この記事では、Cato XOpsプラットフォームのセキュリティおよびネットワーク運用機能、および異なるXOpsライセンス層に含まれる内容について説明します。
Cato XOps プラットフォームにより、セキュリティオペレーションとネットワーク運用のチームがAIと自動化を利用して、組織のネットワークのセキュリティ脅威やネットワークパフォーマンス問題をモニタすることができます。 XOpsは、膨大なセキュリティおよびネットワークイベントを、消費可能で、機能横断的で、実行可能なストーリーに変換します。
プラットフォームには、多種多様な高度な相関エンジンが含まれており、トラフィックデータを分析して、脅威活動やネットワークの問題の特定の指標に一致するものを見つけます。 エンジンが一致を見つけると、Cato管理アプリケーション(CMA)でレビューおよび調査可能なストーリーを生成します。 CMAはこれらのエンジンをプロデューサーと呼びます。
各XOpsストーリーには、同じ脅威やネットワークの問題に関連する共通のプロパティを持つトラフィックフローからのデータが含まれています。 ストーリー ワークベンチ ページでは、各ストーリーの詳細を表示して、それらを理解して分析するのに役立てることができます。 ストーリーをソートおよびフィルタリングして、最も重要な潜在的攻撃を特定し、ストーリーにドリルダウンして詳細をさらに調査できます。
これらは、さまざまなXOpsストーリープロデューサーの名前と説明です:
-
脅威防止 - Cato の XOps 脅威防止プロデューサーは、IPS やアンチマルウェアなどの Cato のリアルタイム セキュリティ サービスによって生成されたイベントで、一連の攻撃行動を検出します。 脅威防止ストーリーは、アナリストが即時かつ高信頼の脅威に集中するのを手助けします。
脅威防止ストーリーは通常、セキュリティ サービスのいずれかによってブロックされたトラフィックのイベント、つまり相関されたブロック イベントに基づいています。 しかし、トラフィックが既にブロックされているとはいえ、このトラフィックが進行中の脅威に関係している可能性があります。 XOps ストーリーでは、疑わしいトラフィックのコンテキストと詳細を調査して、さらなる緩和が必要な脅威がまだ存在するかどうかを判断するのに役立てることができます。
脅威防止ストーリーの詳細については、Drilling-Down and Analyzing XOps Security Stories を参照してください。
-
脅威ハンティング - 脅威ハンティング プロデューサーは、膨大な量の過去のトラフィック データを保持するデータ レイク を継続的にスキャンして、潜在的な脅威を示すトラフィック パターンを検出します。 脅威防止プロデューサーが最近のイベントに焦点を当てているのに対し、脅威ハンティングプロデューサーは保存されたトラフィックデータに時間とともに相関を求めます。 正確性を確保するために、1 週間分のデータにわたって相関関係が特定されます。 さらに、脅威防止プロデューサーがイベントログのデータを見るのに対し、脅威ハンティングプロデューサーはトラフィックフローからより広いデータセットを分析します。 これにより、脅威ハンティングプロデューサーは、従来の方法では検出が困難な、より回避しやすい脅威を検出することができます。
以下は、サイバースクワッティングフィッシング脅威に関連する40の異なるトラフィックフロー(シグナル)を特定した脅威ハンティングストーリーの概要ページです:
脅威ハンティングストーリーについての詳細は Drilling-Down and Analyzing XOps Security Stories を参照してください。
-
使用異常 - Catoのユーザーとエンティティの動作分析(UEBA)機能の一部として、このプロデューサーは、機械学習アルゴリズムによって計算されたベースラインと比較して、ユーザーおよびサイトのネットワーク活動の逸脱を生成します。 例えば、特定のユーザーが通常よりも多くの上流帯域幅を使用していることが検出されます。
使用異常ストーリーについての詳細は Analyzing XOps UEBA Stories for Usage and Events Anomalies を参照してください。
-
イベント異常 - CatoのUEBA機能のもう1つの要素として、このプロデューサーは、ネットワーク上のエンティティが通常とは異なる多くのセキュリティイベントを引き起こすことを検出します。 例えば、特定の方向に向けられたトラフィックに対して、ユーザーが通常では考えられないほど多くのIPSブロックイベントに関連付けられている場合、ユーザーのデバイスに潜在的な感染があることを示す可能性があります。
イベント異常ストーリーについての詳細は Analyzing XOps UEBA Stories for Usage and Events Anomalies を参照してください。
-
エクスペリエンス異常: 特定のサイトやアプリケーションのアプリケーションエクスペリエンスにおける異常な変更を検出します。 アプリケーションを14日間モニタリングした後、TTFB(最初のバイトまでの時間)を使用してベースラインを作成します。 プロデューサーはトラフィックを1日に一度確認し、アプリケーションエクスペリエンスがベースラインと著しく異なる場合にストーリーを生成します。 ストーリーは、影響を受けたサイト、アプリケーション、トラフィックフロー、パフォーマンスの問題を確認するのに役立ちます。
-
アカウント運用: ユーザー、サイト、サービスに影響を与える可能性のあるアカウントレベルの問題を検出します。 これには、ディレクトリ同期の失敗、ライセンス使用量の過多、証明書の期限切れ、コネクタの問題、その他設定または運用上の問題が含まれます。 プロデューサーは問題を理解し、そのスコープと影響を確認し、通常の運用を復元するためのガイド付き修復手順に従うストーリーを生成します。
-
予測インサイト: サービスに影響を与える前にパフォーマンスと可用性のリスクを検出します。 これは、ネットワークのトレンド、リソース使用状況、設定のコンテキストを分析し、問題の発生を予測します。 サイトのソケットが許容されるCPU使用率を超えると予想される場合に、ストーリーを生成できます。 ストーリーは予測を確認し、問題が重大になる可能性がある時期を理解し、ガイド付き修復手順に従うのに役立ちます。
-
Microsoft Endpoint Alerts - Microsoft Defender for Endpoint を使用する顧客は、Defender アラートデータを Cato XOps と統合して、エンドポイントデバイスのためのストーリーを生成することができます。 Microsoftエンドポイントアラートのプロデューサーは、Defender アラートを同一デバイス上で24時間以内に関連付けてストーリーを作成します。 エンドポイントアラートストーリーには、Defenderによって検出されたアラートに関するすべての関連証拠が含まれています。 このストーリーによって、エンドポイントに焦点を広げることで、ネットワーク内の潜在的な脅威のより完全な概要を把握することができます。
Microsoft Defender for Endpoint と Cato XOps の統合についての詳細は、Microsoft Defender for Endpoint Alerts: Configuring the XOps Integration を参照してください。
-
Microsoft Entra ID Alerts - Microsoft Entra ID Protection からのアラートデータを統合して、Cato XOps ストーリーを生成できます。 これにより、アナリストはリスキーなサインインデータをXOps調査のより広いコンテキストに含めることができます。 Cato Entra Identity Alertエンジンは、同じユーザーのEntra ID保護アラートからデータを相関させて24時間以内にストーリーを作成します。
Entra ID アラートと Cato XOps の統合についての詳細は、Microsoft Entra ID: Configuring the XOps Integration を参照してください。
-
クラウド検出と対応: Wizの問題を使用してクラウド環境のリスクを検出します。 これには、安全でない構成、脆弱なアプリケーション、さらされた資格情報、脅威の検出が含まれます。 プロデューサーは、Wizの問題をほぼリアルタイムで処理し、Stories Workbenchでストーリーを生成します。 これらのストーリーは、WizのクラウドインテリジェンスとCatoのコンテキストを組み合わせて、クラウドリスクを調査し、環境を超えた攻撃を特定するのに役立ちます。
-
Catoエンドポイントアラート - Cato EPPソリューションは、エンドポイントデバイスのストーリーを生成するためにCato XOpsと統合します。 Catoエンドポイントアラートプロデューサーは、24時間以内に同じデバイスで発生したすべてのCato EPPアラートからデータを相関させて、ストーリーを作成します。 Catoエンドポイントアラートストーリーには、Cato EPPによって検出されたすべての関連証拠が含まれています。
Cato エンドポイント アラート ストーリーについての詳細は、Cato Endpoint Protection (EPP): Configuring the XOps Integration を参照してください。
-
SentinelOne アラート - SentinelOne を使用する顧客は、SentinelOne EDR からデータを統合して、エンドポイント デバイスのストーリーを生成できます。 SentinelOneプロデューサーは、90日以内にエージェントUUID(デバイスID)と脅威ファイルハッシュに基づいてSentinelOne EDRインシデントを相関させて、ストーリーを作成します。 これらのストーリーには、SentinelOneによって検出されたインシデントに関するすべての関連証拠が含まれています。 ストーリーは、元のアラートが生成された後、ほぼリアルタイムで作成されます。
SentinelOne アラートの統合についての詳細は、SentinelOne EDR: Configuring the XOps Integration を参照してください。
-
CrowdStrike アラート - CrowdStrike を使用する顧客は、インシデント ID に基づいて CrowdStrike 検出からのデータを統合できます。 これらのストーリーには、CrowdStrikeによって識別された検出に関するすべての関連証拠が含まれています。 ストーリーは、元のアラートが生成された後、ほぼリアルタイムで作成されます。
CrowdStrike アラートの統合についての詳細は、CrowdStrike: Configuring the XOps Integration を参照してください。
-
サイト運用 - Cato XOpsは、ネットワーク運用をセキュリティ運用と一つのプラットフォームに統合する「ネットワークXDR」として正式に知られる「Site Operations」という独自のAIOpsプロデューサーを備えています。 このプロデューサーは、接続性やパフォーマンスに関連するさまざまな指標を検出し、ネットワークに関する問題のためのストーリーを生成します。 例えば、WANリンクが断続的に高いパケットロスを経験している場合、プロデューサーはリンクに関連するすべてのデータを含む1つのストーリーを作成します。
Cato XOps のネットワークストーリーについてさらに詳しくは、サイトオペレーションストーリーを確認してください。
このセクションでは各プロデューサーのユースケースを提供します。
シナリオ
ユーザーがフィッシング リンクをクリックし、エクスプロイト キットをホストしているサイトにリダイレクトされます。
動作の仕組み
Cato の IPS はリアルタイムでエクスプロイト試行を検出し、エンドポイントに到達する前にトラフィックをブロックします。
ストーリー
このプロデューサー作成のストーリーには次が表示されます。
-
ユーザー ID と場所
-
エクスプロイト キットのシグネチャ(例:CVE 参照)
-
実行されたアクション(トラフィックがブロックされました)
結果
セキュリティ チームはエクスプロイトが発生したことを速やかに認識し、エンドポイントへの感染はありません。 彼らは、フィッシングメールが他のユーザーに届いているかどうかをトレースすることができます。 類似したストーリー タブには同じドメインにアクセスしようとした他のユーザーが表示され、イベント ページでは、IPS のシグネチャや CVE の詳細をさらに深く調べて、ネットワーク上の他の場所に浮上しているかどうかを確認できます。
シナリオ
デバイスが毎晩午前 2 時にまれな外部 IP と通信を行います。 その IP は脅威フィードには載っていませんが、通信パターンが疑わしいです。
動作の仕組み
脅威ハンティング エンジンは、データ レイク内の過去のトラフィックを分析します。 これにより、数週間にわたる異常なビーコニングパターンが発見されます。
ストーリー
プロデューサーは次をリンクするストーリーを作成します。
-
同一ホストからの繰り返しのフロー
-
疑わしい宛先の特徴(低評価、まれな ASN)
-
活動の時間軸
結果
SOC アナリストが調査を行い、マルウェアがコマンド アンド コントロール チャンネルを使用していることを発見します。 早期検出によってデータの流出を防ぎます。
シナリオ
HR の従業員が通常毎週約 50 MB のファイルをアップロードします。 突然、彼らは外部のファイル共有サイトに 5 GB をアップロードします。
動作方法
使用異常プロデューサーは、機械学習を利用して現在の活動をユーザーのベースラインと比較します。 急上昇がフラグで表示されます。
ストーリー
ストーリーには次が表示されます。
-
通常のベースラインと新しい行動
-
宛先(Dropbox、Google ドライブなど)
-
トラフィックのタイムスタンプと量
結果
セキュリティは調査を行い、ユーザーが誤って秘密ファイルを個人のアカウントにアップロードしたことを学びます。 ファイルは削除され、Cato は将来このようなケースを防ぐために DLP 制御を強化することを推奨します。
シナリオ
ある IoT デバイスが、これまでに見たことのない、新しいトラフィック方向で通信を開始し、インターネットにデータを送信します。このデバイスの通常の動作は WAN 内でのみ通信することです。
動作の仕組み
イベント異常プロデューサーは、イベントの頻度、ユーザー、サイト、またはデバイスの変化を特定します。
ストーリー
ストーリーは次の点を強調します。
-
このデバイスから観察された通常の動作(WAN 通信)
-
異常な動作:複数の外部 IP アドレスへのリクエストが脅威インテリジェンスフィードに関連付けられました
結果
チームは IoT デバイスを介したコマンド アンド コントロール試行を確認します。 デバイスを隔離し、悪意のある通信をブロックします。
シナリオ
Microsoft Defender for Endpoint はワークステーション上で悪意のある PowerShell スクリプトを検出しました。
動作の仕組み
アラートは Microsoft Defender から Cato にコネクタ経由で転送されます。
ストーリー
XOps プラットフォームは、エンドポイント アラートというプロデューサーのストーリーを、他のプロデューサーの関連ストーリー(例:疑わしい IP への外向きトラフィック)と相関します。
結果
SOC チームには、エンドポイント マルウェアと一致するネットワーク動作の統一ビューが提供され、迅速な封じ込めと根本原因分析が可能になります。
シナリオ
支社が断続的な接続の問題を経験し、主要な ISP リンクが何度も上昇および下降を繰り返しています(フラッピング)。これにより、クラウドアプリケーションと VPN トンネルへのアクセスが中断されます。
動作の仕組み
Cato のサイトオペレーションエンジンはリンクの健全性を継続的に監視します。 複数のリンクダウンおよびリンクアップイベントが近接して発生すると、それらを単一のストーリーにまとめ、孤立したインシデントではなく、不安定性のパターンを特定します。
ストーリー
ストーリーには以下が表示されます:
-
影響を受けたサイトと特定の WAN リンク
-
監視ウィンドウを通じて関連付けられたリンクフラップのタイムライン
-
フラッピングの動作を特定する分析(例:10分以内に5つのリンクダウンイベント)
結果
サイト運用 エンジンは、すべての関連イベントを一つの相関ストーリーに集約し、アラートノイズを軽減し、潜在的な慢性的リンク問題を明らかにします。 ITチームは、バックアップ ISPリンクに切り替えて、プロバイダーと協力して根本原因を解決するため、事前に通知されます。これにより、ダウンタイムの最小化と繰り返しサービス中断の防止が図れます。
XOpsライセンスにより、使用可能なプロデューサーがお客様のアカウントに提供され、そのサービスがCatoによって管理されるかどうかが決まります。 すべてのライセンス層は、以下を含むCato管理アプリケーションのXOpsプラットフォームツールの恩恵を受けます:
以下の表は2025年8月6日から発効するXOpsライセンス層を説明しています。 また、各層で利用可能なプロデューサーについて説明します。 XOpsライセンスの購入については、Cato担当者または公式販売店にお問い合わせください。
|
ライセンス |
説明 |
|---|---|
|
ライセンスなし |
コネクタが設定されている場合、イベントは以下のプロデューサーによって作成されます:
|
|
XOps |
データをストーリーに相関させるプロデューサーのセット、調査するためのプラットフォーム、緩和推奨事項、緩和アクションを含む有償かつ未管理の層です。
|
|
MDR |
ストーリーのセキュリティと管理を向上させる、管理された24/7 SOCサービスを含む有料ティア。 このサービスはCato管理型検出および応答チームによって提供され、以下を含みます:
|
0件のコメント
サインインしてコメントを残してください。