このプレイブックでは、XDR インシデント検出を使用して、対象の疑わしい通信に関連するストーリーを調査する方法を説明します。
このプレイブックでは、SOCセンターのエンジニアが対象の疑わしい通信に関連する潜在的なセキュリティインシデントを調査するための体系的なアプローチを概説します。 初期情報の収集、ネットワークトラフィックの分析、脅威の性質に関する結論を導くためのフレームワークを提供します。
ストーリー内の 詳細 ウィジェットを使用して、潜在的な脅威に関する基本情報を収集します。 ストーリーの 説明 やその他のデータを確認して、さらなる調査が必要かどうかを判断します。 加えて、類似のストーリー セクションでは、同様の指標と観測可能な項目を共有する他のストーリーを表示します。
ソース ウィジェットを使用して、この疑わしいトラフィックに影響を受けるデバイスに関するデータを確認します。
インディケーションカタログを使用して、表示ID などの詳細情報を得て、クエリに基づいて調査を集中させることができます。
ターゲット セクションでは、特定されたターゲットを調べて、その潜在的な意図やターゲットが悪意を持っている可能性を理解するための情報を提供します:
-
Catoの悪意スコアを評価する
-
Catoの人気度を調査する
-
関連するCatoカテゴリを検討する
-
ターゲットにリンクされた脅威インテリジェンスフィードの数を確認する
この時点で、ストーリーで捕捉された活動をしっかりと理解しているはずです。ターゲットリンクは、過去のコンテキストと悪意のある行動の兆候を探すために、信頼できる外部ソースで検索を実行するのに役立ちます。 このデータを関連付けて、他のエンティティとの接続を特定し、既知の脅威アクター、キャンペーン、または技術への可能なリンクを見つけます。
ターゲットアクション セクションを使用して、セキュリティエンジンが識別されたトラフィックに対して反応したかどうかを確認することができます。
-
関連イベント を使用して、イベント ページを開き、各ターゲットに対応するイベントを確認します。
-
イベントデータでは、特定の侵入防御システムイベントに関する追加の詳細を探し、侵入防御システム署名、クライアント分類、脅威タイプなどの情報を収集します。
0件のコメント
サインインしてコメントを残してください。