XOpsセキュリティストーリーの掘り下げと分析

この記事では、Detection & Response Storyページを使用して、アカウント内の潜在的な脅威のストーリーを分析する方法について説明します。

概要

ストーリーワークベンチでストーリーをクリックすると、Detection & Response Storyページの詳細を掘り下げて調査できます。 このページにはストーリーの概要と関連するストーリーの概要が含まれています。 概要にはXOpsエンジンによって特定された潜在的な脅威を評価するためのウィジェットが多数含まれています。一方、関連するストーリーの概要は、分析のためにストーリーをより広い文脈に配置するのに役立ちます。

AIストーリーの概要を生成する

ストーリーワークベンチの掘り下げには、AIによって生成された自然言語のストーリー記述を作成できるツールが含まれており、これによって豊富なコンテキストが提供され、ストーリーを迅速に評価するのに役立ちます。 ストーリーサマリーは、ストーリーの現在の状態を反映するために動的に生成されます。 ストーリーが新しい情報で更新された場合、変更を反映するためにサマリーを再生成できます。

  • AIストーリーの概要は管理者によってオンデマンドでのみ生成されます

トークン化による機密データの保護

ストーリーデータをサードパーティのAIサービスに送信する際の堅牢なデータセキュリティのために、CatoはXOpsプラットフォーム内にすべての機密データが保持されるよう、トークン化を使用しています。 これは、機密情報を「トークン」という一意の識別子に置き換えることを含み、データを無認可の存在に対して意味のないものにします。 機密データはサードパーティサービスにさらされることはありません。 このアプローチは、ストーリーの詳細の機密性を確保し、堅牢なデータプライバシーとセキュリティ標準への取り組みに適合します。

注意

ノート: 生成AIの制限により、ストーリーサマリーで提供される情報には不正確さが含まれることがあります。

ストーリーの深掘りと分析

検出と対応のストーリーには、特定された脅威を評価するためのウィジェットが含まれています。 ストーリー内で、関連するアラートやプロセス、ファイル、レジストリ値、スケジュールされたタスク、ネットワーク活動などの証拠を確認できます。 この証拠は以下の何れかで提示されます:

  • 特定のアラートのコンテキストで提示される時系列プロセスツリー。 これは疑わしいと見なされたイベントのシーケンスと、アラートを生成した順序を理解するのに役立ちます。

    ノート: API接続の問題により、これは一部のストーリーで利用できない場合があります。

  • 証拠テーブルは、ストーリーの証拠の概要を提供します。 これにより、端末デバイスで特定の悪意のあるまたは疑わしい活動の普及状況をより広く評価するのに役立ちます。

ストーリー概要ウィジェットの理解

Detection___Response_Story_Overview.png

これらはストーリー概要ウィジェットです:

注意

ノート: すべてのウィジェットがすべてのストーリーに含まれるわけではありません。 各ストーリーのウィジェットは、ストーリータイプと利用可能なデータに依存します。

名前 説明
ストーリーの概要

概要は、次を含むストーリーの基本情報の概要を表示します:

  • 検出された攻撃の兆候
  • ストーリーを作成した検出と対応エンジン
  • アナリストによって決定された脅威のセベリティ
  • アナリストによって決定された脅威の判定
  • 攻撃タイプ(例:ブラウザ拡張機能、ネイティブアプリケーション、スキャナー、Webアプリ)
  • アナリストによって決定された脅威の詳細な分類(例:ポートスキャン、新規登録ドメイン、SMBスキャン)
  • 侵害されたデバイスの数
  • 攻撃に関連する信号(トラフィックフロー)の数
  • 作成以来のストーリーの期間
  • ストーリーステータス

アクションドロップダウンメニューを使用して、ストーリーを管理するを選択し、アナリストの判定、アナリストの重大度、ステータス、分類などのストーリー設定を変更します。

関連するストーリータブは、調査中のストーリーに対して、同じソースや異なるソースを含む類似した特徴を持つストーリーを迅速に確認することでコンテキストを提供します。
ストーリータイムライン ストーリーの判定やセベリティの変更、新たに特定された関連ターゲットなど、ストーリーのタイムラインを表示します。
詳細

次を含むストーリーの分析における重要な情報:脅威の説明、および脅威に対して特定されたMITRE ATT&CK®の技術。

  • AIサマリーを生成をクリックして、ストーリーの豊かなコンテキストを提供し、迅速な評価を可能にする自然言語による説明を入手してください。

その他の詳細は以下の通りです:

  • 重大度 - Catoの機械学習リスク分析アルゴリズムにより算出されたストーリーに対する総合的なリスクスコア(値は1から10まで)

    この機械学習モデルは、ランダムフォレストとして知られ、脅威情報(TI)とネットワークフローやイベントから生成されるデータの特定のパラメータを分析して重大度を計算します。

    ランダムフォレストは、多くの小さな「決定木」の結果を組み合わせて精度と信頼性を向上させるMLモデルの一種です。 これらは、セキュリティ脅威のような複雑な多要素データの評価に特に有用です。

    重大度を評価するために、モデルは以下のような重要な要素を考慮します:

    • OSタイプ
    • Cato内でのドメインの人気度
    • クライアント分類
    • イベントを作成するセキュリティエンジンのタイプ(該当する場合)
    • 実行されたアクション(ブロック、モニタリングなど)
    • MITRE攻撃手法
    • IPロケーション
    • WHOISデータ

    合計で、モデルはストーリーの重大度を包括的かつ正確に評価するために40以上のパラメータを評価します。

  • 予測された判定および予測されたタイプ:潜在的な判定および識別される可能性のあるマルウェアタイプに対する機械学習の予測に基づきます。 機械学習アルゴリズムは、類似のストーリーの最終判定を分析します。

MITRE ATT&CK®フレームワークの詳細については、MITRE ATT&CK® ダッシュボードの利用をご覧ください。

  • MITRE ATT&CK®の手法をクリックして、その説明をMITRE ATT&CK®のウェブサイトで参照してください。
エンティティ ストーリーが発生したエンティティ。 これらはユーザー、サイト、データストア、アプリケーションなどであり得ます。
警告/インシデント/検出

ストーリーに関連するアラートの詳細を表示します。

  • アラートを展開して、そのアラートに関連するプロセス、ファイル、レジストリ値を含む、証拠の時系列プロセスツリーを表示します。
  • プロセスツリー内のアイテムをクリックして、証拠に関する詳細データをさらに掘り下げて表示します。

これらはテーブル内の列です:

  • 疑わしい活動を記述するもの
  • クリティカリティ - アラートに対するCatoの機械学習リスク分析アルゴリズムによって算出された総合的なリスクスコア(値は1から10の範囲)

  • MITRE Techniques - 脅威に特定されたMITRE ATT&CK®技術

    MITRE ATT&CK®フレームワークについて詳しくは、MITRE ATT&CK® ダッシュボードの使用をご覧ください。

  • ステータス - アラートが新しいか既に解決済みかを示します
  • 最初の活動日 - アラートで検出された最初の疑わしい活動の日付
  • 最後の活動日 - アラートで検出された直近の疑わしい活動の日付
  • 脅威名 - 検出されたマルウェアの名前。 例: Trojan:Win32/Startpage
  • 説明と推奨アクション - 短いアラート説明を表示し、脅威の調査と緩和のための推奨手順を表示をクリックして確認してください
  • ターゲット - アラートに関与するURL
  • 宛先IP - ストーリーに関与するリモートIPアドレス
証拠

さまざまなストーリーアラートについて、証拠で識別されたプロセスファイル、およびレジストリ値の詳細を集約します。

証拠テーブルのいくつかの列はすべてのタイプの証拠で共有され、一部はタイプごとに固有です。

すべてのタイプの証拠に表示される列は以下です:

  • 判定 - Defenderによって生成された証拠に関する判定(悪意のある疑わしい、または脅威なし
  • 修復ステータス - 脅威が修復されたかどうかを示します
  • 作成日 - イベントが記録された日付と時間

これは各証拠タイプの特定の列です:

  • プロセス:

    • プロセス名 - プロセスの実行可能ファイルの名前
    • プロセスID - Windowsによって割り当てられたプロセスのID番号
    • プロセスのコマンドライン - Windowsでプロセスに渡された引数。 これは疑わしいプロセスの実行に関する重要なコンテキストを明らかにすることができます
    • ファイルパス - プロセスの実行可能ファイルのエンドポイントデバイス上の場所

  • ファイル:

    • ファイルパス - ファイルのエンドポイントデバイス上の場所
    • ファイル名 - 拡張子を含むファイルの名前
    • ファイルサイズ - ファイルのサイズはバイト、キロバイト、メガバイトで表示されます

  • レジストリ:

    • レジストリ キー名前
    • レジストリ値のタイプ - レジストリ値に保存されたデータの形式
    • レジストリ値 - レジストリエントリーの値
攻撃の地理位置情報 あなたのネットワーク内のソース(オレンジの場所)と、脅威に関連する外部ソース(赤い場所)の地理位置を示します。 ソースを結ぶ矢印はトラフィックの方向を示します
ターゲットアクション

各ターゲットに関連するイベントは、次の情報を含みます:

説明
ターゲット ストーリーに関連するトラフィックフローで識別された外部ソースのドメインまたはIPアドレス
タイプ ターゲットに関連するイベントを生成したセキュリティエンジン
アクション ターゲットに関連するトラフィックに対して行われたアクション
関連イベント

ターゲットに関連するイベントに現れる脅威シグネチャを示します。

  • 署名にマウスを置くと、概要イベントログが表示されます
  • 署名をクリックして、署名でプリフィルターされたイベントページを開きます
攻撃の分布

攻撃に関連するフローの時間分布です。

  • グラフを読みやすくするために、ターゲットで、データを非表示にするターゲットをクリックします
  • 攻撃の詳細を表示するには、グラフにマウスを合わせます
ターゲット

ストーリーに関連してあなたのネットワークサイト外部の潜在的に悪意のあるソースのデータを示します。

説明
作成日 ターゲットドメインの登録日
ターゲット ストーリーに関連するトラフィックフローで識別された外部ソースのドメインまたはIPアドレス
ターゲットリンク

さまざまな外部脅威インテリジェンスソースでターゲットを調べるためのリンクです。

追加情報については、VirusTotalアイコンをクリックするか、ドロップダウンメニューから他のリソースを選択してください。
悪意のあるスコア Catoの脅威インテリジェンスアルゴリズムによるターゲットの悪意のあるスコアです。 スコア範囲は0(良性)から1(悪性)までです
人気度 Cato内部データソースでターゲットが出現する頻度。 値は次の通りです: 不人気、低、中、高
カテゴリ ターゲットドメインのCatoカテゴリ
脅威フィード ターゲットを悪意があると検出したCato脅威インテリジェンスソースの数
エンジン ターゲットを悪意があると検出したサードパーティ製セキュリティエンジンの数
登録国 ターゲットドメインが登録されている国
Google検索ヒット数 ターゲットのGoogle検索結果の数
攻撃関連フロー

攻撃に関連するイベントの代表的なサンプルを示します。

説明
ターゲット 関連通信フローのターゲットドメインまたはIP
開始時間 フローの開始時刻のタイムスタンプ
方向

フローの方向。 方向には以下が含まれます:

  • インバウンド - 外部ソースに起因するネットワークへのトラフィック
  • アウトバウンド - ネットワークから外部ソースへのトラフィック
  • WANバウンド - ネットワークから同じネットワーク内の他のサイトへのトラフィック
送信元IP フローを送受信するネットワーク内の送信元IPアドレス
送信元ポート フローを送受信するネットワーク内の送信元ポート
宛先IP フローを送受信する外部ターゲットのIPアドレス
宛先ポート フローを送受信する外部ターゲットのポート
メソッド フロー内のHTTPメソッド(GET、POSTなど)
フルパスURL フローにおける外部リソースの完全なURL
クライアント このネットワークフローを作成したオペレーティングシステムで動作するクライアントアプリケーションの種類(例: Chrome)
Catoアプリ フローで使用されるCatoアプリケーション
宛先国 フローにおける宛先IPの場所
DNSレスポンスIP DNS検索によって返されたIPアドレス

サインインイベント

(このウィジェットにはMicrosoft Entra IDコネクタが必要です)

警告の日付とそれに続く2日間のユーザーのサインインイベントからのデータの内訳を示すチャートです。 ドロップダウンを使用して、チャートに表示するデータタイプを選択します。 これらはオプションです:

  • ソース IP - サインインイベントで検出されたソースのIPアドレス
  • サインイン場所 - サインインが行われた地理的位置
  • クライアント分類 - サインインに使用されたクライアントの種類(例: ブラウザ名とバージョン)

  • ユーザーエージェント - トラフィックのHTTPヘッダーのユーザーエージェントフィールドに表示されるサインインで使用されたユーザーエージェント。 これらはユーザーエージェント値の例です:

    • Chrome/90.0.4430.212
    • Safari/537.36
    • Mozilla/5.0 (Windows NT 10.0; Win64; x64)
  • OS種別 - サインインに使用されたデバイスのオペレーティングシステムの種類(例: Windows, macOS)
  • OSバージョン - サインインに使用されたデバイスのオペレーティングシステムのバージョン番号

ユーザーのサインインイベント

(このウィジェットにはMicrosoft Entra IDコネクタが必要です)

警告の日付およびその前2日間のユーザーのサインインイベントからのデータを表示します。

これはテーブル内の列です:

  • サインインイベントの時間
  • サインインのユーザー名
  • ソース IP - サインインイベントで検出されたソースのIPアドレス
  • サインイン場所 - サインインが行われた地理的位置
  • アクション - サインイン試行の結果(値: 失敗, 成功, アクセス拒否
  • 失敗の理由 - 失敗 または アクセス拒否 のサインイン結果の説明
  • アプリケーション - ユーザーがサインインを試みたアプリケーション
  • クライアント分類 - サインインに使用されたクライアントの種類(例: ブラウザ名とバージョン)
  • OS種別 - サインインに使用されたデバイスのオペレーティングシステムの種類(例: Windows, macOS)
  • OSバージョン - サインインに使用されたデバイスのオペレーティングシステムのバージョン番号

  • ユーザーエージェント - トラフィックのHTTPヘッダーのユーザーエージェントフィールドに表示されるサインインで使用されたユーザーエージェント。 これらはユーザーエージェント値の例です:

    • Chrome/90.0.4430.212
    • Safari/537.36
    • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

関連ストーリーサマリーを理解する

XDR_Related_Stories.png

関連ストーリーのサマリーは、調査中のストーリーの文脈を提供し、同じソースを持つストーリーや、ネットワーク上で異なるソースを持つ類似の特徴を持つストーリーを素早く確認できるようにします。 サマリーは、関連するストーリーごとの主要な詳細を示し、関連するストーリー用に予めフィルタリングされたストーリー作業台や、特定の関連ストーリーの検出&応答ストーリーページを簡単に開くことができます。

これは、関連ストーリーのサマリー内のテーブルです:

  • トップ類似ストーリー テーブルでは、ネットワーク内の他のソースが、このストーリーを調査中のインディケーションやターゲットといった類似した特徴を持つストーリーに関与しているかどうかを素早く確認できます。 このテーブルは、ターゲット類似性 スコアに基づいて、最大5件の類似ストーリーを表示します。 このテーブルは特定の期間に制限されません。
  • ソースに対するストーリー テーブルは、選択した期間内に、このストーリーで生成されたすべてのストーリーを表示します。 デフォルトの時間範囲は過去2週間です。 これにより、このソースの活動の広範な文脈を評価できます。 例えば、これにより、このストーリーの行動がこの特定のソースにとって異常または通常であるかどうかを判断するのに役立ちます。

以下のアクションは両方のテーブルで実行可能です:

  • ワークベンチで表示 をクリックして、テーブル内のストーリーを表示するように予めフィルタリングされたストーリー作業台を開きます
  • ストーリーの行をクリックして、そのストーリーの検出&応答ストーリーページを開きます

これは、関連ストーリーのテーブル内の列です:

  • ストーリーが生成された作成時間
  • 最新のストーリー更新の最終更新 (例: 新しいターゲットまたは変更された判決)

  • インディケーション - ストーリーの攻撃の指標。 インディケーションについて詳しくは、インディケーションカタログの使用をご覧ください.

    • Open_in_New_Tab.pngをクリックして、このストーリーの検出と対応ページを新しいタブで開きます。
    • Tooltip_icon.pngをクリックして、表示に関するより詳しい情報を参照してください。
  • ソース - ストーリーに関与しているネットワーク上のデバイス名またはSDPユーザーなどのIPアドレス
  • ターゲット類似性 (トップ類似ストーリーのみ) - 調査中のストーリーと共通するターゲットの類似度レベル。機械学習モデルによって計算されたパーセンテージで示されます。
  • 共通ターゲット (トップ類似ストーリーのみ) - 調査中のストーリーとの共通ターゲットのURLまたはIPアドレス
  • 重大度 - Catoによるストーリーのリスク分析(値は1(低リスク)から10(高リスク)まで)

  • ストーリーのステータス - 値を含む:

    • オープン - ストーリーが生成され解決されていない
    • 顧客保留中 - ストーリーが顧客に送信され、応答待ち
    • アナリスト保留中 - セキュリティアナリストからのさらなる情報を待っている
    • クローズ - セキュリティアナリストがストーリーを閉じた
    • 再オープン - XOps プロデューサーが閉じたストーリーと一致する新しいトラフィックを検出し、さらにレビューできるようにストーリーを自動的に再オープンしました。 ストーリーは、最初に閉じられたストーリーから12時間以上経過して検出されたトラフィックについて再度開かれます。 12時間以内であれば、ストーリーを軽減またはミュートすることで処理できるようにするために再度開くことはありません。
  • アナリストの評価 - アナリストによってストーリーに割り当てられた評価
  • アナリストの分類 - アナリストによって定義された脅威タイプの詳細な分類

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント