Revue des histoires de détection et de réponse pour les clients MDR

Aperçu des histoires de Détection & Réponse

Cato Detection & Response est une nouvelle couche de sécurité qui crée des histoires pour les menaces. Lorsque les moteurs de corrélation avancée de Cato analysent les données de trafic et trouvent une correspondance pour une menace potentielle, ils génèrent une histoire. L'histoire contient des données de flux de trafic avec des propriétés communes liées à la même menace. L'Atelier des Histoires montre les détails de chaque histoire pour vous aider à comprendre et analyser les menaces. Vous pouvez trier et filtrer les histoires pour trouver les attaques potentielles les plus importantes, puis approfondir une histoire pour analyser davantage les détails.

Ce sont des exemples de données qu'une histoire peut inclure :

Sources dans votre réseau
Cibles externes du trafic réseau
Identification et description de la menace
Géolocalisations pertinentes
Applications associées
Flux de trafic pertinents
Popularité de la cible selon les données internes de Cato
Score malveillant de la cible selon les algorithmes d'intelligence des menaces de Cato

Prérequis

Cette version de la fonctionnalité Détection & Réponse est disponible uniquement pour les clients de Cato MDR. Pour plus d'informations concernant l'abonnement au service MDR, veuillez contacter votre représentant Cato.

Affichage de l'Atelier des Histoires

L'Atelier des Histoires montre un résumé des histoires pour les menaces potentielles dans votre compte.

Pour afficher l'Atelier des Histoires :

Dans le menu de navigation, cliquez sur Accueil > Atelier des Histoires.

Comprendre les colonnes des histoires

Colonne	Description
ID	ID Cato unique pour cette histoire
Créé	Date du premier flux de trafic pour l'histoire
Mis à jour	Date du flux de trafic le plus récent pour l'histoire
Score de risque	Analyse de risque de Cato sur l'histoire (les valeurs vont de 1 à 10)
IOA	Indicateur d'attaque pour l'histoire
Source	Adresse IP ou nom de l'appareil sur votre réseau impacté par l'histoire
Type	Chasse aux menaces - Une histoire où les algorithmes de Cato et l'apprentissage automatique ont détecté un incident de sécurité potentiel Anomalie d'utilisation - Une histoire où une application a montré un comportement inhabituel indiquant un incident de sécurité potentiel Anomalie d'évènements - Une histoire où un nombre inhabituel d'évènements de sécurité a été déclenché par une entité sur votre réseau
Statut	En attente du client - L'histoire a été envoyée au client et attend une réponse de sa part En attente de l'analyste - En attente de plus d'informations de la part des analystes de sécurité de Cato Fermé - Les analystes de sécurité de Cato ont clôturé l'incident

Regrouper les histoires

Pour fournir un contexte lors de l'examen des histoires, vous pouvez afficher les histoires en groupes définis par des détails incluant Source, Indication, Statut, et Type. Par exemple, vous pouvez afficher ensemble toutes les histoires liées à une adresse IP source spécifique ou toutes les histoires de cybersquattage. Cela vous donne une perspective plus large lors de l'analyse des histoires et peut vous aider à tirer des conclusions plus rapides et plus précises.

Chaque groupe met en évidence les niveaux de criticité pour les histoires de ce groupe, y compris le nombre d'histoires de criticité élevée, moyenne et faible.

Pour grouper les histoires dans l'Atelier des Histoires :

Dans le menu de navigation, cliquez sur Accueil > Atelier des Histoires.
Dans le menu déroulant Group By, sélectionnez le critère requis.

Les histoires sont affichées dans des groupes extensibles.

Filtrage des histoires

Il existe deux manières de filtrer les données dans l'Atelier des Histoires : mettre à jour automatiquement le filtre avec l'élément sélectionné, ou configurer le filtre manuellement.

Filtrage automatique pour un élément

Lorsque vous survolez un élément ou un champ où une option de filtre est disponible, le bouton apparaît. Cliquez sur l'icône pour afficher les options de filtre :

Ajouter au Filtre - Ajoute l'élément au filtre, et l'Atelier des Histoires n'affiche maintenant que les histoires incluant cet élément. Par exemple, si vous filtrez pour un score de risque spécifique, l'écran ne montre que les histoires avec ce score de risque.
Exclure du Filtre - Met à jour le filtre pour exclure cet élément, et l'Atelier des Histoires n'affiche maintenant que les histoires n'incluant PAS cet élément.

Vous pouvez continuer à ajouter des éléments au filtre, cliquez à nouveau pour mettre à jour le filtre et approfondir plus.

Sélection du plage de temps

L'intervalle de temps par défaut pour l'Atelier des Histoires est les deux jours précédents. Vous pouvez sélectionner un autre intervalle de temps pour afficher les histoires sur une période de temps plus longue ou plus courte. Pour plus d'informations, consultez Setting the Time Range Filter.

L'intervalle de dates maximum pour l'Atelier des Histoires est de 90 jours.

Configuration manuelle du filtre

Vous pouvez configurer manuellement le filtre d'histoire pour une plus grande granularité lors de l'analyse des histoires. Après avoir configuré le filtre, il est ajouté à la barre de filtre des histoires et l'écran est automatiquement mis à jour pour montrer les histoires qui correspondent au nouveau filtre.

Pour créer un filtre :

Dans la barre de filtre, cliquez sur .
Commencez à taper ou sélectionnez le Champ.
Sélectionnez l'Opérateur, qui détermine la relation entre le Champ et la Valeur que vous recherchez.
Sélectionnez la Valeur.
Cliquez sur Ajouter Filtre. Le filtre est ajouté à la barre de filtre et l'Atelier des Histoires est mis à jour pour montrer les histoires basées sur les filtres.

Effacement du filtre

Vous pouvez supprimer chaque élément dans le filtre séparément ou effacer tout le filtre.

Pour effacer les filtres de l'Atelier des Histoires :

Pour effacer un seul filtre, cliquez sur à côté du filtre (élément 1 ci-dessus).
Pour effacer tous les filtres, cliquez sur X à l'extrémité droite de la barre de filtre (élément 2 ci-dessus).

Approfondir et analyser les histoires

Vous pouvez cliquer sur une histoire dans le Stories Workbench pour approfondir et examiner les détails sur un écran différent. Cet écran contient plusieurs widgets qui vous aident à évaluer la menace potentielle. Il y a des widgets spécialisés pour analyser les données pour les histoires de Threat Hunting ou d'Usage Anomaly.

Comprendre les widgets de Threat Hunting

Voici les widgets pour une histoire de Threat Hunting :

Élément

Nom

Description

Résumé de l'histoire

Un résumé des informations de base sur l'histoire, y compris :

Catégorie de menace
Gravité de la menace telle que déterminée par les analystes
Nombre de signaux (flux de trafic) associés à l'attaque
Nombre de dispositifs compromis
Statut de l'histoire

Chronologie de l'histoire

Shows a timeline of the story, such as changes made to the story verdict and severity, and when new targets related to the story are identified

Détails

Informations clés pour analyser l'histoire, y compris une description de la menace, des signatures de menace Cato détectées dans le trafic pertinent, et des techniques MITRE ATT&CK® identifiées pour la menace.

Pour plus d'informations sur le cadre MITRE ATT&CK®, consultez Travailler avec le tableau de bord MITRE ATT&CK®.

Passez la souris sur une signature pour afficher un journal d'événements résumé
Cliquez sur la signature pour ouvrir l'écran des événements pré-filtré pour la signature
Cliquez sur une technique MITRE ATT&CK® pour lire sa description sur le site web de MITRE ATT&CK®

Source

Informations de base sur les dispositifs de votre réseau impactés par la menace

Géolocalisation de l'attaque

Montre la géolocalisation pour les sources de votre réseau (emplacements oranges) et les sources externes (emplacements rouges) en relation avec la menace. Les flèches reliant les sources indiquent la direction du trafic

Distribution de l'attaque

Distribution temporelle des flux liés à l'attaque.

Pour faciliter la lecture du graphique, dans Targets, cliquez sur une cible pour masquer ces données du graphique
Pour afficher les détails de l'attaque, passez la souris sur le graphique

Cibles

Montre des données pour les sources potentiellement malveillantes en dehors de votre site réseau relatives à l'histoire.

Colonne	Description
Date de création	Date d'enregistrement du domaine cible
Cible	Domaines ou adresses IP de sources externes identifiées dans les flux de trafic liés à l'histoire
Liens de la cible	Liens pour rechercher la cible dans diverses sources de renseignement sur les menaces. Pour des informations supplémentaires, cliquez sur l'icône VirusTotal, ou sélectionnez d'autres ressources dans le menu déroulant.
Score Malveillant	Le score malveillant de la cible selon les algorithmes d'intelligence des menaces de Cato. Les scores vont de 0 (bénin) à 1 (malveillant)
Popularité	Fréquence à laquelle la cible apparaît dans les sources de données internes de Cato. Les valeurs sont : Impopulaire, Bas, Moyen, Élevé
Catégories	Catégories Cato pour le domaine cible
Flux de menaces	Nombre de sources de renseignement sur les menaces de Cato qui ont détecté la cible comme malveillante
Moteurs	Nombre de moteurs de sécurité tiers qui ont détecté la cible comme malveillante
Pays	Pays où le domaine cible est enregistré
Résultats de recherche Google	Nombre de résultats de recherche Google pour la cible

Flux liés à l'attaque

Montre des données pour un échantillon représentatif de flux de trafic liés à l'attaque.

Colonne	Description
Cible	Domaine cible ou IP du flux
Heure de début	Horodatage pour le début du flux
Direction	Direction du flux. Les directions incluent : Entrant - Trafic vers votre réseau en provenance d'une source externe Sortant - Trafic de votre réseau vers une source externe WANbound - Trafic de votre réseau vers un autre site sur votre réseau
IP source	Adresse IP source dans votre réseau envoyant ou recevant le flux
Port source	Port source dans votre réseau envoyant ou recevant le flux
IP de Destination	Adresse IP de la cible externe envoyant ou recevant le flux
Port de Destination	Le port de la cible externe envoyant ou recevant le flux
Méthode	La méthode HTTP dans le flux (GET, POST, etc.)
URL de Chemin Complet	L'URL complète de la ressource externe dans le flux
Code de Réponse HTTP	Le code d'état émis par la cible en réponse à la requête côté navigateur du client
Client	Le type de client dans le flux
Cato App	Application de Cato utilisée dans le flux
Référent	L'adresse du site web d'origine, qui contient le lien vers la ressource demandée
Agent Utilisateur	L'agent (par exemple, version du navigateur) identifié dans le champ User Agent dans l'en-tête de requête HTTP dans le flux
Pays de Destination	Emplacement de l'IP de Destination dans le flux

Comprendre les Widgets d'Anomalies d'Usage

Ce sont les widgets pour une histoire d'Anomalie d'Usage :

Élément	Nom	Description
1	Résumé de l'Histoire	Fournit un résumé des informations de base sur l'histoire, y compris : Nom de l'Anomalie Gravité La période d'entraînement pour le modèle d'apprentissage automatique pour déterminer le comportement anormal Statut de l'Histoire
2	Détails	Informations clés pour analyser l'histoire, y compris une description et un résumé de la menace, et les techniques MITRE ATT&CK® identifiées pour la menace. Pour plus d'informations sur le cadre MITRE ATT&CK®, voir Travailler avec le Tableau de Bord MITRE ATT&CK®. Cliquez sur une technique MITRE ATT&CK® pour lire sa description sur le site web de MITRE ATT&CK®
3	Distribution d'Anomalies	Graphique du comportement anormal des 14 derniers jours Pour afficher les détails de l'anomalie, survolez le graphique avec la souris Cliquez sur Voir Tout pour ouvrir l'écran Application Analytics pré-filtré pour les applications liées à l'anomalie
4	Principaux Hôtes	Principaux hôtes liés à l'anomalie, avec des détails pertinents. Par exemple, un hôte pour une anomalie de bande passante montante apparaît avec le nombre de téléchargements depuis l'hôte Cliquez sur Voir Tout pour ouvrir l'écran Application Analytics et afficher les hôtes pré-filtrés pour les applications liées à l'anomalie
5	Principales Applications	Principales applications liées à l'anomalie, avec des détails pertinents. Par exemple, une application pour une anomalie de bande passante montante apparaît avec le nombre de téléchargements depuis l'application Cliquez sur Voir Tout pour ouvrir l'écran Application Analytics pré-filtré pour les applications liées à l'anomalie
6	Principaux Serveurs/Destinations	Principaux serveurs et destinations liés à l'anomalie, avec des détails pertinents. Par exemple, un serveur pour une anomalie de bande passante montante apparaît avec le nombre de téléchargements vers le serveur Cliquez sur Voir Tout pour ouvrir l'écran Application Analytics et afficher les destinations pré-filtrées pour les applications liées à l'anomalie

Révision des Histoires Ticketées

L'équipe MDR de Cato ouvre des tickets pour vous informer des histoires significatives. Lorsque vous recevez un ticket, vous pouvez facilement revoir l'histoire dans le Stories Workbench en cliquant sur le lien fourni dans le ticket. Ceci est un ticket d'échantillon :