Analyse des événements de sécurité selon la réputation de la menace

Vue d'ensemble

L'équipe de recherche en sécurité chez Cato Networks a développé des moteurs d'analyse pour étiqueter les adresses IP malveillantes, les URL et les noms de domaine ayant une mauvaise réputation. Cette réputation indique que nous avons découvert que l'adresse IP, l'URL ou le domaine spécifique a initié une activité suspecte ou malveillante. Par exemple, C&C de logiciels malveillants, scanners de réseau, activité de phishing, etc.

Le moteur IPS dans le Cato Cloud bloque le trafic réseau étiqueté avec une mauvaise réputation et génère un événement de sécurité basé sur la réputation avec le type de menace Reputation.

La capture d'écran suivante montre un exemple d'un événement de sécurité avec le type de menace Reputation depuis la découverte d'événements :

ThreatEvent.png

Raisons pour le Trafic Bloqué

Lorsque le moteur IPS de Cato identifie un trafic potentiellement malveillant et le bloque basé sur la réputation de la menace, le champ nom de la menace explique la raison pour laquelle le trafic a été bloqué.

Les valeurs pour le champ nom de la menace incluent, mais ne sont pas limitées à :

  • Signature basée sur la réputation de domaine - Phishing

  • Signature basée sur la réputation IP - Botnet

  • Signature basée sur la réputation IP - IP malveillante

  • Signature basée sur la réputation de domaine - Domaine malveillant

  • Signature basée sur la réputation IP - Abus

  • Signature basée sur la réputation URL - URL malveillante

Quels sont les différents Types de menace?

Chaque événement de sécurité généré au sein de l'application de gestion Cato est catégorisé par un champ appelé type de menace. Ce champ affiche une vue d'ensemble de haut niveau du type de menace contre lequel Cato vous a protégé, et vous donne une indication de toute activité potentiellement malveillante.

Les types de menaces qui peuvent être affichés dans un événement de sécurité incluent :

  • Spam

  • Force brute

  • Scanner

  • Phishing

  • Violation de politique

  • Crypto Mining

  • Anonymizer

  • DoS

  • Scan de réseau

  • Scan de vulnérabilité

  • Divulgation d'informations

  • Escalade de privilèges

  • Réputation

  • Exécution de code à distance

  • PuP

  • Attaque d'application web

  • Logiciel malveillant

  • Extension de navigateur malveillante

Exemple de Flux de Travail d'Événement de Sécurité de Réputation de Menace

  1. L'équipe de recherche en sécurité identifie qu'un domaine est potentiellement une source d'attaques malveillantes.

  2. Le domaine est étiqueté avec une mauvaise réputation et le moteur IPS est mis à jour.

  3. Un utilisateur final tente d'accéder au domaine, et IPS bloque la connexion et génère un événement de sécurité avec le type de menace Reputation.

Quelle est la Taille de la Base de Données des Menaces de Cato ?

La base de données de menaces chez Cato Networks évolue constamment en fonction de l'évolution du paysage des menaces. Nous améliorons continuellement la taille et la portée de nos détections de menaces pour assurer une protection maximale à nos clients finaux. En 2024, Cato ingère environ 250 sources différentes de renseignements sur les menaces contenant quelque 20 millions d'IOCs. Pour plus d'informations, voir Managed Threat Intelligence in the Cato Cloud.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 4 sur 6

0 commentaire