Premiers pas avec XOps

Cet article décrit les meilleures pratiques pour enquêter sur les menaces avec la plateforme Cato XOps.

Vue d'ensemble

La plateforme Cato XOps permet aux équipes d'Opérations de Sécurité et d'Opérations Réseau d'utiliser l'IA et l'automatisation pour surveiller le réseau de l'organisation à la fois pour les menaces de sécurité et les problèmes de performance du réseau. XOps transforme des quantités ingérables d'événements bruts de sécurité et de réseau en histoires consommables, interfonctionnelles et exploitables.

Cet article décrit les meilleures pratiques pour tirer le meilleur parti de XOps afin d'améliorer considérablement la surveillance et la remédiation des menaces dans votre organisation. Tout d'abord, nous discutons de la configuration des intégrations pour étendre les capacités de XOps, puis nous décrivons un flux de travail de bout en bout pour enquêter sur une histoire dans l'Atelier des Histoires, incluant les étapes suivantes :

  1. Configurer les Intégrations XOps
  2. Identifier les histoires les plus importantes sur lesquelles se concentrer
  3. Étapes pour commencer une investigation
  4. Définir un verdict et remédier à la menace

Définir les Intégrations pour XOps

Pour maximiser l'utilité de la plateforme XOps, nous recommandons de configurer les intégrations prises en charge qui augmentent le nombre et le type de producteurs d'histoires XOps. Nous recommandons de configurer l'une des intégrations de sécurité des points de terminaison suivantes pour vous aider à obtenir une image plus complète des menaces potentielles et mener des enquêtes dans une plateforme XOps unifiée s'étendant à la fois au réseau et au point de terminaison. Pour une liste complète des producteurs XOps, voir Bienvenue dans le Service Cato XOps.

  • Connecteur Défsueur pour les terminaux pour Microsoft - Les clients qui utilisent Défsueur pour les terminaux peuvent tirer parti de l'API Microsoft pour intégrer les données d'alerte de Defender et générer des histoires XOps pour les appareils terminaux. Pour plus d'informations sur cette intégration, consultez Alerte Défsueur pour les terminaux : Configuration de l'intégration XOps.

  • Alertes SentinelOne - Les clients qui utilisent SentinelOne peuvent intégrer des données de SentinelOne EDR pour générer des histoires pour les appareils terminaux. Le producteur SentinelOne crée une histoire en corrélant les données des incidents SentinelOne EDR en fonction de l'UUID de l'agent (ID de l'appareil) et du hash du fichier de menace dans les 90 jours. Ces histoires incluent toutes les preuves pertinentes pour les incidents détectés par SentinelOne.

    Pour en savoir plus sur l'intégration des Alertes SentinelOne, voir SentinelOne EDR : Configuration de l'Intégration XOps.

  • Alerte CrowdStrike - Les clients qui utilisent CrowdStrike peuvent intégrer les données des détections CrowdStrike en fonction de l'ID de l'incident. Ces histoires incluent toutes les preuves pertinentes pour la détection identifiée par CrowdStrike.

    Pour en savoir plus sur l'intégration des Alertes CrowdStrike, voir CrowdStrike : Configuration de l'Intégration XOps.

  • Protection des Points Terminaux Cato - La solution Cato EPP s'intègre nativement avec Cato XOps pour générer des histoires pour les appareils terminaux, sans besoin de configurer un connecteur. Pour plus d'informations sur cette intégration, consultez Protection des Points Terminaux Cato (EPP) : Configuration de l'intégration XOps.

Identifier les Histoires Les Plus Importantes

Sélectionner les bonnes histoires sur lesquelles travailler dans le Stories Workbench est une première étape cruciale pour une utilisation efficace de la plateforme XOps. Vous pouvez utiliser les outils et informations fournis dans le Workbench pour identifier rapidement les histoires à haute priorité à enquêter. Nous recommandons les étapes suivantes :

  1. Grouper les histoires - Les options Grouper par peuvent vous donner un aperçu rapide des différents types d'histoires dans votre compte, ainsi qu'indiquer des éléments particuliers d'intérêt sur le réseau tels que les sources ou les utilisateurs. Voici des exemples d'options utiles Grouper par :

    • Source et Adresse IP Source - voir rapidement les utilisateurs, appareils, et adresses IP impliqués dans les histoires
    • Producteur - Passez rapidement en revue les différents types d'histoires détectées. Pour plus d'informations sur les différents types de producteurs, voir Bienvenue dans le Service Cato XOps.
    • Indications - Obtenez une vue d'ensemble des indicateurs spécifiques d'attaque détectés

    Nous recommandons de parcourir les différentes options Grouper par pour comprendre rapidement les histoires sur votre réseau sous différents angles, ce qui peut vous aider à identifier des domaines d'intérêt particuliers sur lesquels concentrer l'enquête.

    Stories_Workbench_Grouping2.png
  2. Priorisez par Criticité - Commencez par vous concentrer sur les histoires ayant le score de Criticité le plus élevé. Ce sont les menaces potentielles qui pourraient avoir l'impact le plus significatif sur votre réseau. Vous pouvez cliquer dans l'en-tête de colonne Criticité pour trier les histoires par Criticité, ou filtrer les histoires pour des niveaux de Criticité spécifiques. En outre, lorsque vous utilisez les options Grouper par, chaque groupe indique le nombre d'histoires de haute Criticité pour le groupe.

Commencer une Investigation

Une fois que vous avez sélectionné une histoire à enquêter, vous pouvez cliquer sur l'histoire pour aller dans les détails sur la page de Détection & Réponse Aperçu de l'historique. Nous recommandons de suivre les étapes suivantes pour obtenir une compréhension initiale de ce qui se passe dans l'histoire :

  1. Générer un Résumé IA - Le widget Détails comprend un outil qui vous permet de créer une description d'histoire en langage naturel générée par l'IA, ce qui fournit un contexte riche et vous aide à évaluer rapidement l'histoire. Générez le résumé en cliquant sur le bouton Générer un Résumé IA.

    XDR_Core_Story_Summary.png

  2. Vérifier si le Trafic a été Bloqué - Le tableau Actions Cibles montre les événements liés à chaque cible impliquée dans l'histoire, y compris si l'action Bloquer a été appliquée au trafic par l'un des services de sécurité tels qu'IPS. Si un part du trafic vers les cibles n'a pas été bloqué, alors l'histoire présente un niveau de risque plus élevé. Même si tout le trafic vers les cibles a été bloqué, il est possible que ce trafic soit lié à une menace en cours qui nécessite une enquête plus approfondie.

    XDR_Core_Target_Actions.png

  3. Évaluer les Cibles - Le tableau Cibles affiche les données pour les sources potentiellement malveillantes en dehors de votre site réseau lié à l'histoire. Nous recommandons de se concentrer sur les colonnes suivantes lorsque vous commencez votre enquête :

    • Le Score Malveillant vous indique la probabilité que la cible soit malveillante, selon les algorithmes d'apprentissage machine de Cato Threat Intelligence. Les scores vont de 0 (bénin) à 1 (malveillant)
    • Les Liens Cibles vous aident à comprendre la réputation de la cible en recherchant la cible dans diverses sources externes de renseignement sur les menaces
    XDR_Core_Targets_table.png
  4. Travailler avec XOps Playbooks - Les Playbooks de Sécurité Cato XOps offrent une approche structurée pour enquêter sur des types d'histoires spécifiques. Ils vous guident à travers le processus d'investigation et vous aident à identifier les éléments d'action. Pour les histoires avec un playbook pertinent, vous pouvez trouver le lien vers le playbook dans le widget Détails. Les Playbooks de Sécurité XOps sont également disponibles ici.
  5. Utiliser les Commentaires - Si l'enquête d'histoire inclut une collaboration entre les membres de l'équipe, utilisez les Commentaires pour documenter ce qui a été fait et fournir des informations importantes et du contexte pour le prochain analyste qui examine l'histoire. Pour plus d'informations sur l'utilisation des commentaires, voir Gestion des enquêtes d'histoires XOps.

Définir le Verdict et Prendre des Mesures Correctives

Le panneau Actions de l'Histoire vous permet d'effectuer des actions cruciales et d'enregistrer des informations importantes à mesure que vous concluez votre enquête. Certains analystes font l'erreur de clôturer une histoire sans définir un verdict et perdent une grande partie du bénéfice du processus d'enquête. Lorsque vous définissez un verdict, vous enregistrez des informations significatives sur l'histoire pour référence future, et vous pouvez apprendre les actions recommandées pour la remédiation. Voici un exemple de flux de travail pour définir un verdict et effectuer des étapes de remédiation de base après avoir identifié qu'un appareil a été compromis par une tentative d'exploitation d'une vulnérabilité connue :

  1. Cliquez sur Actions > Gérer l'Histoire pour ouvrir le panneau Actions de l'Histoire.

    XDR_Comment_buttons.png
  2. Définir le Verdict de l'Analyste sur Malveillant.
  3. Définissez la Gravité de la menace.

  4. Définissez le Type comme Tentative d'Exploitation, et si possible, définissez une Classification plus spécifique pour la menace. Utilisez le champ Infos supplémentaires pour enregistrer les détails sur le processus d'enquête ou les résultats.

    XDR_Core_Example_Verdict.png

  5. Suivez les Actions Recommandées, y compris :

    1. Créez des règles de pare-feu pour bloquer les cibles et sources malveillantes que vous avez identifiées dans l'histoire.
    2. Mettez à jour le logiciel de l'appareil pour remédier à la vulnérabilité et éviter les attaques d'exploitation futures.
  6. Si vous identifiez un utilisateur compromis, vous pouvez révoquer la session distante de l'utilisateur pour empêcher l'accès au réseau. Pour plus d'informations sur la révocation d'une session distante, voir Révoquer une session utilisateur distante.
  7. Définissez le Statut de l'Histoire sur Fermé.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire