l'histoire que vous examinez en vous permettant de revoir rapidement les histoires avec la même source et des histoires aux caractéristiques similaires impliquant différentes sources dans votre réseau. Le résumé montre les détails clés pour chaque histoire connexe, et vous permet d'ouvrir facilement le Stories Workbench pré-filtré pour les histoires connexes, ou la page D'histoire de Détection & Réponse pour une histoire connexe spécifique.

    Voici les tableaux du résumé des Histoires Connexes :

    • Le tableau Principales Histoires Similaires vous permet de voir rapidement si d'autres sources dans votre réseau sont impliquées dans des histoires aux caractéristiques similaires à cette histoire en cours d'examen, telles que la même Indication ou Cible. Ce tableau montre jusqu'aux 5 meilleures histoires similaires selon le score de Similarité des Cibles. Le tableau n'est pas limité à une plage de temps spécifique.

    • Le tableau Histoires sur la Source montre toutes les histoires générées par la source dans cette histoire, dans la fourchette de temps sélectionnée. La plage de temps par défaut est les 2 dernières semaines. Cela vous permet d'évaluer le contexte plus large de l'activité pour cette source. Par exemple, cela peut aider à déterminer si le comportement dans cette histoire est inhabituel ou routinier pour cette source spécifique.

    Les actions suivantes peuvent être effectuées dans les deux tableaux :

    • Cliquez sur Voir dans le Workbench pour ouvrir le Stories Workbench pré-filtré afin d'afficher les histoires dans le tableau

    • Cliquez sur la ligne d'une histoire pour ouvrir la page D'histoire de Détection & Réponse pour cette histoire

    Voici les colonnes des tableaux des Histoires Connexes :

    • Heure de Création - Heure à laquelle l'histoire a été générée

    • Dernière Mise à Jour - Heure de la dernière mise à jour de l'histoire, comme une nouvelle cible ou un verdict modifié

    • Indication - Indicateur d'attaque pour l'histoire. Pour en savoir plus sur les indications, voir Utilisation du catalogue des indications

      • Cliquez Open_in_New_Tab.png pour ouvrir la page Histoire de Détection et Réponse pour cette histoire dans un nouvel onglet

      • Cliquez Tooltip_icon.png pour plus d'informations sur l'indication

    • Source - Adresse IP, nom de l'appareil ou utilisateur SDP sur votre réseau impliqué dans l'histoire

    • Similitude des Cibles (pour les Histoires Similaires Principales uniquement) - Niveau de similitude des cibles en commun avec l'histoire étudiée, tel que calculé par un modèle d'apprentissage automatique (indiqué par un pourcentage)

    • Cibles Communes (pour les Histoires Similaires Principales uniquement) - URLs ou adresses IP des cibles en commun avec l'histoire en cours d'investigation

    • Criticité - Analyse de risque de Cato de l'histoire (les valeurs sont de 1 (risque faible) à 10 (risque élevé))

    • Le Statut de l'histoire - Les valeurs incluent :

      • Ouvert - L'histoire a été générée et n'est pas résolue

      • En attente du client - L'histoire a été envoyée au client et elle est en attente de sa réponse

      • En attente de l'analyste - Attente de plus d'informations de la part des analystes de sécurité

      • Fermé - Les analystes de sécurité ont fermé l'histoire

      • Rouverte - les producteurs XOps ont détecté un nouveau trafic qui correspond à une histoire fermée, et ont automatiquement rouvert l'histoire pour permettre un examen supplémentaire. Les histoires sont rouvertes pour le trafic détecté 12 heures ou plus après que l'histoire a été fermée pour la première fois. Dans les 12 heures, l'histoire n'est pas rouverte pour permettre la gestion de l'histoire par atténuation ou mise en sourdine

    • Verdict de l'Analyste - Le verdict assigné à l'histoire par un analyste

    • Classification de l'Analyste - Une classification détaillée du type de menace telle que définie par un analyste

    Cet article vous a-t-il été utile ?

    Utilisateurs qui ont trouvé cela utile : 1 sur 1

    0 commentaire