उपयोग और घटनाओं की विसंगतियों के लिए XOps UEBA कहानियों का विश्लेषण करना

यह लेख बताता है कि XOps कहानियों के वर्कबेंच और कहानी गहन-पृष्ठ का उपयोग करके उपयोग व्यवहार और घटनाओं की विसंगतियों द्वारा पहचानी गई XOps कहानियों का कैसे विश्लेषण करें।

स्टोरीज़ वर्कबेंच का उपयोग करने के बारे में अधिक जानकारी के लिए, स्टोरीज़ वर्कबेंच में डेटेक्शन & रिस्पांस XOps स्टोरीज़ की समीक्षा करें।

अवलोकन

Cato की XOps सेवा उपयोगकर्ता और इकाई प्रकार व्यवहार एनालिटिक्स (UEBA) के आधार पर असामान्य गतिविधियाँ पता लगाती है, जो सुरक्षा खतरे का संकेत हो सकती हैं। उपयोग विसंगति और घटनाओं की विसंगति इंजनों ने असामान्य व्यवहार की पहचान के लिए नेटवर्क ट्रैफ़िक की निगरानी और विश्लेषण किया है, जो समझौता किए गए खाते, आंतरिक ख़तरा और उन्नत हमलों के संकेत हो सकते हैं। ये इंजन उपयोगकर्ताओं और आपके खाता में एंटिटी के लिए बेसलाइन व्यवहार मॉडल बनाने के लिए नेटवर्क ट्रैफिक पर प्रशिक्षण के साथ मशीन लर्निंग और सांख्यिकीय मॉडलिंग तकनीकों को शामिल करते हैं। इन मॉडलों के आधार पर, इंजन विभिन्न प्रकार की विसंगतियों की पहचान कर सकते हैं।

XOps UEBA विसंगति इंजनों और वे जिन प्रकार की विसंगतियों की पहचान करते हैं, उनके संक्षिप्त विवरण इस प्रकार हैं:

उपयोग विसंगति - अनुप्रयोगों में असामान्य उपयोग से संबंधित विसंगतियों की पहचान करता है। उदाहरण के लिए, एक उपयोगकर्ता एक एप्लिकेशन में सामान्य से अधिक डेटा अपलोड करता है।
घटनाओं की विसंगति - नेटवर्क पर एक एंटिटी से जुड़े असामान्य संख्या में सुरक्षा घटनाओं का पता लगाता है। उदाहरण के लिए, नेटवर्क पर एक साइट सामान्य से significantly अधिक इंटरनेट फ़ायरवॉल ब्लॉक घटनाओं को ट्रिगर करती है

जब XOps UEBA विसंगति इंजन एक कहानी उत्पन्न करते हैं, तो आप स्टोरीज़ वर्कबेंच में इसे समीक्षा कर सकते हैं और कहानी डेटा का आगे विश्लेषण कर सकते हैं।

पूर्वापेक्षाएँ

उपयोग विसंगति और घटनाओं की विसंगति कहानियाँ केवल XOps और MDR ग्राहकों के लिए उपलब्ध हैं। XOps या MDR सेवा की सदस्यता खरीदने के बारे में अधिक जानकारी के लिए, कृपया अपने Cato प्रतिनिधि से संपर्क करें।

UEBA विसंगति कहानियों की गहन-विश्लेषण

आप स्टोरीज़ वर्कबेंच में किसी उपयोग विसंगति या घटनाओं की विसंगति कहानी पर क्लिक करके उसके विवरण का और अधिक जांच कर सकते हैं। यह पृष्ठ कई विजेट्स को शामिल करता है जो आपको संभावित खतरे का मूल्यांकन करने में मदद करते हैं।

सुरक्षा कहानी दिखा रहा है

यूईबीए कहानी के विवरण दिखाने के लिए स्टोरीज़ वर्कबेंच पृष्ठ पर एक सुरक्षा कहानी पर क्लिक करें।

स्टोरीज़ वर्कबेंच पृष्ठ देखने के लिए:

नेविगेशन मेनू से, मुख पृष्ठ > स्टोरीज़ वर्कबेंच पर क्लिक करें।

एआई कहानी सारांश उत्पन्न करना

स्टोरीज़ वर्कबेंच गहन-पृष्ठ में एआई द्वारा उत्पन्न प्राकृतिक भाषा कहानी विवरण बनाने का एक उपकरण शामिल है, जो समृद्ध संदर्भ प्रदान करता है और आपको कहानी का तेजी से आकलन करने में मदद करता है। कहानी का सारांश कहानी की वर्तमान स्थिति को दर्शाने के लिए गतिशील रूप से उत्पन्न किया जाता है। यदि कहानी में नई जानकारी के साथ अपडेट होता है, तो आप परिवर्तनों को दर्शाने के लिए सारांश को पुनः उत्पन्न कर सकते हैं।

एआई कहानी सारांश केवल व्यवस्थापक द्वारा ऑन-डिमांड पर उत्पन्न किया जाता है

संवेदनशील डेटा की टोकनाइज़ेशन से सुरक्षा करना

कहानी डेटा को तृतीय-पक्ष AI सेवाओं के लिए संचरण के दौरान मजबूत डेटा सुरक्षा के लिए, Cato टोकनाइज़ेशन का उपयोग करता है ताकि सभी संवेदनशील डेटा Cato XOps प्लेटफॉर्म में सुरक्षित रहे। इसमें संवेदनशील जानकारी को अद्वितीय पहचानकर्ताओं, या "टोकन" के साथ बदलना शामिल है, जिससे डेटा अनधिकृत संस्थाओं के लिए अर्थहीन हो जाए। संवेदनशील डेटा को कभी भी तृतीय-पक्ष सेवाओं के लिए उजागर नहीं किया जाता है। यह दृष्टिकोण कहानी के विवरणों की गोपनीयता सुनिश्चित करता है, और हमारे अत्यधिक डेटा गोपनीयता और सुरक्षा मानकों के प्रतिबद्धता के साथ मेल खाता है।

नोट

नोट: सृजनात्मक एआई की सीमाओं के कारण, कहानी सारांश में दी गई जानकारी में कभी-कभी अशुद्धियाँ हो सकती हैं।

UEBA विसंगति विजेट्स को समझना

ये उपयोग विसंगति या घटनाओं की विसंगति कहानी के विजेट्स हैं:

आइटम	नाम	विवरण
1	कहानी सारांश	कहानी के बुनियादी जानकारी का एक सारांश, जिसमें शामिल हैं: विसंगति का नाम खतरा पाया गया का संकेत डेटेक्शन और प्रतिक्रिया उत्पादक (इंजन) जिसने कहानी उत्पन्न की विश्लेषक गंभीरता - खतरे की गंभीरता विश्लेषक निर्णय खतरे के लिए खतरे का प्रकार एक विश्लेषक द्वारा निर्धारित खतरे का विस्तृत वर्गीकरण कहानी की स्थिति
2	कहानी समयरेखा	कहानी की समयरेखा दिखाता है, जैसे कहानी के निर्णय और गंभीरता में किए गए परिवर्तन, और जब स्थिति अपडेट होती है
3	विवरण	कहानी के बारे में मूल विवरण, सहित एक खतरे का विवरण और सारांश कहानी का समृद्ध संदर्भ प्रदान करने वाले प्राकृतिक भाषा कहानी विवरण के लिए AI सारांश उत्पन्न करें पर क्लिक करें, जिससे आप कहानी का जल्दी आकलन कर सकें प्रथम सिग्नल - एनॉमली से जुड़े पहले सिग्नल (ट्रैफ़िक फ्लो) का समय निर्माण तिथि - कहानी उत्पन्न होने का समय अंतिम अपडेट - नवीनतम कहानी अपडेट का समय, जैसे कि नया लक्ष्य या बदला हुआ निर्णय महत्व - कहानी के लिए Cato के मशीन लर्निंग जोखिम विश्लेषण एल्गोरिदम द्वारा गणना किया गया कुल जोखिम स्कोर (मान 1 (कम से कम महत्वपूर्ण) से 10 (अत्यधिक महत्वपूर्ण) तक होते हैं) प्रशिक्षण अवधि - अनिश्चित व्यवहार निर्धारित करने के लिए मशीन लर्निंग मॉडल के लिए प्रशिक्षण की अवधि संकेत आईडी - XOps इंजनों द्वारा उपयोग की गई संकेतक का पहचानकर्ता। आप संकेत सूची में संकेत को देखने के लिए आईडी का उपयोग कर सकते हैं MITRE टैग - खतरे के लिए पहचानी गई MITRE ATT&CK® तकनीकें। MITRE ATT&CK® फ्रेमवर्क के बारे में अधिक जानें, MITRE ATT&CK® डैशबोर्ड का उपयोग करें. MITRE ATT&CK® तकनीक की विवरणिका पढ़ने के लिए MITRE ATT&CK® वेबसाइट पर तकनीक पर क्लिक करें मशीन लर्निंग की भविष्यवाणियों के आधार पर संभावित निर्णय और संभावित मैलवेयर प्रकार के लिए भविष्यवाणी की गई निर्णय और भविष्यवाणी की गई प्रकार। मशीन लर्निंग एल्गोरिदम समान कहानियों के अंतिम निर्णयों का विश्लेषण करते हैं समान कहानियाँ - समान लक्ष्यों के साथ कहानियों को दिखाता है। प्रत्येक कहानी के लिए दिखाए गए विवरण में शामिल हैं: कहानी खतरे का प्रकार, कहानी का निर्णय (अगर उपलब्ध है), और मशीन लर्निंग मॉडल द्वारा गणना की गई समानता का स्तर (प्रतिशत द्वारा इंगित)। खतरे का अधिक विस्तृत वर्गीकरण दिखाने के लिए कहानी पर माउस ले जाएँ
4	एनॉमली वितरण	पिछले 14 दिनों के लिए एनॉमली व्यवहार का ग्राफ। उपयोग एनॉमली कहानियों के लिए, ग्राफ़ प्रासंगिक एप्लिकेशन का डेटा दिखाता है। इवेंट्स एनॉमली कहानियों के लिए, ग्राफ़ प्रासंगिक ईवेंट्स का डेटा दिखाता है। एनॉमली विवरण दिखाने के लिए ग्राफ़ पर माउस होवर करें एनॉमली में पता की गई विभिन्न ऐप्स या घटनाओं की गहन जांच करने के लिए, एक ऐप या ईवेंट की ग्राफ़ को चालू या बंद करने के लिए टॉगल बटन पर क्लिक करें। एनॉमली से संबंधित एप्लिकेशन के लिए पूर्व-फ़िल्टर की गई एनालिटिक्स स्क्रीन खोलने के लिए सभी देखें पर क्लिक करें
5	स्रोत	आपके नेटवर्क में एनॉमली से संबंधित उपकरण की बुनियादी जानकारी
6	शीर्ष एप्लिकेशन	एनॉमली से संबंधित शीर्ष एप्लिकेशन, प्रासंगिक विवरण के साथ। उदाहरण के लिए, एक ऐप उपस्ट्रीम बैंडविड्थ एनॉमली के लिए कुल अपलोड मात्रा के साथ दिखाई देता है एनॉमली से संबंधित ऐप्स के लिए पूर्व-फ़िल्टर की गई एप्लिकेशन एनालिटिक्स स्क्रीन खोलने के लिए सभी देखें पर क्लिक करें
7	शीर्ष सर्वर/गंतव्य	एनॉमली में शामिल शीर्ष सर्वर और गंतव्य, प्रासंगिक विवरण के साथ। उदाहरण के लिए, एक सर्वर उपस्ट्रीम बैंडविड्थ एनॉमली के लिए सर्वर की कुल अपलोड मात्रा के साथ दिखाई देता है एनॉमली से संबंधित ऐप्स के लिए गंतव्यों को दिखाने के लिए एप्लिकेशन एनालिटिक्स स्क्रीन खोलने के लिए सभी देखें पर क्लिक करें
8	शीर्ष होस्ट	एनॉमली से संबंधित शीर्ष होस्ट, प्रासंगिक विवरण के साथ। उदाहरण के लिए: एक अपस्ट्रीम बैंडविड्थ एनॉमली के लिए होस्ट होस्ट से अपलोड की संख्या के साथ दिखाई देता है उपयोगकर्ता के व्यवहार की एनॉमली में होस्ट एनॉमली से संबंधित कनेक्शनों में उपयोगकर्ता के आईपी पते दिखाते हैं एनॉमली से संबंधित ऐप्स के लिए होस्ट को दिखाने के लिए एप्लिकेशन एनालिटिक्स स्क्रीन खोलने के लिए सभी देखें पर क्लिक करें
9	लक्ष्य	यह कहानी से संबंधित आपके नेटवर्क साइट के बाहर संभावित रूप से दुर्भावनापूर्ण स्रोतों के लिए डेटा दिखाता है। ये लक्ष्य तालिका के स्तंभों के विवरण हैं: लक्ष्य - कहानी से संबंधित ट्रैफ़िक प्रवाह में पहचाने गए बाहरी स्रोतों के डोमेन या IP पते निर्माण तिथि - लक्ष्य डोमेन की पंजीकरण तिथि लक्ष्य लिंक - विभिन्न बाहरी खतरे की खुफिया स्रोतों में लक्ष्य को देखने के लिए लिंक। अधिक जानकारी के लिए, VirusTotal आइकन पर क्लिक करें या ड्रॉप-डाउन मेनू से अन्य संसाधन चुनें। दुर्भावनापूर्ण स्कोर - Cato खतरे की खुफिया एल्गोरिदम के अनुसार लक्ष्य का दुर्भावनापूर्ण स्कोर। स्कोर 0 (सौम्य) से 1 (दुर्भावनापूर्ण) तक होता है लोकप्रियता - लक्ष्य कितनी बार Cato आंतरिक डेटा स्रोतों में दिखाई देता है। मान हैं: अलोकप्रिय, कम, मध्यम, उच्च श्रेणियाँ - लक्ष्य डोमेन के लिए Cato श्रेणियाँ खतरे की फीड्स - Cato खतरे की खुफिया स्रोतों की संख्या, जिन्होंने लक्ष्य को दुर्भावनापूर्ण पाया इंजिन - थर्ड-पार्टी सुरक्षा इंजिन की संख्या, जिन्होंने लक्ष्य को दुर्भावनापूर्ण पाया पंजीकृत देश - देश जहाँ लक्ष्य डोमेन पंजीकृत है Google खोज हिट्स - लक्ष्य के लिए Google खोज परिणामों की संख्या
10	शीर्ष कनेक्शन	विषमता से संबंधित शीर्ष कनेक्शन के लिए डेटा। उदाहरण के लिए, एक SDP यूज़र अपस्ट्रीम बैंडविड्थ विसंगति के लिए, वे कनेक्शन जिनमें सबसे अधिक अपलोड बैंडविड्थ का उपयोग किया गया। ये तालिका के स्तंभों के विवरण हैं: अनुप्रयोग - कनेक्शन के लिए ट्रैफिक प्रवाह में पहचाना गया एप्लिकेशन स्रोत IP - आपका नेटवर्क जिसमें प्रवाह भेज रहा है या प्राप्त कर रहा है गंतव्य - बाहरी लक्ष्य का IP पता या डोमेन जो प्रवाह भेज रहा है या प्राप्त कर रहा है प्रवाह - कनेक्शन से जुड़े प्रवाहों की संख्या डाउनलोड - डाउनलोड बैंडविड्थ उपयोग अपलोड - अपलोड बैंडविड्थ उपयोग उपयोग - कुल बैंडविड्थ उपयोग

UEBA असामान्यता कहानियों के लिए आवश्यकताएं

विषमता का पता लगाने वाले इंजन द्वारा कुछ संकेतों में एक कनेक्टर का विन्यास, एक विशिष्ट लाइसेंस या दोनों की आवश्यकता होती है। यह तालिका इन संकेतों के लिए आवश्यकताओं की सूची देती है। यदि कोई संकेत तालिका में सूचीबद्ध नहीं है, तो अतिरिक्त आवश्यकताएँ नहीं हैं।

संकेत	आवश्यकताएँ
असफल उपयोगकर्ता लॉगिन विसंगति	CASB लाइसेंस और इनमें से कम से कम एक कनेक्टर: Salesforce GitHub Azure ID
बल्क डाउनलोड (उपयोगकर्ता डाउनलोड इवेंट विसंगति)	CASB लाइसेंस
बल्क डाउनलोड (साइट डाउनलोड इवेंट विसंगति)	CASB लाइसेंस
बल्क अपलोड (उपयोगकर्ता अपलोड इवेंट विसंगति)	CASB लाइसेंस
बल्क अपलोड (साइट अपलोड इवेंट विसंगति)	CASB लाइसेंस
बल्क डिलीट (असामान्य विलोपन गतिविधि - उपयोगकर्ता)	CASB लाइसेंस
बल्क डिलीट (असामान्य विलोपन गतिविधि - साइट)	CASB लाइसेंस
बल्क क्रिएट (असामान्य फ़ाइल निर्माण गतिविधि - उपयोगकर्ता)	CASB लाइसेंस
पहली बार अप्रचलित या अनधिकृत प्रोटोकॉल का उपयोग देखा गया - साइट	थ्रेट प्रिवेंशन लाइसेंस
पहली बार अप्रचलित या अनधिकृत प्रोटोकॉल का उपयोग देखा गया - उपयोगकर्ता	थ्रेट प्रिवेंशन लाइसेंस
C&C ट्रैफिक असामान्यता - उपयोगकर्ता	थ्रेट प्रिवेंशन लाइसेंस
C&C पहली बार S3 बकेटC ट्रैफिक असामान्यता में अपलोड हुआ - साइट	थ्रेट प्रिवेंशन लाइसेंस
पहली बार S3 बकेट में अपलोड हुआ	CASB और एंटी-मैलवेयर लाइसेंस
मेल विलोपन विसंगति	CASB लाइसेंस और ये कनेक्टर्स M365-Exchange Microsoft Exchange ऑडिट गतिविधियाँ