XOpsを使い始める

この記事では、Cato XOpsプラットフォームを使用して脅威を調査するためのベストプラクティスを説明します。

概要

Cato XOpsプラットフォームは、セキュリティオペレーションおよびネットワーク運用のチームに対して、AIと自動化を利用して、セキュリティの脅威とネットワークのパフォーマンス問題のために組織のネットワークをモニタすることを有効にします。 XOpsは、膨大な量の未管理のセキュリティおよびネットワークイベントを、消費可能かつクロスファンクショナルなアクション可能なストーリーに変換します。

この記事では、XOpsを最大限に活用し、組織のセキュリティモニタリングと脅威の修正を大幅に強化するためのベストプラクティスを説明します。 まず、統合を設定してXOpsの機能を拡張することについて説明し、次にストーリーズワークベンチでストーリーを調査するためのエンドツーエンドのワークフローについて説明します。これには次のステップが含まれます:

  1. XOps 統合設定
  2. 最重要ストーリーを特定する
  3. 調査開始のステップ
  4. 判定を設定し、脅威を修正する

XOps の統合を設定する

XOpsプラットフォームの有用性を最大化するためにXOpsストーリーのプロデューサーの数と種類を拡張するサポートされている統合の設定をお勧めします。 潜在的な脅威をより包括的に把握し、ネットワークおよびエンドポイントにまたがる統合されたXOpsプラットフォームで調査を行うために、次のエンドポイントセキュリティ統合のいずれかを設定することをお勧めします。 XOpsプロデューサーの完全なリストについては、Cato XOpsサービスへようこそを参照してください。

  • Microsoft Defender for Endpoint コネクタ - Defender for Endpoint を使用する顧客は、Microsoft API を活用して Defender アラート データを統合し、エンドポイント デバイス用の XOps ストーリーを生成できます。 この統合の詳細については、Microsoft Defender for Endpoint アラート: XOps 統合の設定を参照してください。

  • SentinelOneアラート - SentinelOneを使用している顧客は、SentinelOne EDRからデータを統合して、エンドポイントデバイスのためにストーリーを生成することができます。 SentinelOneプロデューサーは、Agent UUID(デバイスID)と脅威ファイルハッシュに基づいてSentinelOne EDRインシデントデータを関連付けてストーリーを作成し、90日以内に実行します。 これらのストーリーには、SentinelOneによって検出されたインシデントに関連するすべての証拠が含まれています。

    SentinelOne Alertsの統合について詳しくは、SentinelOne EDR: XOps統合の設定を参照してください。

  • CrowdStrike Alerts - CrowdStrikeを使用する顧客は、Incident IDに基づいてCrowdStrikeの検出データを統合できます。 これらのストーリーには、CrowdStrikeによって識別された検出に関連するすべての証拠が含まれています。

    CrowdStrike Alertsの統合について詳しくは、CrowdStrike: XOps統合の設定を参照してください。

  • Cato エンドポイント保護 - Cato EPP ソリューションは、コネクタを設定する必要なく、エンドポイント デバイスのストーリーを生成するために Cato XOps とネイティブに統合されています。 この統合の詳細については、Cato エンドポイント保護 (EPP): XOps 統合の設定を参照してください。

最重要ストーリーを特定する

Stories Workbenchで取り組むべき適切なストーリーを選択することは、XOpsプラットフォームを効果的に活用するための重要な最初のステップです。 Workbench内の提供されるツールと情報を使用して、調査するべき優先度の高いストーリーを迅速に特定できます。 次のステップを推奨します:

  1. ストーリーをグループ化する - グループ化オプションはあなたのアカウントの異なる種類のストーリーの概要を素早く確認でき、送信元やユーザーなどのネットワーク上の特に興味深い項目を示すことができます。 これらは有用なグループ化オプションの例です:

    • 送信元送信元 IP - ストーリーに関わるユーザー、デバイス、および IP アドレスをすばやく確認します
    • プロデューサー - 検出されたストーリーのさまざまなタイプをすばやくレビューします。 さまざまなタイプのプロデューサーについて詳しくは、Cato XOps サービスへようこそをご覧ください。
    • 表示 - 検出された特定の攻撃指標の概要を取得します

    異なるグループ化オプションを順番に選択して、ネットワーク上のストーリーを異なる視点から素早く理解することをお勧めします。これにより、調査に焦点を当てるべき特定の関心領域を特定するのに役立ちます。

    Stories_Workbench_Grouping2.png
  2. 重大度で優先順位を付ける - 重大度スコアが最高のストーリーに集中することから始めます。 これらは、ネットワークに最も重大な影響を与える可能性がある潜在的な脅威です。 重大度 列ヘッダーをクリックしてストーリーを重大度で並べ替えたり、特定の重大度レベルに対してストーリーをフィルタリングすることができます。 また、グループ化 オプションを使用すると、各グループはそのグループの重大度の高いストーリーの数を示します。

調査の開始

調査するストーリーを選択したら、そのストーリーをクリックして、検出&対応のストーリー概要ページで詳細を確認することができます。 ストーリーで何が起こっているのかの初期理解を得るために、次のステップを推奨します:

  1. AIサマリーを生成 - 詳細ウィジェットにはAIが生成した自然言語によるストーリーの説明を作成できるツールが含まれており、豊富なコンテキストを提供し、ストーリーを迅速に評価することができます。 AIサマリーを生成するには、「Generate AI Summary」ボタンをクリックします。

    XDR_Core_Story_Summary.png

  2. トラフィックがブロックされたかを確認 - ターゲットアクションテーブルにはストーリーに関与している各ターゲットに関連するイベントが表示され、IPSなどのセキュリティサービスによってトラフィックにブロックアクションが適用されたかがわかります。 ターゲットへのトラフィックの一部がブロックされなかった場合、ストーリーのリスクレベルは高くなります。 ターゲットへのトラフィックがすべてブロックされていたとしても、このトラフィックがさらに調査が必要な進行中の脅威に関連している可能性があります。

    XDR_Core_Target_Actions.png

  3. ターゲットを評価 - ターゲットテーブルには、ストーリーに関連するネットワークサイト外の潜在的に悪意のあるソースのデータが表示されます。 調査を開始する際に次の列に注目することをお勧めします:

    • 悪意のあるスコア は、Cato の脅威インテリジェンス機械学習アルゴリズムに従って、ターゲットが悪意がある可能性を示します。 スコアは 0 (良性)から 1 (悪意のある)の範囲です
    • ターゲットリンク は、さまざまな外部脅威インテリジェンス ソースでターゲットを検索することでターゲットの評判を理解するのに役立ちます
    XDR_Core_Targets_table.png
  4. XOps プレイブックで作業する - Cato XOps セキュリティ プレイブックは、特定のタイプのストーリーを調査するための体系的なアプローチを提供します。 調査プロセスを通じて案内し、アクション項目を特定するのに役立ちます。 関連するプレイブックを持つストーリーの場合、詳細 ウィジェットでプレイブックへのリンクを見つけることができます。 XOps セキュリティ プレイブックはこちらでも利用可能です。
  5. コメントを使用する - ストーリー調査にチームのメンバー間のコラボレーションが含まれる場合、次にストーリーを調べる分析者にとって重要な情報と文脈を提供するために、コメントを使用して、行われた作業を文書化します。 コメントの使用について詳しくは、XOps ストーリー調査の管理を参照してください。

判定を設定し、修正ステップを取る

ストーリーアクションパネルでは、調査を終了する際に重要なアクションを実行し、重要な情報を記録できます。 一部のアナリストは、判定を設定せずにストーリーを閉じてしまい、調査プロセスの多くの利点を失います。 判定を設定すると、ストーリーに関する有意味な情報を将来の参照用に記録し、修正のための推奨アクションについて学ぶことができます。 既知の脆弱性の悪用試行によってデバイスが侵害されたと判断した後に、判定を設定し基本的な修正ステップを実行するための例のワークフローです:

  1. アクション > ストーリー管理をクリックしてストーリーアクションパネルを開きます。

    XDR_Comment_buttons.png
  2. アナリストの判断悪意のある として設定します。
  3. 脅威のセベリティを定義します。

  4. タイプ悪用試行として定義し、可能であれば脅威のより具体的な分類を定義します。 追加情報フィールドを使用して、調査プロセスや結果に関する詳細を記録します。

    XDR_Core_Example_Verdict.png

  5. 推奨されるアクションを、次のように実行します:

    1. ストーリーで特定した悪意のあるターゲットとソースをブロックするためのファイアウォールルールを作成します。
    2. 脆弱性を修正し、将来の悪用攻撃を回避するためにデバイスのソフトウェアを更新します。
  6. 侵害されたユーザーを特定した場合、ネットワークへのアクセスを防ぐためにユーザーのリモートセッションを取り消すことができます。 リモートセッションの取り消しに関する詳細については、リモートユーザーセッションの取り消しを参照してください。
  7. ストーリーの ステータスクローズド に設定します。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント