検出&対応のストーリーを XDR インシデント検出で確認する

この記事は、アカウント内の潜在的な脅威に関するストーリーをレビューするためにストーリーワークベンチをどのように使用できるかについて説明しています。

注意

注意: XOps はセキュリティと運用のための Cato の統合分析レイヤーであり、インサイトとガイド付き修復を提供します。 XOpsがXDRを置き換えました。詳細については、XOps FAQを参照してください。

検出 & 対応ストーリーの概要

カト検出&対応は脅威に対するストーリーを作成するための追加のセキュリティレイヤーです。 カトの高度な相関エンジンがトラフィックデータを分析し、潜在的な脅威の一致を見つけると、ストーリーが生成されます。 ストーリーには、同じ脅威に関連する共通のプロパティを持つトラフィックフローからのデータが含まれます。 ストーリーワークベンチページは、各ストーリーの詳細を表示して、脅威を理解し分析するのを助けます。 ストーリーを並べ替え、フィルタして最も重要な潜在的な攻撃を見つけることができ、その後ストーリーを掘り下げて詳細をさらに調査できます。

ストーリーに含まれる可能性があるデータの例を以下に示します:

  • ネットワーク内の発信元

  • ネットワークトラフィックの外部ターゲット

  • 脅威の識別と説明

  • 関連するジオロケーション

  • 関連するアプリケーション

  • 関連するイベント

  • カト内部データによるターゲットの人気度

  • カト機械学習モデルによるターゲットの悪意スコア

必須ライセンス数

ストーリー XDR インシデント検出ページを表示

コネクタを作成すると、ストーリーはXDR インシデント検出で表示されるようになります。

XDR インシデント検出ページを表示するには:

  • ナビゲーションメニューから、ホーム > ストーリーワークベンチをクリックします。

ストーリー列の理解

1677e55ac56a76.png

説明

ID

このストーリーの一意のカトID

作成日

ストーリーのための初回トラフィックフローの日付

更新済み

ストーリーにおける最新のトラフィックフローの日付

重大度

ストーリーのリスク分析(値は1 - 10の範囲)

インディケーション

ストーリーの攻撃の指標。 インディケーションについて詳しくは、インディケーションカタログの使用を参照してください。

ソース

ストーリーに関与しているネットワーク上のIPアドレス、デバイス名、またはSDPユーザー

エンジンタイプ

ストーリーを作成したセキュリティエンジン。

ステータス

  • 保留中の顧客 - ストーリーは顧客に送信され、返信を待っています

  • 保留中のアナリスト - セキュリティアナリストからのさらなる情報を待っています

  • クローズド - セキュリティアナリストがストーリーを閉じました

ストーリーのグループ化

ストーリーを見直す際にコンテキストを提供するために、ソースインディケーションステータス種類を含む詳細によって定義されたグループでストーリーを表示できます。 例えば、特定のソースIPアドレスに関連するすべてのストーリーや、すべてのサイバースクワッティングのストーリーを一緒に表示できます。 これはストーリーを分析する際により広い視野を提供し、より速く、正確な結論に達するのを助けます。

各グループはそのグループのストーリーの重大度レベルをハイライト表示し、高、中、低の重要度のストーリー数を含みます。

Stories_Workbench_Grouping.png

ストーリーをXDR インシデント検出にグループ化するために:

  1. ナビゲーションメニューから、ホーム > ストーリー ワークベンチをクリックします。

  2. グループ化ドロップダウンメニューから、必要な基準を選択します。

    ストーリーは展開可能なグループに表示されます。

ストーリーのフィルタリング

ストーリー ワークベンチでデータをフィルターする方法は3つあります:

  • プリセットフィルターを選択

  • 選択した項目でフィルターを自動更新

  • フィルターを手動で設定

プリセットフィルター

ネットワーク運用またはセキュリティオペレーションのストーリーに集中するためにプリセットフィルターを選択できます。 プリセットフィルターを選択すると、その種類のストーリーに最も関連するストーリーの列がデフォルトで表示されます。

プリセットフィルターを選択するには:

  1. フィルターバーで、プリセット選択ドロップダウンメニューをクリックします。

  2. プリセットを選択します。 XDR インシデント検出は、プリセットに一致するストーリーを表示するように更新されます。

アイテムのための自動的フィルター

フィルターオプションが利用可能なアイテムやフィールドにカーソルを合わせると、TD_Filter.png ボタンが表示されます。 アイコンをクリックしてフィルタオプションを表示:

  • フィルタに追加 - アイテムをフィルタに追加すると、XDR インシデント検出は、このアイテムを含むストーリーのみを表示します。 例えば、特定の重要度スコアでフィルタリングした場合、ページにはその重要度を持つストーリーのみが表示されます。

  • フィルタから除外 - フィルタを更新してこのアイテムを除外すると、XDR インシデント検出は、このアイテムを含まないストーリーのみを表示します。

フィルターにアイテムを追加し続けることができます。フィルターを更新してさらに詳細に行うには、TD_Filter.png をもう一度クリックします。

時間範囲の選択

XDR インシデント検出のデフォルトの時間範囲は過去2日間です。 表示する期間が長いまたは短い場合は、異なる時間範囲を選択できます。 詳細については、時間範囲フィルタの設定を参照してください。

XDR インシデント検出の最大日付範囲は90日です。

フィルターの手動設定

ストーリーを分析するために、フィルタの粒度を高めるために手動で構成することができます。 フィルターを設定すると、それがストーリーフィルターバーに追加され、ページが自動的に更新されて新しいフィルターに一致するストーリーが表示されます。

フィルタを作成するには:

  1. フィルターバーで、Add2.png をクリックします。

  2. 入力を開始するか、フィールドを選択します。

  3. フィールドと探しているとの関係を決定する演算子を選択します。

  4. を選択します。

  5. フィルタの追加をクリックします。 フィルターはフィルターバーに追加され、XDR インシデント検出はフィルターに基づいてストーリーを表示するように更新されます。

フィルターをクリア

フィルタ内のアイテムを個別に削除することも、フィルタ全体をクリアすることもできます。

XDR インシデント検出ページのフィルターをクリアするには:

  1. 単一のフィルターをクリアするには、フィルターの横にあるremove.png をクリックします(上記のアイテム1)。

  2. すべてのフィルターをクリアするには、フィルターバーの右端にあるX(上のアイテム2)をクリックします。

この記事は役に立ちましたか?

3人中3人がこの記事が役に立ったと言っています

0件のコメント