インディケーションカタログの使用

この記事では、Cato検出 & 対応 のセキュリティレイヤによって特定された潜在的に悪意のある活動についてさらに知るためにインディケーションカタログを使用する方法について説明します。

検出と対応についての詳細は、ストーリー作業台での検出と対応 XOps ストーリーのレビューを参照してください。

インディケーションカタログの概要

インディケーションカタログには、Detection & Response セキュリティエンジンによって特定された何百ものインディケーション(攻撃の指標)に関する説明と参考情報が含まれています。 インディケーションとは、実際のセキュリティ侵害がまだ特定されていなくても、攻撃を実行する意図を示すアクションと行動のセットです。 例えば、C&Cの特徴を示すトラフィックを生成するホストは、マルウェア攻撃を示唆する可能性があります。 エンジンがトラフィックデータを分析してインディケーションの一致を特定すると、ストーリー作業台ページに表示されるセキュリティストーリーを作成します。ストーリーのインディケーションや脅威を調査するための他のデータを含みます。 インディケーションカタログは、すべてのインディケーションの完全な説明を提供します。

インディケーションを見つけるためにカタログを簡単に検索およびフィルタリングし、特定の攻撃戦術に関連するインディケーションを確認できます。 カタログは、特定のインディケーションを調べて、Detection & Responseエンジンによってカバーされているかどうかを確認し、最新のインディケーションを表示し、インディケーションに関連するイベントログを表示することもできます。

インディケーションタイプの理解

インディケーションカタログには、さまざまなDetection & Responseエンジンによって検出されたさまざまな脅威インディケーションの種類に関する情報が含まれています。 これは、一部の異なるエンジンの簡単な説明であり、それらが特定するインディケーションの種類です。完全なリストは、Cato XOps サービスへようこそを参照してください。

  • 脅威防御 - IPSイベントにおける特定の攻撃行動のセットを検出します

  • サイト運用 - 劣化した接続性などのネットワーク問題を識別します。

  • 脅威ハンティング - イベントや詳細なトラフィックデータにおける幅広い攻撃行動のセットを識別します

  • 使用量の異常 - アプリケーションが異常な使用を示していることを示唆するインディケーションを識別します。 例えば、通常よりも多くの上り帯域を使用しているアプリケーション

  • イベント異常 - ネットワーク上のエンティティが通常とは異なる数のセキュリティイベントをトリガーしている兆候を検出

  • エクスペリエンス異常 - アプリケーションまたはネットワークのパフォーマンスに対するアプリケーションの経験に大きな変化を検出

インディケーションの種類とライセンス

検出と対応ライセンスによってアカウントに有効なインディケーション種類が決まります。 インディケーションカタログには、現在のライセンスと特定のインディケーションがそのライセンスで利用可能かどうかが表示されます。 ライセンスでインディケーションが利用できない場合、そのインディケーションに基づくストーリーは作成されず、ストーリー作業台に表示されません。 XOpsライセンステiersについての詳細は、Cato XOps サービスへようこそを参照してください。

既知の制限

  • 最近、検出&対応エンジンに追加されたインディケーションは、カタログにすぐには表示されない場合があります。

インディケーションカタログの開始

Indications_Catalog.png

インディケーションカタログを表示するには:

  • ナビゲーションメニューから、リソース > インディケーションカタログをクリックします。

インディケーションカタログには以下の列があります:

  • ID - 検出&対応エンジンで使用されるインディケーションの識別子

  • インディケーション - インディケーションカテゴリの名前。 カテゴリには、類似の行動を持つ複数の異なるインディケーションが含まれることがあります

  • インディケーションの疑わしいアクションと行動の説明

  • アカウントで利用可能 - 検出&対応ライセンスレベルに基づいて、インディケーションがアカウントで有効かどうか。

    さらなるインディケーションの利用可能性に関する情報については、インディケーションタイプとライセンスをご参照ください。

  • MITRE参照 - インディケーションに関連するMITRE ATT&CK®フレームワークの脅威手法を表示します。 MITRE ATT&CK® フレームワークについての詳細は、MITRE ATT&CK® ダッシュボードを使用するを参照してください。

    • 参照をクリックして、MITRE ATT&CK®技術用に事前フィルタリングされたイベントページを表示します。

  • 種類 - インディケーションを検出するDetection & Responseエンジンを表示

関連するインディケーションを見つけるためのフィルターの設定

関連するインディケーションを簡単に見つけるために、次のフィルターを設定します。

  • ID - インディケーションを表示するために、IDを選択

  • ステータスドロップダウンメニューを使用して、新規インディケーションのみを表示するようにカタログをフィルターすることができます。

    インディケーションは、最近カタログに追加され、新規のラベルが付いている場合、新規と見なされます。 ラベルは特定の時間枠を示しません

  • インディケーション - カタログをフィルターしてそのカテゴリのインディケーションを表示するカテゴリを選択

  • 関連するインディケーションを検索するために、説明フィールドを検索します。

  • アカウントで利用可能 - カタログをフィルターして、アカウントに利用可能または利用不可のインディケーションのみを表示します。

    さらなるインディケーションの利用可能性に関する情報については、インディケーションタイプとライセンスをご参照ください。

  • MITRE技術 - MITRE ATT&CK® フレームワークで定義されている攻撃手法を選択して、その手法に関連するインディケーションを表示

  • 種類 - インシデント指標を表示するために、検出&対応エンジンを選択して、インテグレーションカタログをフィルターします

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント