XOps UEBA कहानियों का उपयोग और इवेंट विसंगतियों के लिए विश्लेषण करना

यह लेख बताता है कि XOps स्टोरीज़ वर्कबेंच और स्टोरी ड्रिल-डाउन पेज का उपयोग करके उपयोग विसंगति और घटना विसंगति इंजन द्वारा पता की गई XOps कहानियों का विश्लेषण कैसे करें।

कहानियों वर्कबेंच का उपयोग करने के बारे में अधिक जानकारी के लिए, कथाओं वर्कबेंच में डिटेक्शन & रिस्पांस XOps कहानियों की समीक्षा देखें।

नोट

नोट: XOps सुरक्षा और संचालन के लिए Cato का एकीकृत विश्लेषण परत है, जो दृष्टिकोण और मार्गदर्शित सुधार प्रदान करता है। XOps ने XDR को प्रतिस्थापित किया है, अधिक जानकारी के लिए देखें XOps FAQ।

विवरण

Cato की XOps (पहले XDR) सेवा उपयोगकर्ता और इकाई व्यवहार एनालिटिक्स (UEBA) के आधार पर असामान्य गतिविधियों का पता लगाती है, जो सुरक्षा खतरे का संकेत दे सकती हैं। उपयोग असामान्यता और असामान्य घटनाओं के इन्जिन नेटवर्क ट्रैफ़िक की निगरानी और विश्लेषण करते हैं ताकि ऐसे असामान्य व्यवहार की पहचान हो सके जो खाते में परियाप्त खतरा, अंदरूनी खतरे और उन्नत हमले का संकेत हो सकते हैं। ये इंजन मशीन लर्निंग और सांख्यिकीय मॉडलिंग तकनीकों को नेटवर्क ट्रैफिक पर प्रशिक्षित करके उपयोगकर्ताओं और आपके खाते की संस्थाओं के लिए बुनियादी व्यवहार मॉडल बनाने के लिए शामिल करते हैं। इन मॉडलों के आधार पर, इंजन विभिन्न प्रकार की विसंगतियों की पहचान कर सकते हैं।

ये XOps UEBA विसंगति इंजन और वे किस प्रकार की विसंगतियों की पहचान करते हैं, का संक्षिप्त विवरण है:

उपयोग असामान्यता - अनुप्रयोगों में असामान्य उपयोग से संबंधित असामान्यताओं की पहचान करता है। उदाहरण के लिए, एक उपयोगकर्ता किसी अनुप्रयोग पर सामान्य से अधिक डेटा अपलोड करता है
असामान्य घटनाएं - नेटवर्क पर किसी इकाई द्वारा असामान्य प्रकार की सुरक्षात्मक घटनाओं के ट्रिगर से संबंधित असामान्यताओं का पता लगाता है। उदाहरण के लिए, नेटवर्क पर एक साइट सामान्य से अधिक इंटरनेट फ़ायरवॉल अवरोधक घटनाओं को ट्रिगर करती है

जब XOps UEBA विसंगति इंजन एक कहानी उत्पन्न करते हैं, तो आप इसे कहानियों वर्कबेंच में समीक्षा कर सकते हैं और कहानी डेटा के आगे विश्लेषण के लिए ड्रिल-डाउन कर सकते हैं।

पूर्वापेक्षाएँ

उपयोग विसंगति और घटनाओं विसंगति कहानियाँ केवल XOps और MDR ग्राहकों के लिए उपलब्ध हैं। XOps खरीदने के बारे में अधिक जानकारी के लिए, या MDR सेवा की सदस्यता लेने के लिए, कृपया अपने Cato प्रतिनिधि से संपर्क करें।

UEBA विसंगति कथाओं को विवरण देना और विश्लेषण करना

आप स्टोरीज़ वर्कबेंच में एक उपयोग असामान्य गतिविधि या असामान्य घटनाओं की कहानी पर क्लिक करके ड्रिल-डाउन कर सकते हैं और इसे किसी अलग पृष्ठ में जांच सकते हैं। यह पृष्ठ कई विजेट्स शामिल करता है जो आपको संभावित खतरे का मूल्यांकन करने में मदद करते हैं।

सुरक्षा कथाओं को दिखाना

XDR स्टोरीज़ वर्कबेंच पृष्ठ में एक सुरक्षा कहानी पर क्लिक करके UEBA कहानी के विवरण प्रदर्शित करें।

कहानियाँ वर्कबेंच पृष्ठ देखने के लिए:

नेविगेशन मेन्यू से, क्लिक करें होम > XDR स्टोरीज़ वर्कबेंच।

एआई कहानी सारांश उत्पन्न करना

स्टोरीज़ वर्कबेंच ड्रिल-डाउन में एक उपकरण शामिल है जो आपको AI द्वारा उत्पन्न प्राकृतिक भाषा कहानी का वर्णन करने की अनुमति देता है, जो समृद्ध संदर्भ प्रदान करता है और आपको कहानी को तेजी से मूल्यांकन करने में मदद करता है। कहानी का सारांश वर्तमान स्थिति को प्रतिबिंबित करने के लिए गतिशील रूप से उत्पन्न होता है। यदि कहानी नई जानकारी के साथ अपडेट होती है, तो आप परिवर्तन को प्रतिबिंब में लाने के लिए सारांश पुनः उत्पन्न कर सकते हैं।

AI कहानी सारांश केवल व्यवस्थापक द्वारा आवश्यकतानुसार उत्पन्न होता है

टोकनाइजेशन के साथ संवेदनशील डेटा की रक्षा करना

कहानी डेटा को तीसरे पक्ष के AI सेवाओं के लिए ट्रांसमिशन के दौरान मजबूत डेटा सुरक्षा के लिए, Cato संवेदनशील डेटा को Cato XOps प्लेटफॉर्म में सुनिश्चित करने के लिए टोकनिज़ेशन का उपयोग करता है। इसमें संवेदनशील जानकारी को अद्वितीय पहचानकर्ताओं या "टोकन" से बदलना शामिल है, जिससे डेटा गैर-अधिकृत इकाई प्रकारों के लिए अर्थहीन हो जाता है। संवेदनशील डेटा कभी भी तृतीय पक्ष सेवाओं के लिए उजागर नहीं होता। यह दृष्टिकोण कहानी के विवरण की गोपनीयता सुनिश्चित करता है, हमारे मजबूत डेटा गोपनीयता और सुरक्षा मानकों के प्रतिबद्धता के साथ।

नोट

नोट: जनरेटिव AI की सीमाओं के कारण, कहानी सारांशों में दी गई जानकारी कभी-कभी गलतियाँ हो सकती हैं।

UEBA विसंगति विजेट्स को समझना

ये उपयोग असामान्यता या असामान्य घटनाएं कहानियों के लिए विडजेट्स हैं:

वस्तुएं	नाम	विवरण
1	कहानी का सारांश	कहानी के बारे में बुनियादी जानकारी का सारांश, जिसमें शामिल हैं: विसंगति का नाम हमला का पता चला के लिए संकेत कहानी उत्पन्न करने वाला Detection & Response निर्माता (इंजन) विश्लेषक गंभीरता - खतरे की गंभीरता खतरे के लिए विश्लेषक निर्णय हमले का प्रकार विश्लेषक द्वारा निर्धारित खतरे की विस्तृत वर्गीकरण कहानी की स्थिति
2	कहानी की समय-रेखा	कहानी की समय-रेखा दिखाता है, जैसे कहानी के निर्णय और गंभीरता में परिवर्तन और जब स्थिति अपडेट की जाती है
3	विवरण	कहानी के बारे में बुनियादी विवरण, जिसमें शामिल हैं एक खतरे का विवरण और सारांश समृद्ध संदर्भ प्रदान करने और कहानी को जल्दी से मूल्यांकन करने में सहायता के लिए प्राकृतिक भाषा कहानी विवरण के लिए AI सारांश बनाएं पर क्लिक करें पहला संकेत - अनियमितता से जुड़े पहले संकेत (ट्रैफ़िक प्रवाह) का समय निर्माण तिथि - कहानी उत्पन्न होने का समय अंतिम अपडेट किया गया - नवीनतम कहानी अपडेट का समय, जैसे एक नया लक्ष्य या बदला गया निर्णय गंभीरता - कहानी के लिए समग्र जोखिम स्कोर जो Cato के मशीन लर्निंग जोखिम विश्लेषण एल्गोरिदम द्वारा गणना की जाती है (मान 1 (कम से कम महत्वपूर्ण) से 10 (सबसे महत्वपूर्ण) तक होते हैं) प्रशिक्षण अवधि - असामान्य व्यवहार निर्धारित करने के लिए मशीन लर्निंग मॉडल के प्रशिक्षण की अवधि संकेतक आईडी - संकेतक के लिए पहचानकर्ता जो XOps इंजन द्वारा उपयोग किया जाता है। आप संकेतक कैटलॉग में संकेतक को देखने के लिए आईडी का उपयोग कर सकते हैं संकेतक कैटलॉग का उपयोग करना मित्रे टैग - खतरे के लिए पहचान की गई MITRE ATT&CK® तकनीकें। MITRE ATT&CK® फ्रेमवर्क के बारे में अधिक जानकारी के लिए देखें MITRE ATT&CK® डैशबोर्ड का उपयोग करना। MITRE ATT&CK® तकनीक का विवरण पढ़ने के लिए उसे MITRE ATT&CK® वेबसाइट पर क्लिक करें अनुमानित निर्णय और पूर्वानुमानित प्रकार मशीन लर्निंग भविष्यवाणियों के आधार पर संभवित निर्णय और संभावित मैलवेयर प्रकार का अनुमान देता है। मशीन लर्निंग एल्गोरिदम समान कहानियों के अंतिम निर्णयों का विश्लेषण करते हैं समान घटनाएं - समान लक्ष्यों वाली कहानियाँ प्रदर्शित करता है। प्रत्येक कहानी के लिए दिखाए गए विवरणों में शामिल हैं: कहानी खतरे का प्रकार, कहानी निर्णय (यदि उपलब्ध हो), और मशीन लर्निंग मॉडल द्वारा गणना की गई समानता का स्तर (प्रतिशत द्वारा संकेतित)। कहानी पर माउस को ओवर करें ताकि खतरे की अधिक विस्तृत वर्गीकरण दिखाई दे
4	असामान्य गतिविधि वितरण	पिछले 14 दिनों के असामान्य व्यवहार का ग्राफ। उपयोग असामान्यता कहानियों के लिए, ग्राफ संबंधित ऐप्स के डेटा को दिखाता है। असामान्य घटनाओं की कहानियों के लिए, ग्राफ संबंधित घटनाओं का डेटा दिखाता है। असामान्य गतिविधि का विवरण दिखाने के लिए, ग्राफ़ पर माउस घुमाएं असामान्यता में खोजे गए विभिन्न ऐप्स या घटनाओं की करीब से जांच करने के लिए, किसी ऐप या घटना का ग्राफ चालू या बंद करने के लिए उसके टॉगल बटन पर क्लिक करें। अनुप्रयोग विश्लेषिकी स्क्रीन को खोलने के लिए सभी देखें पर क्लिक करें जो असामान्य गतिविधि से संबंधित ऐप्स के लिए पूर्व-परिरक्षित है
5	स्रोत	आपके नेटवर्क में असामान्यता से संबंधित उपकरण की मूलभूत जानकारी
6	शीर्ष एप्लिकेशन	असामान्यता से संबंधित शीर्ष एप्लिकेशन, प्रासंगिक विवरण के साथ। उदाहरण के लिए, अपस्ट्रीम बैंडविड्थ असामान्यता ऐप कुल अपलोड मात्रा के साथ दिखता है अनुप्रयोग विश्लेषिकी स्क्रीन को खोलने के लिए सभी देखें पर क्लिक करें जो असामान्य गतिविधि से संबंधित ऐप्स के लिए पूर्व-परिरक्षित है
7	शीर्ष सर्वर/गंतव्य	असामान्यता में शामिल शीर्ष सर्वर और गंतव्य, प्रासंगिक विवरण के साथ। उदाहरण के लिए, अपस्ट्रीम बैंडविड्थ असामान्यता का एक सर्वर सर्वर की कुल अपलोड मात्रा दर्शाता है अनुप्रयोग विश्लेषिकी स्क्रीन को खोलने के लिए सभी देखें पर क्लिक करें और असामान्यता से संबंधित ऐप्स के लिए पूर्व-परिरक्षित गंतव्यों को दिखाएं
8	शीर्ष होस्ट	असामान्यता से संबंधित शीर्ष होस्ट, प्रासंगिक विवरण सहित। उदाहरण के लिए: अपस्ट्रीम बैंडविड्थ असामान्यता का एक होस्ट होस्ट से अपलोड की संख्या दिखाता है उपयोगकर्ता के व्यवहार में असामान्यता के लिए होस्ट असामान्यता से संबंधित कनेक्शनों में उपयोगकर्ता के IP पते दिखाते हैं सभी देखें पर क्लिक करें अनुप्रयोग विश्लेषिकी स्क्रीन खोलने और असामान्य गतिविधि से संबंधित ऐप्स के लिए पहले से फ़िल्टर किए गए होस्ट्स दिखाने के लिए
9	लक्ष्य	कहानी से संबंधित आपके नेटवर्क साइट के बाहर संभावित रूप से दुर्भावनापूर्ण स्रोतों के लिए डेटा दिखाता है। ये लक्ष्य तालिका स्तंभों के विवरण हैं: लक्ष्य - कहानी से संबंधित ट्रैफिक फ्लो में पहचाने गए बाहरी स्रोतों के डोमेन्स या IP पते निर्माण दिनांक - लक्ष्य डोमेन का पंजीकरण तिथि लक्ष्य लिंक - विभिन्न बाहरी खतरे की खुफिया स्रोतों में लक्ष्य को खोजने के लिए लिंक। अधिक जानकारी के लिए, VirusTotal आइकन पर क्लिक करें या ड्रॉप-डाउन मेनू से अन्य संसाधनों का चयन करें। दुर्भावनापूर्ण स्कोर - केटो खतरे की खुफिया एल्गोरिदम के अनुसार लक्ष्य का दुर्भावनापूर्ण स्कोर। स्कोर 0 (सौम्य) से 1 (हानिकारक) तक होते हैं लोकप्रियता - कितनी बार लक्ष्य केटो आंतरिक डेटा स्रोतों में दिखाई देता है। मान हैं: अलोकप्रिय, कम, मध्यम, उच्च श्रेणियाँ - लक्ष्य डोमेन के लिए केटो श्रेणियां खतरे की खुफिया फीड्स - लक्ष्य को हानिकारक के रूप में पता लगाने वाले केटो खतरे खुफिया स्रोतों की संख्या इंजन - तृतीय-पक्ष सुरक्षा इंजन की संख्या जिसने लक्ष्य को हानिकारक के रूप में पहचाना लक्ष्य डोमेन का पंजीकरण देश - वह देश जहाँ लक्ष्य डोमेन पंजीकृत है गूगल खोज परिणाम - लक्ष्य के लिए गूगल खोज परिणामों की संख्या
10	शीर्ष कनेक्शन	असामान्य गतिविधि से संबंधित शीर्ष कनेक्शनों के लिए डेटा। उदाहरण के लिए, एक एसडीपी उपयोगकर्ता अपस्ट्रीम बैंडविड्थ असामान्य गतिविधि के लिए, सबसे अधिक अपलोड बैंडविड्थ का उपयोग करने वाले कनेक्शन। ये तालिका स्तंभों के विवरण हैं: एप्लिकेशन - कनेक्शन के लिए ट्रैफिक फ्लो में पाया गया एप्लिकेशन स्रोत IP - आपके नेटवर्क में स्रोत IP पता जो प्रवाह को भेज रहा या प्राप्त कर रहा है गंतव्य - बाहरी लक्ष्य का IP पता या डोमेन जो प्रवाह को भेज या प्राप्त कर रहा है प्रवाह - कनेक्शन से संबंधित प्रवाहों की संख्या डाउनलोड - डाउनलोड बैंडविड्थ उपयोग अपलोड - अपलोड बैंडविड्थ उपयोग उपयोग - कुल बैंडविड्थ उपयोग

UEBA विसंगति कथाओं के लिए पूर्वापेक्षाएँ

कुछ संकेत जो असामान्यता का पता लगाने वाले इंजन द्वारा पता लगाए जाते हैं, को कनेक्टर, एक विशिष्ट लाइसेंस या दोनों की आवश्यकता होती है। यह तालिका इन संकेतों के लिए न्यूनतम जरूरत की सूची प्रदान करती है। यदि कोई संकेत तालिका में सूचीबद्ध नहीं है, तो कोई अतिरिक्त न्यूनतम जरूरत नहीं है।

संकेत	न्यूनतम जरूरत
विफल उपयोगकर्ता लॉगिन असामान्य गतिविधि	CASB लाइसेंस और इन कनेक्टर्स में से कम से कम एक: सेल्सफोर्स गिटहब Azure आईडी
बुल्क डाउनलोड (उपयोगकर्ता डाउनलोड घटनाएं असामान्य गतिविधि)	CASB लाइसेंस
बुल्क डाउनलोड (साइट डाउनलोड घटनाएं असामान्य गतिविधि)	CASB लाइसेंस
बुल्क अपलोड (उपयोगकर्ता अपलोड घटनाएं असामान्य गतिविधि)	CASB लाइसेंस
बुल्क अपलोड (साइट अपलोड घटनाएं असामान्य गतिविधि)	CASB लाइसेंस
बुल्क हटाएं (व्यक्तिगत असामान्य हटाएं गतिविधि - उपयोगकर्ता)	CASB लाइसेंस
बुल्क हटाएं (साइट असामान्य हटाएं गतिविधि - साइट)	CASB लाइसेंस
बुल्क क्रिएट (असामान्य फाइल निर्माण गतिविधि - उपयोगकर्ता)	CASB लाइसेंस
प्रथम बार देखा गया अप्रचलित या बिना अनुमति प्रोटोकॉल का उपयोग - साइट	खतरा निवारण लाइसेंस
प्रथम बार देखा गया अप्रचलित या बिना अनुमति प्रोटोकॉल का उपयोग - उपयोगकर्ता	खतरा निवारण लाइसेंस
C&C ट्रैफ़िक असामान्य गतिविधि - उपयोगकर्ता	खतरा निवारण लाइसेंस
C&C प्रथम बार S3 बकेट पर अपलोड - साइट	खतरा निवारण लाइसेंस
S3 बकेट पर प्रथम बार अपलोड	CASB और एंटी-मैलवेयर लाइसेंस
मेल हटाएं असामान्य गतिविधि	CASB लाइसेंस और ये कनेक्टर्स M365-एक्सचेंज माइक्रोसॉफ्ट एक्सचेंज लेखा परीक्षा गतिविधियाँ