<span class="phrase">XOps</span>のセキュリティストーリーを詳しく調べ、分析する

この記事では、アカウント内の潜在的な脅威のストーリーを分析するために、検出&amp;対応ストーリーページをどのように使用するかについて説明します。

注記

注記: XOpsは、セキュリティおよび運用のためのCatoの統合分析レイヤーであり、インサイトとガイド付きの修正を提供します。 XOpsはXDRに取って代わりました。詳しくは、XOps FAQを参照してください。

概要

ストーリーワークベンチでストーリーをクリックすると、XOpsの検出&対応ストーリーページで詳細を確認して調査することができます。 このページにはストーリーの概要と関連するストーリーの概要が含まれています。 概要には、XOpsエンジンによって特定された潜在的な脅威を評価するのに役立つ多数のウィジェットが含まれており、関連ストーリーの概要は、分析のための幅広いコンテキストでストーリーを位置付けるのを助けます。

AIストーリーの要約を生成する

ストーリーワークベンチドリリングダウンには、AIが生成した自然言語によるストーリーの説明を作成できるツールが含まれており、豊かな文脈を提供し、ストーリーを迅速に評価するのに役立ちます。 ストーリーの要約は、ストーリーの現在の状態を反映するために動的に生成されます。 ストーリーが新しい情報で更新されると、変更を反映させるために要約を再生成できます。

  • AIストーリーの要約は、管理者によってオンデマンドでのみ生成されます

トークン化による機密データの保護

サードパーティのAIサービスへのストーリーデータの送信時のデータセキュリティを強化するために、Catoはトークン化を使用して、すべての機密データがCatoXOpsプラットフォーム内に留まるようにします。 これには、機密情報を一意の識別子、または「トークン」に置き換えることが含まれ、データを不正者にとって無意味にします。 機密データは決して第三者のサービスに公開されることはありません。 このアプローチは、ストーリーの詳細の機密性を保証し、強力なデータプライバシーおよびセキュリティ基準に対する当社の取り組みと一致しています。

注記

注意: 生成型AIの制限により、ストーリーの要約に提供される情報には時折不正確な情報が含まれる場合があります。

ストーリーの詳細と分析

検出および応答のストーリーには、特定された脅威を評価するためのウィジェットが含まれています。 ストーリー内では、プロセス、ファイル、レジストリ値、スケジュールされたタスク、ネットワークアクティビティなどの関連アラートとサポート証拠を確認できます。 これらの証拠は次のいずれかで表示されます。

  • 具体的なアラートのコンテキストで提示された時系列プロセスツリー。 これは、疑わしいと判断されアラートを生成したイベントの順序を理解するのに役立ちます。

    注意: これはAPI接続の問題により、いくつかのストーリーで利用できない場合があります。

  • 証拠テーブルは、ストーリーの証拠の概要を提供します。 これにより、エンドポイントデバイスでの特定の悪意のあるまたは疑わしい活動の普及状況をより広範に評価することができます。

ストーリー概要ウィジェットを理解する

Detection___Response_Story_Overview.png

これらはストーリー概要ウィジェットです:

注意

注意: すべてのウィジェットがすべてのストーリーに含まれているわけではありません。 各ストーリーのウィジェットはストーリーの種類と利用可能なデータに依存します。

名称

説明

ストーリーサマリー

概要は、ストーリーに関する基本情報の概要を示します。

  • 検出された攻撃の指標

  • ストーリーを作成した検出および応答エンジン

  • 分析者による脅威の重大度

  • 分析者による脅威の判定

  • 攻撃タイプ(例:ブラウザ拡張機能、ネイティブアプリケーション、スキャナー、Webアプリ)

  • アナリストによる脅威の詳細な分類(例:ポートスキャン、新しく登録されたドメイン、SMBスキャン)

  • 侵害されたデバイスの数

  • 攻撃に関連付けられた信号(トラフィックフロー)の数

  • 作成されて以来のストーリーの期間

  • ストーリーのステータス

    アクションドロップダウンメニューを使用して、ストーリーの管理を選択し、アナリストの評価、アナリスト重大度ステータス分類などのストーリー設定を変更します。

    関連ストーリータブは、同じソースのストーリーやネットワーク上のさまざまなソースに関連する特徴を持つストーリーを素早く確認することで、調査しているストーリーのコンテキストを提供します。

    ストーリータイムライン

    ストーリー判定や重大度の変更、新しいターゲットの特定時期など、ストーリーのタイムラインを表示します

    詳細

    脅威の説明、およびその脅威に特定されたMITRE ATT&CK®技術を含む、ストーリー分析のための主要情報。

    • AIサマリーを生成 をクリックして、豊富な文脈を提供し、ストーリーを迅速に評価する自然言語のストーリー説明を確認してください

    その他の詳細には以下が含まれます:

    • 重大度 - Catoの機械学習リスク分析アルゴリズムによって計算されたストーリーの全体的なリスクスコア(値は1〜10です)

      この機械学習モデル、いわゆるランダムフォレストは、脅威インテリジェンス(TI)およびネットワークフローやイベントから生成されたデータの特定のパラメータを分析して重大度を計算します。

      ランダムフォレストは、精度と信頼性を向上させるために多くの小さな「決定木」の結果を組み合わせるタイプの機械学習モデルです。 特にセキュリティ脅威のような複雑で多要素のデータを評価するのに役立ちます。

      重要度を評価するために、モデルは以下の重要な要素を考慮します:

      • OSタイプ

      • Cato内でのドメインの人気度

      • クライアント分類

      • イベントを生成するセキュリティエンジンタイプ(該当する場合)

      • 取られたアクション(ブロック、モニターなど)

      • MITREテクニック

      • IP位置情報

      • WHOISデータ

      全体で、モデルはストーリーの重要度を包括的かつ正確に評価するために40以上のパラメータを評価します。

    • 予測された判定予測されたタイプは、判定の可能性と潜在的なマルウェアタイプに基づく機械学習による予測です。 機械学習アルゴリズムは、類似のストーリーの最終判定を分析します

    MITRE ATT&CK®フレームワークについて詳しくは、MITRE ATT&CK®ダッシュボードの使用を参照してください。

    • MITRE ATT&CK®サイトでその説明を読むには、MITRE ATT&CK®技術をクリックしてください

    ソース

    脅威によって影響を受けたネットワーク上のユーザーとデバイスに関する基本情報

    アラート/インシデント/検出

    ストーリーに関連するアラートの詳細を示します。

    • アラートを展開して、アラートに関連する証拠の時系列プロセスツリーを表示します(プロセス、ファイル、レジストリ値を含む)。

    • プロセスツリー内の項目をクリックしてさらに詳細に掘り下げ、証拠に関する詳細データを表示します。

    テーブルの列は次のとおりです。

    • 疑わしい活動を説明する

    • 重要度 - Catoの機械学習リスク分析アルゴリズムによって算出されたアラートの全体的なリスクスコア(値は1から10)。

    • MITREテクニック - 脅威に対して特定されたMITRE ATT&CK®テクニック

      MITRE ATT&CK®フレームワークの詳細については、MITRE ATT&CK®ダッシュボードの使用を参照してください。

    • ステータス - アラートが新規か、すでに解決済みかを示します。

    • 最初の活動日 - アラートに対して検出された最初の疑わしい活動の日付

    • 最終活動日 - アラートに対して検出された最新の疑わしい活動の日付

    • 脅威名 - 検出されたマルウェアの名称。 例: トロイの木馬:Win32/Startpage

    • 説明と推奨されるアクション - アラートの説明と脅威の調査および緩和のための推奨手順については、表示をクリックしてください。

    • ターゲット - アラートで関与しているURL

    • 宛先IP - ストーリーで関与しているリモートIPアドレス

    証拠

    ストーリーアラートの証拠で特定されたすべてのプロセスファイル、およびレジストリ値の詳細を集約します。

    証拠テーブルの列の一部は、すべての証拠タイプで共有されており、一部はタイプごとに特有です。

    すべての証拠タイプに表示される列は次のとおりです。

    • 判決 - 証拠品に対してディフェンダーによって生成された判決(悪意あり疑わしい、または脅威なし

    • 修復ステータス - 脅威が修復されたかどうかを表示します。

    • 作成日時 - イベントが記録された日付と時刻

    各証拠タイプに特有の列は次のとおりです。

    • プロセス:

      • プロセス名 - プロセスの実行可能ファイルの名前

      • プロセスID - Windowsに割り当てられたプロセスのID番号

      • プロセスコマンドライン - Windowsでプロセスに渡された引数。 これは、疑わしいプロセスの実行に関する重要なコンテキストを明らかにすることができます。

      • ファイルパス - エンドポイントデバイス上のプロセスの実行可能ファイルの場所

    • ファイル:

      • ファイルパス - エンドポイントデバイス上のファイルの場所

      • ファイル名 - 拡張子を含むファイル名

      • ファイルサイズ - バイト、キロバイト、またはメガバイトでのファイルサイズ

    • レジストリ:

      • レジストリキー

      • レジストリ値の型 - レジストリ値に保存されるデータの形式

      • レジストリ値 - レジストリエントリの値

    攻撃の地理的位置

    脅威に関連するネットワーク内のソース(オレンジの位置)および外部ソース(赤い位置)の地理的位置を表示します。 ソースを繋ぐ矢印がトラフィックの方向を示します

    ターゲットアクション

    各ターゲットに関連するイベントには、次の情報が含まれます:

    説明

    ターゲット

    ストーリーに関連するトラフィックフローで特定された外部ソースのドメインまたはIPアドレス

    種類

    ターゲットに関連するイベントを生成したセキュリティエンジン

    アクション

    ターゲットに関連するトラフィックに対して取られたアクション

    関連イベント

    ターゲットに関連するイベントに表示される脅威の署名を示します。

    • 署名の上にマウスを置いて、概要イベントログを表示します

    • 署名をクリックして、その署名に対して事前フィルタリングされたイベントページを開きます

    攻撃分布

    攻撃関連フローの時間分布。

    • グラフを読みやすくするために、ターゲットでターゲットをクリックすると、そのデータをグラフから非表示にできます

    • 攻撃の詳細を表示するには、グラフの上にマウスを置きます

    ターゲット

    ストーリーに関連するネットワークサイト外部の潜在的な悪意のあるソースのデータを示します。

    コラム

    説明

    作成日

    ターゲットドメインの登録日

    ターゲット

    ストーリーに関連するトラフィックフローで特定された外部ソースのドメインまたはIPアドレス

    ターゲットリンク

    さまざまな外部脅威インテリジェンスソースでターゲットを検索するリンク。

    追加情報は、ウイルス総合のアイコンをクリックするか、ドロップダウンメニューから他のリソースを選択してください。

    悪意のあるスコア

    カト脅威インテリジェンスアルゴリズムによるターゲットの悪意のスコア。 リスクスコアは0(良性)から1(悪意のある)の範囲です

    人気度

    ターゲットがカト内部データソースにどのくらい頻繁に現れるか。 値は:不人気、低、中、高

    カテゴリ

    ターゲットドメインのためのカトカテゴリ

    脅威インテリジェンスソース

    ターゲットを悪意のあるものとして検出したCato脅威インテリジェンス元の数

    サードパーティエンジン

    ターゲットを悪意のあるものとして検出したサードパーティセキュリティエンジンの数

    ドメインの登録国

    ターゲットドメインが登録されている国

    Googleの検索ヒット数

    ターゲットのGoogle検索結果の数

    攻撃に関連するフロー

    攻撃に関連するイベントの代表的なサンプルのデータを表示します。

    コラム

    説明

    ターゲット

    関連する通信フローの対象ドメインまたはIP

    開始時間

    フローの開始時のタイムスタンプ

    方向

    フローの方向。 方向には以下が含まれます:

    • インバウンド - 外部ソースからネットワークへのトラフィック

    • アウトバウンド - ネットワークから外部ソースへのトラフィック

    • WANバウンド - ネットワークから同じネットワーク内の別のサイトへのトラフィック

    送信元IPアドレス

    フローを送信または受信するネットワークの送信元IPアドレス

    送信元ポート

    フローを送信または受信するネットワークの送信元ポート

    宛先IP

    フローを送信または受信する外部対象のIPアドレス

    宛先ポート

    フローを送信または受信する外部対象のポート

    メソッド

    フロー内のHTTPメソッド (GET、POSTなど)

    フローのフルパスURL

    フロー内の外部リソースの完全なURL

    クライアント

    このネットワークフローを作成したオペレーティングシステムで動作するクライアントアプリケーションの種類(例:Chrome)

    Catoアプリ

    フローで使用されているCatoのアプリケーション

    宛先国

    フロー内の宛先IP の位置

    DNSレスポンスIP

    DNSルックアップによって返されたIPアドレス

    サインインイベント

    (このウィジェットはMicrosoft Entra IDコネクタが必要です)

    アラートの当日とその前の2日間のユーザーのサインインイベントからデータを分類したチャート。 ドロップダウンを使用して、チャート上に表示されるデータのタイプを選択します。 オプションは次のとおりです。

    • 発信元IP - サインインイベントで検出されたソースのIPアドレス

    • サインイン場所 - サインインが行われた地理的位置

    • クライアント分類 - サインインに使用されたクライアントの種類(例:ブラウザの名前とバージョン)

    • ユーザーエージェント - サインインで使用されたユーザーエージェントがHTTPヘッダーのユーザーエージェントフィールドに表示される内容。 以下はユーザーエージェント値の例です。

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • OSタイプ - サインインに使用されたデバイスのオペレーティングシステムの種類(例:Windows、macOS)

    • OSバージョン - サインインに使用されたデバイスのオペレーティングシステムのバージョン番号

    ユーザーのサインインイベント

    (このウィジェットはMicrosoft Entra IDコネクタが必要です)

    アラートの当日および前の2日間のユーザーのサインインイベントからのデータを示します。

    テーブル内の列は次のとおりです。

    • サインインイベントの時間

    • サインインのユーザー名

    • 発信元IP - サインインイベントで検出されたソースのIPアドレス

    • サインイン場所 - サインインが行われた地理的位置

    • アクション - サインイン試行の結果(値: 失敗成功アクセス拒否

    • 失敗理由 - サインイン結果が失敗またはアクセス拒否の説明

    • アプリケーション - ユーザーがサインインを試みたアプリケーション

    • クライアント分類 - サインインに使用されたクライアントの種類(例:ブラウザの名前とバージョン)

    • OSタイプ - サインインに使用されたデバイスのオペレーティングシステムの種類(例:Windows、macOS)

    • OSバージョン - サインインに使用されたデバイスのオペレーティングシステムのバージョン番号

    • ユーザーエージェント - サインインで使用されたユーザーエージェントは、トラフィックのHTTPヘッダーのユーザーエージェントフィールドに表示されます。 これらはユーザーエージェント値の例です:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    関連するストーリーの概要の理解

    XDR_Related_Stories.png

    関連するストーリーの概要は、同じソースを持つストーリーとネットワーク上の異なるソースに関連する類似した特徴を持つストーリーを迅速に確認することで、調査しているストーリーのコンテキストを提供します。 概要は、各関連ストーリーの主要な詳細を示し、関連するストーリーのために事前にフィルタリングされたXDR インシデント検出を開くか、特定の関連ストーリーのために検出 & 対応のストーリーページを容易に開くことができます。

    関連するストーリーの概要には以下のテーブルが含まれています:

    • 最も類似したストーリーのテーブルは、調査されているこのストーリーと同じ指標やターゲットなど、類似した特徴を持つストーリーにネットワーク内の他のソースが関与しているかどうかを迅速に確認できます。 このテーブルには、ターゲットの類似性 のスコアに基づいて最大5つの類似したストーリーが表示されます。 テーブルは特定の時間範囲には制限されません。

    • ソース上のストーリーのテーブルは、選択した時間範囲内で、このストーリーのソースによって生成されたすべてのストーリーを表示します。 デフォルトの時間範囲は直近の2週間です。 これにより、このソースに対する活動のより広範なコンテキストを評価できます。 例えば、これにより、このストーリー内の動作がこの特定のソースにとって異常か通常のものであるかを判断するのに役立ちます。

    次のアクションは両方のテーブルで実行できます:

    • テーブル内のストーリーを表示するために事前フィルターされたXDR インシデント検出を開くには、「ワークベンチで表示」 をクリックします

    • ストーリー行をクリックして、そのストーリーの検出 & 対応のストーリーページを開く

    これらは関連するストーリーのテーブル内の列です:

    • 作成時間 - ストーリーが生成された時間

    • 最終更新 - 新しいターゲットや判定の変更など、最新のストーリー更新の時間

    • インディケーション - ストーリーの攻撃指標。 インディケーションについて詳しくは、インディケーションカタログの使用を参照してください

      • Open_in_New_Tab.png をクリックして、このストーリーの検出&レスポンスストーリーページを新しいタブで開きます

      • インジケーションの詳細を知るには、Tooltip_icon.png をクリックします

    • ソース - ネットワーク内のIPアドレス、デバイス名、またはSDPユーザー名

    • ターゲットの類似性 (最も類似したストーリーのみ) - 機械学習モデルによって計算された、調査されたストーリーと共通するターゲットの類似度レベル (パーセンテージで示されます)

    • 一般的なターゲット (最も類似したストーリーのみ) - 調査されているストーリーと共通のターゲットURLやIPアドレス

    • 重大度 - ストーリーに関するCatoのリスク分析 (値は1 (低リスク) - 10 (高リスク)の範囲です)

    • ストーリーのステータス - 値には以下が含まれます:

      • オープン - ストーリーは生成され、未解決の状態です

      • 保留中 顧客 - ストーリーは顧客に送信され、返答待ちです

      • 保留中 アナリスト - セキュリティアナリストからのさらなる情報待ちです

      • クローズ - セキュリティアナリストがストーリーを閉じました

      • 再オープン - XOpsプロデューサーがクローズドストーリーに一致する新しいトラフィックを検出し、自動的にストーリーを再オープンしてさらなるレビューを可能にしました。 ストーリーが最初にクローズされた後に12時間またはそれ以上経過した後に検出されたトラフィックに対して、ストーリーが再開されます。 12時間以内にストーリーが再開されることはありません。これにより、緩和またはミュートによるストーリーの処理が可能になります

    • アナリストの判断 - アナリストによってストーリーに割り当てられた判定

    • アナリストによる分類 - アナリストによって定義された脅威の種類の詳細な分類

    この記事は役に立ちましたか?

    1人中1人がこの記事が役に立ったと言っています

    0件のコメント