XOps UEBAストーリーの使用状況とイベントの異常を分析

この記事では、XOpsストーリーのワークベンチとストーリードリルダウンページを使用して、使用状況異常エンジンとイベント異常エンジンが検出した異常な行動を分析する方法を説明します。

ストーリーワークベンチの使用について詳しくは、ストーリーワークベンチでの検出と対応に関するXOpsストーリーの確認を参照してください。

注意

: XOpsはセキュリティと運用のためのCatoの統合分析レイヤーであり、インサイトとガイド付きの修正を提供します。 XOpsはXDRに取って代わりました。詳しくは、XOps FAQを参照してください。

概要

CatoのXOps(以前のXDR)サービスは、ユーザーとエンティティの行動分析(UEBA)に基づいて異常な活動を検出し、セキュリティの脅威を示す可能性があります。 使用量の異常とイベントの異常エンジンは、ネットワークトラフィックを監視および分析して、アカウントの侵害、内部脅威、進行中の攻撃の兆候となる可能性がある異常な行動を特定します。 これらのエンジンは、ネットワークトラフィックのトレーニングを行い、機械学習と統計モデリング技術を組み合わせて、アカウント内のユーザーとエンティティに対する基準行動モデルを構築します。 これらのモデルに基づき、エンジンはさまざまな種類の異常を特定できます。

これは、XOps UEBA異常エンジンの簡単な説明と、それらが識別する異常の種類です。

  • 使用量の異常 - アプリケーション内での異常な使用に関連する異常を特定します。 たとえば、ユーザーが通常よりも多くのデータをアプリケーションにアップロードする場合

  • イベント異常 - ネットワーク上のエンティティが異常な数のセキュリティイベントを引き起こすことに関連する異常を検出します。 たとえば、ネットワーク上のサイトが通常よりも多くのインターネットファイアウォールブロックイベントを引き起こす場合

XOps UEBA異常エンジンがストーリーを生成すると、ストーリーワークベンチでレビューし、ストーリーデータをさらに分析することができます。

前提条件

  • 使用状況異常とイベント異常のストーリーは、XOpsとMDRの顧客専用です。 XOpsまたはMDRサービスの購入について詳細は、お客様のCato担当者にお問い合わせください。

UEBA異常ストーリーの掘り下げと分析

XDR インシデント検出で使用量の異常またはイベント異常のストーリーをクリックして、別のページで詳細を表示し調査することができます。 このページには、潜在的な脅威を評価するのに役立つ多数のウィジェットが含まれています。

セキュリティストーリーの表示

XDR インシデント検出ページでセキュリティストーリーをクリックして、UEBA ストーリーの詳細を表示します。

XDRインシデント検出ページを表示するには:

  • ナビゲーションメニューから、ホーム > ストーリー ワークベンチをクリックします。

AIストーリー要約の生成

ストーリー ワークベンチのドリルダウンには、AIが生成する自然言語のストーリー記述を作成できるツールが含まれており、豊富なコンテキストを提供してストーリーを迅速に評価するのに役立ちます。 ストーリーの概要は、ストーリーの現在の状態を反映するために動的に生成されます。 ストーリーが新しい情報で更新された場合、変更を反映するために要約を再生成できます。

  • AIのストーリー概要は、管理者によってオンデマンドでのみ生成されます

トークナイゼーションによる機密データの保護

第三者AIサービスへのストーリーデータの送信中にデータのセキュリティを確保するために、Catoはトークナイゼーションを使用してすべての機密データをCatoXOpsプラットフォームに保ちます。 これは、機密情報を固有の識別子または「トークン」と置き換え、データを無許可のエンティティにとって意味のないものにすることを含みます。 機密データがサードパーティサービスに公開されることはありません。 このアプローチにより、ストーリーの詳細の機密性が確保され、堅牢なデータプライバシーとセキュリティ標準に対する我々のコミットメントと一致します。

注意: ジェネレーティブAIの制限により、ストーリーの要約に含まれる情報が時折不正確である場合があります。

UEBA異常ウィジェットの理解

ueba_story_original.png

これらは、使用量の異常またはイベント異常のストーリー用ウィジェットです:

アイテム

名前

説明

1

ストーリーの概要

ストーリーに関する基本情報の概要、以下を含む:

  • 異常の名前

  • 攻撃が検出されましたの表示

  • ストーリーを生成した検出&対応プロデューサー(エンジン)

  • アナリストによる重大度評価 - 脅威の重大度

  • 脅威に対するアナリストの判断

  • 攻撃の種類

  • アナリストによって決定された脅威の詳細な分類

  • ストーリーの状態

2

ストーリーのタイムライン

ストーリーの判定と重大度に対する変更やステータスが更新された時期など、ストーリーのタイムラインを表示します

3

詳細

ストーリーに関する基本的な詳細情報、以下を含む

  • 脅威の説明と概要

    • 自然言語でのストーリー記述のためにAIサマリーを生成をクリックすると、リッチなコンテキストが提供され、ストーリーを迅速に評価できます

  • 最初のシグナル - 異常に関連する最初の信号(トラフィックフロー)の時間

  • 作成日 - ストーリーが生成された時間

  • 最終更新 - 新しいターゲットまたは変更された判定などの最新のストーリー更新時間

  • 重要度 - Catoの機械学習リスク分析アルゴリズムによって算出されたストーリーの総合リスクスコア(値は1(最低重要)から10(最も重要)まで)

  • 学習期間 - 異常行動を特定するための機械学習モデルの訓練期間

  • インディケーションID - XOpsエンジンによって使用されるインディケーションの識別子。 IDを使用して、インディケーションカタログでインディケーションを検索できます。

  • MITREタグ - 脅威のために識別されたMITRE ATT&CK®テクニック。

    MITRE ATT&CK®フレームワークについて詳しくは、MITRE ATT&CK®ダッシュボードの使用を参照してください。

    • MITRE ATT&CK®ウェブサイトで説明を読むには、MITRE ATT&CK®テクニックをクリックしてください

  • 予測された判定予測されたタイプは、機械学習の予測に基づいた可能性のある判定と潜在的なマルウェアタイプを示します。 機械学習アルゴリズムは、類似のストーリーの最終判定を分析します

  • 類似のストーリー - 類似のターゲットを持つストーリーを表示します。 各ストーリーに表示される詳細には、ストーリーの脅威の種類、ストーリーの判定(利用可能な場合)、および機械学習モデルによって計算された類似度のレベル(パーセンテージで表示)が含まれます。 ストーリーにマウスをホバーすると、脅威の詳細な分類が表示されます。

4

異常の分布

過去14日間の異常行動のグラフ。 使用量の異常ストーリーの場合、グラフは関連アプリケーションのデータを表示します。 イベント異常ストーリーの場合、グラフは関連イベントのデータを表示します。

  • 異常の詳細を表示するには、グラフ上にマウスを置きます

  • 異常で検出されたさまざまなアプリやイベントを詳しく調査するには、アプリやイベントの切り替えボタンをクリックしてそのグラフをオンまたはオフにします。

  • 異常に関連するアプリケーションに事前フィルタリングされたアプリケーション分析画面を開くには、すべて表示をクリックします

5

ソース

異常に関連するネットワーク内のデバイスに関する基本情報

6

トップアプリケーション

異常に関連するトップアプリケーション、関連する詳細を含む。 例として、上り帯域幅の異常のためのアプリケーションがアプリからの総アップロード量と共に表示されます

  • 異常に関連するアプリケーションに事前フィルタリングされたアプリケーション分析画面を開くには、すべて表示をクリックします

7

トップサーバー/宛先

異常に関連するトップサーバーと宛先、関連する詳細を含む。 例として、上り帯域幅の異常のためのサーバーがサーバーへの総アップロード量と共に表示されます

  • 異常に関連するアプリケーションのための事前フィルタリングされた宛先を表示するアプリケーション分析画面を開くには、すべて表示をクリックします

8

トップホスト

異常に関連するトップホスト、関連する詳細を含む。 例として:

  • 上り帯域幅の異常のためのホストが、ホストからのアップロード数と共に表示されます

  • ユーザーの行動における異常のためのホストが、異常に関連する接続におけるユーザーのIPアドレスを表示します

異常に関連するアプリケーションのための事前フィルタリングされたホストを表示するアプリケーション分析画面を開くには、すべて表示をクリックします

9

ターゲット

物語に関連するネットワークサイト外部の潜在的に悪意のあるソースのデータを表示します。

これらはターゲットテーブル列の説明です:

  • 対象 - ストーリーに関連するトラフィックの流れで確認された外部ソースのドメインまたはIPアドレス

  • 作成日 - ターゲットドメインの登録日

  • ターゲットリンク - さまざまな外部脅威インテリジェンスソースでターゲットを検索するためのリンク。 追加情報を得るには、VirusTotalアイコンをクリックするか、ドロップダウンメニューから他のリソースを選択してください。

  • 悪意のあるスコア - Cato 脅威インテリジェンスアルゴリズムによる対象の悪意のスコア。 スコアは0(無害)から1(悪意のある)までの範囲です

  • 人気度 - 対象がカト内部データソースにどれくらい頻繁に現れるか。 値は: 非人気、低、中、高

  • カテゴリ - 対象ドメインのためのカトカテゴリ

  • 脅威インテリジェンスソース - 対象を悪意のあると検出したCato脅威インテリジェンスソースの数

  • エンジン - ターゲットを悪意のあるものと検出したサードパーティのセキュリティエンジンの数

  • ドメインの登録国 - 対象ドメインが登録されている国

  • Googleの検索ヒット数 - 対象のGoogle検索結果数

10

トップ接続

異常に関連するトップ接続のデータ。 例として、SDPユーザー上り帯域幅異常の場合、最もアップロード帯域幅を使用した接続を示します。

これらはテーブル列の説明です:

  • アプリケーション - 接続のトラフィックフローで検出されたアプリケーション

  • 送信元IPアドレス - お使いのネットワーク内でフローを送信または受信する送信元IPアドレス

  • 宛先 - フローを送信または受信する外部ターゲットのIPアドレスまたはドメイン

  • フロー - 接続に関連するフローの数

  • ダウンロード - ダウンロード帯域幅の使用

  • アップロード - アップロード帯域幅の使用

  • 使用量 - 総帯域幅の使用

UEBA異常ストーリーの前提条件

異常検出エンジンによって検出された一部の兆候は、コネクタ、特定のライセンス、またはその両方を設定する必要があります。 このテーブルには、これらの兆候の前提条件が一覧表示されています。 テーブルに兆候が記載されていない場合、追加の前提条件はありません。

兆候

前提条件

失敗したユーザーログイン異常

CASB ライセンスとこれらのコネクタのうち少なくとも1つ:

  • セールスフォース

  • GitHub

  • Azure ID

一括ダウンロード(ユーザー ダウンロード イベント異常)

CASB ライセンス

一括ダウンロード(サイト ダウンロード イベント異常)

CASB ライセンス

一括アップロード(ユーザー アップロード イベント異常)

CASB ライセンス

一括アップロード(サイト アップロード イベント異常)

CASB ライセンス

一括削除(異常な削除活動 - ユーザー)

CASB ライセンス

一括削除(異常な削除活動 - サイト)

CASB ライセンス

一括作成(異常なファイル作成活動 - ユーザー)

CASB ライセンス

初めての非推奨または許可されていないプロトコルの使用 - サイト

脅威防止ライセンス

初めての非推奨または許可されていないプロトコルの使用 - ユーザー

脅威防止ライセンス

C&C トラフィック異常 - ユーザー

脅威防止ライセンス

C&C 初めてのS3バケットへのアップロードトラフィック異常 - サイト

脅威防止ライセンス

初めてのS3バケットへのアップロード

CASB とアンチマルウェアライセンス

メール削除異常

CASB ライセンスとこれらのコネクタ

  • M365-Exchange

  • Microsoft Exchange 監査アクティビティ

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント