Cet article évoque comment atténuer une menace dans une histoire XOps.
Les histoires XOps impliquent souvent une activité suspecte provenant d'un utilisateur spécifique ou d'une cible (telle qu'une adresse IP ou un FQDN). Par exemple, une histoire pourrait indiquer qu'une session distante d'un utilisateur a été compromise ou qu'un appareil communique avec un domaine suspect de phishing. La page Vue d'ensemble de l'histoire dans l'espace de travail des histoires vous permet d'atténuer efficacement les deux types de menaces en :
-
Révoquer la session utilisateur : Vous pouvez révoquer la session de l'utilisateur directement depuis l'histoire. Cela déconnecte l'utilisateur et le pousse à se réauthentifier via l'écran de connexion du Client, s'assurant que seuls les utilisateurs légitimes retrouvent l'accès. Si l'utilisateur n'est pas connecté au moment de l'atténuation, son jeton d'authentification est révoqué et il devra se réauthentifier lors de la reconnexion.
-
Ajouter la cible à la liste de blocage : Vous pouvez ajouter des cibles suspectes à un conteneur que vous pouvez inclure dans vos politiques de liste de blocage. Cela garantit qu'aucun utilisateur connecté à Cato ne peut accéder à la cible.
Conteneurs sont des catégories définies par l'utilisateur qui vous aident à gérer les groupes d'éléments tels que les adresses IP ou les noms de domaine complet. Une fois que vous avez créé un conteneur, il peut être ajouté à une règle de pare-feu avec l'action Bloquer. Les cibles suspectes ne sont bloquées qu'une fois que le conteneur est inclus dans une règle de pare-feu. Lorsque vous atténuez une menace à partir d'une histoire XOps, vous pouvez ajouter une cible à un conteneur existant ou en créer un nouveau. Les utilisateurs peuvent toujours accéder aux cibles ajoutées à un conteneur mais non inclus dans une règle de pare-feu.
Les analystes de Exemple Corp. ont enquêté sur une histoire XOps dans la page Vue d'ensemble et ont identifié un utilisateur téléversant une grande quantité de données vers une application de partage de fichiers. Ils ne sont pas sûrs si l'activité de téléversement est légitime ou non. Les analystes remarquent en outre que l'agent utilisateur utilisé pour cette activité de téléversement est anormal pour cet utilisateur, indiquant un possible vol d'identifiants par un adversaire. Ils décident donc de révoquer la session utilisateur pour forcer une réauthentification sur l'appareil. Les analystes peuvent alors poursuivre leur enquête en sachant qu'un utilisateur authentifié légitime est connecté au réseau.
Un analyste en sécurité enquête sur une histoire XOps dans la page Vue d'ensemble et identifie une adresse IP associée à des logiciels malveillants. Après une enquête supplémentaire, l'analyste confirme qu'il s'agit d'une attaque provenant d'un acteur malveillant connu.
L'analyste ajoute la cible au conteneur d'adresses IP suspectes de l'entreprise, qui est inclus dans une règle de pare-feu Internet avec une action de Blocage.
La menace est contenue car aucun autre utilisateur ne peut accéder à l'adresse IP.
Dans la page Vue d'ensemble de l'histoire, atténuez les menaces depuis le menu Actions.
Pour atténuer les menaces :
-
Dans la Vue d'ensemble de l'histoire, cliquez sur le bouton Actions.
-
Sélectionnez l'action d'atténuation que vous souhaitez entreprendre :
-
Pour révoquer un utilisateur, cliquez sur Révoquer la session de l'utilisateur. Le panneau Révoquer la session de l'utilisateur s'ouvre. Sélectionnez l'utilisateur dont vous souhaitez révoquer la session active. Le panneau montre automatiquement l'utilisateur identifié dans l'histoire.
-
Pour ajouter une cible à la liste de blocage, cliquez sur Ajouter Cible à Liste de blocage. Sélectionnez une cible à atténuer et sélectionnez soit un conteneur existant dans lequel vous souhaitez l'ajouter, soit cliquez sur Créer Nouveau pour créer un nouveau conteneur. Assurez-vous que le conteneur est inclus dans une règle de pare-feu.
-
-
(Optionnel) Ajouter une note.
-
Confirmez votre action.
L'onglet Centre d'actions dans la page Accueil > Politique de détection et de réponse vous permet de revoir les actions d'atténuation XOps prises dans votre compte.
Le centre d'actions montre les informations suivantes pour chaque action d'atténuation :
-
Temps - Horodatage pour le moment où l'action d'atténuation a été envoyée
-
Action - Description de l'action d'atténuation
-
Sujet - L'utilisateur sur lequel l'action a été effectuée
-
Statut - Statut de l'action. Pour l'action Ajouter la cible à la liste de blocage, voici les valeurs de Statut :
-
Succès - La demande de révoquer la session a été envoyée au service utilisateur Cato
-
Échec - Il y a eu un problème avec la demande de révoquer la session
-
-
Auteur - Admin qui a effectué l'action
-
Déclencheur - L'ID d'histoire de l'histoire depuis laquelle l'action a été envoyée. Cliquez pour ouvrir la page Vue d'ensemble de l'histoire
-
Note - Note optionnelle saisie par l'admin
-
L'action Révoquer la session utilisateur est disponible uniquement pour les utilisateurs distants se connectant au réseau avec le Client Cato. N'est pas pris en charge pour les utilisateurs derrière un site
-
L'action Révoquer la session de l'utilisateur est prise en charge pour les histoires qui ont identifié un utilisateur et qui sont générées par l'un des producteurs suivants :
-
Prévention des menaces
-
Chasse aux menaces
-
Anomalie d'événements
-
Anomalie d'usage
-
Alertes de points d'extrémité Cato
-
-
Il peut falloir jusqu'à 10 minutes pour que la session utilisateur soit révoquée
-
Il peut y avoir un court délai entre l'ajout d'un conteneur à une règle de pare-feu de blocage et le blocage de la cible
0 commentaire
Cet article n'accepte pas de commentaires.