ストーリー作業台での検知と対応XOpsストーリーの見直し

この記事では、XDR インシデント検出を使用してアカウントの潜在的な脅威についてストーリーを評価する方法を説明します。

検出&対応ストーリーの概要

Cato検出&対応は、脅威のためのストーリーを作成する追加のセキュリティ層です。 Catoの高度な相関エンジンがトラフィックデータを分析し、潜在的な脅威に一致するものを見つけた場合、ストーリーを生成します。 そのストーリーは、同じ脅威に関連する共通のプロパティを持つトラフィックフローからのデータを含みます。 ストーリーワークベンチのページでは、各ストーリーの詳細が表示され、脅威を理解して分析するのに役立ちます。 ストーリーをソートしてフィルターをかけ、最も重要な潜在的な攻撃を見つけることができ、その後、ストーリーに対して詳細な調査を行うことができます。

ストーリーが含むことのできるデータの例:

  • ネットワーク内のソース
  • ネットワークトラフィックの外部ターゲット
  • 脅威の特定と説明
  • 関連する地理的ロケーション
  • 関連するアプリケーション
  • 関連するイベント
  • Cato内部データに基づくターゲットの人気度
  • Cato機械学習モデルに基づくターゲットの悪意スコア

必須ライセンス

ストーリーワークベンチページの表示

コネクタを作成すると、ストーリーワークベンチにストーリーが表示されます。

ストーリーワークベンチページを表示するには:

  • ナビゲーションメニューから、ホーム > ストーリーワークベンチをクリックします。

ストーリー列の理解

1677e55ac56a76.png
カラム 説明
ID このストーリーの一意のCato ID
作成済み ストーリーの最初のトラフィックフローの日付
更新済み ストーリーの最新のトラフィックフローの日付
重大度 ストーリーに対するCatoのリスク分析(値は1 - 10)
指標 ストーリーの攻撃指標。 指標について詳しくは、指標カタログの使用をご参照ください
ソース ストーリーに関与したネットワーク上のIPアドレス、デバイスの名前、またはSDPユーザー
エンジンタイプ ストーリーを作成したセキュリティエンジン。
ステータス
  • 保留中の顧客 - ストーリーが顧客に送信され、顧客からの回答を待っています
  • 保留中のアナリスト - セキュリティアナリストからのさらなる情報を待っています
  • クローズド - セキュリティアナリストがストーリーを閉じました

ストーリーのグループ化

ストーリーを確認する際にコンテキストを提供するために、ストーリーをソース指標ステータス、およびタイプなどの詳細で定義されたグループに表示することができます。 たとえば、特定の送信元IPアドレスに関連するすべてのストーリーや、すべてのサイバースクワッティングストーリーを一緒に表示することができます。 これにより、ストーリーを分析する際の視野が広がり、より迅速かつ正確な結論に達するために役立ちます。

各グループは、グループ内のストーリーの重大度レベルを強調表示し、高、中、低の重大度ストーリーの数を含みます。

Stories_Workbench_Grouping.png

ストーリーワークベンチでストーリーをグループ化するには:

  1. ナビゲーションメニューから、ホーム > ストーリーワークベンチをクリックします。

  2. Group Byドロップダウンメニューから、必要な基準を選択します。

    ストーリーは展開可能なグループで表示されます。

ストーリーのフィルタリング

ストーリーワークベンチのデータをフィルタリングするための3つの方法があります:

  • プリセットフィルタを選択する
  • 選択されたアイテムでフィルタを自動的に更新する
  • フィルタを手動で設定する

プリセットフィルタ

プリセットフィルタを選択して、ネットワーク運用 または セキュリティオペレーション のストーリーに集中することができます。 プリセットフィルタを選択すると、そのタイプのストーリーに最も関連性の高いストーリー列がデフォルトで表示されます。

プリセットフィルタを選択するには:

  1. フィルターバーで、Select Presets ドロップダウンメニューをクリックします。
  2. プリセットを選択。 ストーリーワークベンチが更新され、プリセットに一致するストーリーが表示されます。

アイテムの自動フィルタリング

フィルターオプションが使用可能なアイテムやフィールドにカーソルを合わせると、TD_Filter.png ボタンが表示されます。 アイコンをクリックしてフィルタオプションを表示:

  • フィルタに追加 - アイテムをフィルタに追加し、ストーリーワークベンチはこのアイテムを含むストーリーのみを表示します。 例えば、特定の重要度スコアに対してフィルタをかけた場合、ページにはその重要度を持つストーリーのみが表示されます。
  • フィルタから除外 - フィルタを更新してこのアイテムを除外し、ストーリーワークベンチはこのアイテムを含まないストーリーのみを表示します。

フィルタにアイテムを追加し続けることができ、フィルタを更新し、さらに詳細をドリルダウンするために再度クリックします。

時間範囲の選択

ストーリーワークベンチのデフォルトの時間範囲は、過去2日間です。 異なる時間範囲を選択して、より長いまたは短い期間を表示することができます。 詳しくは、時間範囲フィルタの設定を参照してください。

ストーリーワークベンチの最大日付範囲は90日です。

フィルタの手動設定

フィルタを手動で設定して、ストーリーをより詳細に分析することができます。 フィルタを設定した後、フィルタバーに追加され、ページが自動的に更新されて新しいフィルタに一致するストーリーが表示されます。

フィルタを作成するには:

  1. フィルターバーで、Add2.pngをクリックします。
  2. 入力を開始するか、フィールドを選択します。
  3. 演算子を選択し、これによってフィールド間の関係が決定します。
  4. を選択。
  5. フィルタの追加をクリック。 フィルタがフィルタバーに追加され、ストーリーワークベンチ が更新され、フィルタに基づいたストーリーが表示されます。

フィルタのクリア

フィルタの各アイテムを個別に削除するか、フィルタ全体をクリアすることができます。

ストーリーワークベンチページのフィルタをクリアするには:

  1. 単一のフィルタをクリアするには、フィルタの隣にあるremove.pngをクリックします(上記のアイテム1)。
  2. すべてのフィルタをクリアするには、フィルターの右端にあるXをクリックします(上記のアイテム2)。

ストーリーデータのCSVファイルへのエクスポート

ストーリーワークベンチにリストされているストーリーのデータを含むCSVファイルを生成できます。

注意

メモ: 

  • Editorの役割を持つCMA管理者のみがCSVファイルへのエクスポート権限を持っています。 管理者役割の設定について詳しくは、管理者の管理をご覧ください。
  • 最大2000ストーリーをエクスポートすることができます。

ストーリーデータをエクスポートするには:

  1. ナビゲーションメニューから、ホーム > ストーリーワークベンチ。
  2. エクスポートをクリックし、ポップアップウィンドウでOKをクリックします。
  3. CSVファイルの保存場所を選び、ファイルを保存します。

この記事は役に立ちましたか?

3人中3人がこの記事が役に立ったと言っています

0件のコメント