使用量とイベント異常の異常活動ストーリーの分析

この記事では、XOps ストーリー ワークベンチとストーリードリルダウンページを使用して、使用量異常とイベント異常エンジンによって検出された異常な動作を分析する方法を説明します。

ストーリーワークベンチでの検出と対応 XOps ストーリーの詳細については、ストーリーワークベンチでの検出と対応 XOps ストーリーの確認 を参照してください。

概要

CatoのXOpsサービスは、ユーザーおよびエンティティの振る舞い分析(UEBA)に基づいて異常なアクティビティを検出し、それがセキュリティ脅威を示す可能性があります。 使用量異常とイベント異常エンジンは、ネットワークトラフィックを監視および分析し、アカウントの侵害、内部脅威、および高度な攻撃の兆候である可能性のある異常な行動を特定します。 これらのエンジンは、ネットワークトラフィックのトレーニングを使用した機械学習および統計モデリング技術を取り入れ、アカウント内のユーザーとエンティティの行動モデルを基に構築します。 これらのモデルに基づいて、エンジンはさまざまなタイプの異常を特定できます。

XOps UEBA 異常エンジンと彼らが特定する異常の種類の簡単な説明は次のとおりです:

  • 使用量異常 - アプリケーションの利用に関連する異常を特定します。 例: ユーザーが通常よりも多くのデータをアプリケーションにアップロードする

  • イベント異常 - ネットワーク上のエンティティが異常な数のセキュリティイベントをトリガーする異常を検出します。 例: ネットワークのサイトが通常よりも大幅に多くのインターネットファイアウォールブロックイベントをトリガーする

XOps UEBA 異常エンジンがストーリーを生成すると、ストーリーワークベンチでレビューし、ストーリーデータをさらに分析するためにドリルダウンできます。

前提条件

  • 使用量異常とイベント異常ストーリーは、XOps および MDR の顧客のみが利用可能です。 XOps の購入や MDR サービスの加入について詳しくは、Cato の担当者にお問い合わせください。

UEBA の異常ストーリーのドリルダウンと分析

ストーリーワークベンチで使用量の異常またはイベントの異常ストーリーをクリックして、別のページで詳細を調査します。 このページには、潜在的な脅威を評価するのに役立つ多数のウィジェットが含まれています。

セキュリティストーリーの表示

ストーリーワークベンチページでセキュリティストーリーをクリックして、UEBAストーリーの詳細を表示します。

ストーリーワークベンチページを表示するには:

  • ナビゲーションメニューから、ホーム > ストーリーワークベンチをクリックします。

AI ストーリーサマリーの生成

ストーリーワークベンチのドリルダウンには、AI によって生成されたナチュラルランゲージのストーリー説明を作成できるツールが含まれており、豊富なコンテキストを提供し、ストーリーをすばやく評価するのに役立ちます。 ストーリーの要約は、現在のストーリーの状態を反映するように動的に生成されます。 ストーリーが新しい情報で更新された場合、要約を再生成して変更を反映できます。

  • AI ストーリーサマリーは、管理者によってオンデマンドでのみ生成されます

トークン化による機密データの保護

ストーリーデータを第三者のAIサービスに送信する際の強固なデータセキュリティのために、Catoはトークン化を使用し、すべての機密データが CatoXOps プラットフォーム内に留まることを保証します。 これは機密情報を一意の識別子または「トークン」に置き換え、許可されていないエンティティにとってデータを無意味にします。 機密データが第三者サービスに公開されることはありません。 このアプローチは、ストーリーの詳細の機密性を確保し、堅牢なデータプライバシーとセキュリティ基準への取り組みに沿ったものです。

注意

注意: 生成的AIの制限により、ストーリーサマリーに提供される情報が時折不正確である場合があります。

UEBA 異常ウィジェットの理解

ueba_story_original.png

これらは使用量異常またはイベント異常ストーリーのウィジェットです:

アイテム

名前

説明

1

ストーリー要約

ストーリーに関する基本情報の要約、以下を含む:

  • 異常名

  • 検出された攻撃の指標

  • ストーリーを生成した検出と対応プロデューサー (エンジン)

  • アナリストの重大度 - 脅威の重大度

  • アナリストの評決 - 脅威に対する評決

  • 攻撃タイプ

  • アナリストが決定した脅威の詳細な分類

  • ストーリーステータス

2

ストーリータイムライン

ストーリーのタイムラインを表示し、ストーリーの評決と重大度の変更、およびステータスが更新されたときなどを示します

3

詳細

ストーリーに関する基本的な詳細情報、以下を含む:

  • 脅威の説明と要約

    • AI サマリーを生成するをクリックして、豊富なコンテキストを提供し、ストーリーをすばやく評価するナチュラルランゲージのストーリー説明を作成します

  • 最初のシグナル - 異常に関連付けられた最初のシグナル (トラフィックフロー) の時間

  • 作成日 - ストーリーが生成された時間

  • 更新日 - ストーリーの最新の更新、例えば新しいターゲットや変更された評決

  • 重要度 - Cato の機械学習リスク分析アルゴリズムによって計算されたストーリーの総合リスクスコア (値は 1 (最も重要でない) から 10 (最も重要) まで)

  • トレーニング期間 - 異常行動を判別するための機械学習モデルのトレーニング期間

  • インディケーションID - XOps エンジンで使用される指標の識別子。 インディケーションカタログの使用でその指標を検索するためにこの ID を使用できます

  • MITRE タグ - 脅威のために特定されたMITRE ATT&CK®技術。

    MITRE ATT&CK®フレームワークの詳細については、MITRE ATT&CK®ダッシュボードの使用を参照してください。

    • MITRE ATT&CK®技術をクリックして、MITRE ATT&CK®ウェブサイトでその説明を読む

  • 予測される評決と機械学習が予測した可能性のある脅威のタイプに基づく予測された評決および予測されたタイプ。 機械学習アルゴリズムは、類似のストーリーの最終評決を分析します

  • 類似ストーリー - 類似のターゲットを持つストーリーを表示します。 各ストーリーについて表示される詳細には、ストーリーの脅威タイプ、ストーリーの評決 (利用可能な場合)、および機械学習モデルにより計算された類似度 (パーセンテージで示される) が含まれます。 ストーリーの上にマウスを移動して、脅威の詳細な分類を表示する

4

異常分布

過去 14 日間の異常行動のグラフ。 使用量異常ストーリーの場合、グラフは関連するアプリのデータを表示します。 イベント異常ストーリーの場合、グラフは関連するイベントのデータを表示します。

  • 異常の詳細を表示するには、グラフの上にマウスを移動します

  • 異常で検出されたさまざまなアプリやイベントをより詳しく調査するには、アプリまたはイベントのグラフをオンまたはオフにするためのトグルボタンをクリックします。

  • 異常に関連するアプリですでにフィルターされたアプリケーション分析画面を開くには、すべて表示をクリックします

5

送信元

異常に関連するネットワーク内のデバイスに関する基本的な情報

6

トップアプリケーション

関連詳細を含む、異常に関連するトップアプリケーション。 例えば、上り帯域幅に関する異常のアプリは、アプリからの総アップロード量とともに表示されます

  • 異常に関連するアプリで事前にフィルターされたアプリケーション分析画面を開くには、すべて表示をクリックします

7

トップサーバー/宛先

異常に関与するトップサーバーおよび宛先とその関連詳細。 例えば、上り帯域幅に関する異常のサーバーは、そのサーバーへの総アップロード量とともに表示されます

  • 異常に関連するアプリで事前にフィルターされた宛先を表示するために、アプリケーション分析画面を開くには、すべて表示をクリックします

8

トップホスト

関連詳細を含む、異常に関連するトップホスト。 例:

  • 上り帯域幅に関する異常のホストは、ホストからのアップロード数とともに表示されます

  • ユーザーの行動で異常のあるホストは、異常に関連する接続におけるユーザーのIPアドレスを示します

異常に関連するアプリで事前にフィルターされたホストを表示するために、アプリケーション分析画面を開くには、すべて表示をクリックします

9

ターゲット

ストーリーに関連するネットワークサイト外の潜在的に悪意のあるソースのデータを表示します。

ターゲットテーブルの列の説明は次のとおりです:

  • 対象 - ストーリーに関連するトラフィックフローで識別された外部ソースのドメインまたはIPアドレス

  • 作成日 - ターゲットドメインの登録日

  • 対象リンク - 様々な外部脅威インテリジェンスソースでターゲットを検索するためのリンク。 追加情報は、VirusTotalアイコンをクリックするか、ドロップダウンメニューから他のリソースを選択してください。

  • 悪意のあるスコア - Cato脅威インテリジェンスアルゴリズムに基づく対象の悪意のスコア。 スコアの範囲は0(良性)から1(悪質)です

  • 人気度 - Cato内部データソースで対象がどれほど頻繁に出現するか。 値は: 不人気、低、中、高

  • カテゴリ - ターゲットドメインのCatoカテゴリ

  • 脅威フィード - ターゲットを悪意のあるものと検出したCato脅威インテリジェンスソースの数

  • エンジン - ターゲットを悪意のあるものと検出したサードパーティのセキュリティエンジンの数

  • 登録者の国 - ターゲットドメインが登録されている国

  • Google検索ヒット数 - ターゲットに関するGoogle検索結果の数

10

トップ接続

異常に関連するトップ接続のデータ。 例えば、SDPユーザー上り帯域幅の異常の場合、最も多くのアップロード帯域幅を使用した接続です。

これらはテーブル列の説明です:

  • アプリケーション - 接続のトラフィックフローで検出されたアプリケーション

  • 送信元 IP - ネットワーク内でフローを送受信している送信元IPアドレス

  • 宛先 - フローを送受信している外部ターゲットのIPアドレスまたはドメイン

  • フロー - 接続に関連付けられたフローの数

  • ダウンロード - ダウンロード帯域幅の使用量

  • アップロード - アップロード帯域幅の使用量

  • 使用率 - 合計帯域幅使用量

UEBA異常ストーリーの前提条件

異常検出エンジンによって検出された一部の指標には、コネクタの設定、特定のライセンス、またはその両方の設定が必要です。 このテーブルには、これらの指標の前提条件が一覧されています。 表に記載されていない指標については、追加の前提条件はありません。

表示

前提条件

ユーザーのログイン失敗異常

CASBライセンスおよびこれらのコネクタのいずれか:

  • Salesforce

  • GitHub

  • Azure ID

大量ダウンロード(ユーザーダウンロードイベント異常)

CASBライセンス

大量ダウンロード(サイトダウンロードイベント異常)

CASBライセンス

大量アップロード(ユーザーアップロードイベント異常)

CASBライセンス

大量アップロード(サイトアップロードイベント異常)

CASBライセンス

大量削除(異常な削除アクティビティ - ユーザー)

CASBライセンス

大量削除(異常な削除アクティビティ - サイト)

CASBライセンス

大量作成(異常なファイル作成アクティビティ - ユーザー)

CASBライセンス

初めて確認された非推奨または許可されていないプロトコルの使用 - サイト

脅威防止ライセンス

初めて確認された非推奨または許可されていないプロトコルの使用 - ユーザー

脅威防止ライセンス

C&Cトラフィック異常 - ユーザー

脅威防止ライセンス

C&C初回アップロードトゥーアンスリー・バケットCトラフィック異常 - サイト

脅威防止ライセンス

S3バケットへの初回アップロード

CASBおよびアンチマルウェアライセンス

メール削除の異常

CASBライセンスとこれらのコネクタ

  • M365-Exchange

  • Microsoft Exchange監査活動

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント