MDR顧客のための検知と対応のストーリーをレビューする

検知&対応ストーリーの概要

Cato検知&対応は、脅威のためのストーリーを生成する新しいセキュリティレイヤーです。 Catoの高度な相関エンジンがトラフィックデータを分析し、潜在的な脅威に一致すると、ストーリーを生成します。ストーリーには、共通のプロパティを持つトラフィックフローのデータが含まれており、同じ脅威に関連しています。ストーリーワークベンチは、各ストーリーの詳細を表示し、脅威を理解し分析するのに役立ちます。ストーリーを並べ替えたりフィルタリングしたりして、最も重要な潜在的攻撃を見つけ、そのストーリーを詳細に調査することができます。

ストーリーに含まれるデータの例は次のとおりです：

ネットワーク内のソース
ネットワークトラフィックの外部ターゲット
脅威の識別と説明
関連する地理的位置
関連アプリケーション
関連するトラフィックフロー
Cato内部データによるターゲットの人気度
Cato脅威インテリジェンスアルゴリズムによるターゲットの悪意スコア

前提条件

このバージョンの検知&対応機能は、Cato MDR顧客のみ利用可能です。 MDRサービスの購読について詳しくは、Catoの担当者にお問い合わせください。

ストーリーワークベンチを表示

ストーリーワークベンチは、アカウント内の潜在的な脅威に対するストーリーの概要を示します。

ストーリーワークベンチを表示するには：

ナビゲーションメニューから、ホーム> ストーリーワークベンチをクリックします。

ストーリー列を理解する

列	説明
ID	このストーリーのユニークCato ID
作成日	ストーリーの最初のトラフィックフローの日付
更新済み	ストーリーの最新のトラフィックフローの日付
リスクスコア	ストーリーに対するCatoのリスク分析（値は1 - 10）
IoA	ストーリーの攻撃指標
ソース	ストーリーに影響を受けたネットワーク内のデバイスの名前またはIPアドレス
種類	脅威ハンティング - Catoのアルゴリズムと機械学習が潜在的なセキュリティインシデントを検出したストーリー使用量の異常 - アプリケーションが潜在的なセキュリティインシデントを示す異常な動作をしたストーリーイベント異常 - ネットワーク内のエンティティによって異常な数のセキュリティイベントがトリガーされたストーリー
ステータス	保留中顧客 - ストーリーが顧客に送信され、彼らの対応を待っています保留中アナリスト - Cato セキュリティアナリストからの追加情報を待機中クローズド - Cato セキュリティアナリストがインシデントをクローズしました

ストーリーのグループ化

ストーリーをレビューする際にコンテキストを提供するために、ソース、表示、ステータス、および種類を含む詳細によって定義されたグループでストーリーを表示できます。例えば、特定の送信元IPアドレスに関連するすべてのストーリーや、すべてのドメイン占有のストーリーを一緒に表示することができます。これはストーリーを分析する際に広い視点を提供し、より早く、より正確な結論に到達するのに役立つ可能性があります。

各グループは、そのグループ内のストーリーに対する重大度を強調表示します。高、中、低の重大度のストーリーの数を含みます。

ストーリーをXDRインシデント検出でグループ化する方法：

ナビゲーションメニューから、ホーム > XDR インシデント検出をクリックします。
グループ化 ドロップダウンメニューから、必要な基準を選択します。

ストーリーは展開可能なグループで表示されます。

ストーリーのフィルタリング

XDRインシデント検出におけるデータをフィルターする方法は2つあります：選択したアイテムでフィルターを自動的に更新するか、フィルターを手動で設定するかです。

アイテムの自動フィルタリング

フィルターオプションが利用可能なアイテムやフィールドの上にカーソルを置くと、ボタンが表示されます。アイコンをクリックしてフィルターオプションを表示します：

フィルタに追加 - アイテムをフィルタに追加し、XDRインシデント検出はこのアイテムを含むストーリーのみを表示します。例えば、特定のリスクスコアのフィルタを適用した場合、画面にはそのリスクスコアを持つストーリーのみが表示されます。
フィルタから除外 - このアイテムを除外するようにフィルタを更新し、XDR インシデント検出はこのアイテムを含まないストーリーのみを表示します。

フィルタにアイテムを追加し続けることができ、フィルタを更新してさらに詳細を掘り下げるには、もう一度をクリックしてください。

時間範囲を選択する

XDR インシデント検出のデフォルトの時間範囲は、過去2日間です。ストーリーをより長いまたは短い期間表示するために、異なる時間範囲を選択できます。詳細については、時間範囲フィルタの設定を参照してください。

XDR インシデント検出の最大日付範囲は90日です。

フィルタを手動で設定する

ストーリーを分析する際に、より詳細な設定のためにストーリーフィルタを手動で設定できます。フィルターを設定した後、ストーリーフィルタバーに追加され、新しいフィルターに一致するストーリーを表示するために画面が自動的に更新されます。

フィルタを作成するには：

フィルタバーで、をクリックします。
入力を開始するか、フィールドを選択します。
フィールドと検索する値の関係を決定するオペレーターを選択します。
値を選択します。
フィルタを追加をクリックします。フィルタはフィルタバーに追加され、XDR インシデント検出がフィルタに基づいてストーリーを表示するように更新されます。

フィルタをクリアする

フィルタ内の各アイテムを個別に削除するか、全体をクリアできます。

XDR インシデント検出のフィルタをクリアするには：

単一のフィルタをクリアするには、フィルタの横にあるをクリックします（上記のアイテム1）。
すべてのフィルタをクリアするには、フィルタバーの右端のXをクリックします（上記のアイテム2）。

ストーリーを掘り下げて分析する

XDR インシデント検出でストーリーをクリックすると、別の画面で詳細を調査できます。この画面には、潜在的な脅威を評価するのに役立ついくつかのウィジェットが含まれています。脅威ハンティングや使用量の異常に関するストーリーのデータを分析するための特化したウィジェットがあります。

脅威ハンティングウィジェットを理解する

これらは脅威ハンティングストーリーのためのウィジェットです：

アイテム

名前

説明

ストーリーの概要

ストーリーに関する基本的な情報の概要、以下を含む：

脅威のカテゴリ
アナリストによって判断された脅威の深刻度
攻撃に関連付けられたシグナル（トラフィックフロー）の数
侵害されたデバイスの数
ストーリーのステータス

ストーリーのタイムライン

ストーリーのタイムラインを表示し、ストーリーの判定や深刻度の変更、新しいターゲットが識別された時期などを示します

詳細

ストーリーを分析するための重要な情報、脅威の説明、関連トラフィックで検出されたカトの脅威シグネチャ、および脅威に対して識別されたMITRE ATT&CK®テクニックを含む。

MITRE ATT&CK®フレームワークについて詳しくは、MITRE ATT&CK® ダッシュボードの操作をご覧ください。

署名の上にマウスをホバーしてサマリーイベントログを表示します
署名をクリックして署名用にフィルタ済みのイベント画面を開きます
MITRE ATT&CK®技術をクリックしてMITRE ATT&CK®ウェブサイトでその説明を読む

送信元

脅威によって影響を受けたネットワーク内のデバイスに関する基本情報

攻撃の地理的位置情報

ネットワーク内の送信元（オレンジ色の位置）および外部送信元（赤色の位置）の地理的な位置を示します。送信元を繋ぐ矢印はトラフィックの方向を示します

攻撃分布

攻撃関連フローの時間配分。

グラフを読みやすくするために、ターゲットでターゲットをクリックして、そのデータをグラフから隠します
攻撃の詳細を表示するには、グラフの上にマウスをホバーします

ターゲット

ネットワークサイト外部の潜在的に悪意のあるソースに関するデータを表示します。

コラム	説明
作成日	対象ドメインの登録日
ターゲット	ストーリーに関連するトラフィックフローで特定された外部ソースのドメインまたはIPアドレス
ターゲットリンク	さまざまな脅威インテリジェンスソースでターゲットを検索するためのリンク。追加情報を得るには、ウイルス総合アイコンをクリックするか、ドロップダウンメニューから他のリソースを選択してください。
悪意のあるスコア	Catoの脅威インテリジェンスアルゴリズムに基づくターゲットの悪意スコア。リスクスコアは、0 (良性) から 1 (悪意のある) までの範囲です
人気度	ターゲットがCatoの内部データソースにどのくらいの頻度で表示されるか。値は以下の通りです：不人気、低、中、高
カテゴリ	ターゲットドメインのためのCatoカテゴリ
脅威インテリジェンスソース	ターゲットを悪意のあるものとして検出したCatoの脅威インテリジェンスソースの数
サードパーティエンジン	ターゲットを悪意のあるものとして検出したサードパーティのセキュリティエンジンの数
国	対象ドメインが登録されている国
Googleの検索ヒット数	ターゲットに関するGoogleの検索結果の数

攻撃関連フロー

攻撃に関連するトラフィックフローの代表的なサンプルのデータを表示します。

コラム	説明
ターゲット	フローの対象ドメイン/IP
開始時間	フローの開始時刻のタイムスタンプ
方向	フローの方向。方向には以下が含まれます：インバウンド - 外部ソースからあなたのネットワークへ向かうトラフィックアウトバウンド - あなたのネットワークから外部ソースへのトラフィック WANバウンド - あなたのネットワークからネットワーク上の別のサイトへのトラフィック
ソースIP	ネットワーク内でフローを送信または受信しているソースIPアドレス
送信元ポート	ネットワーク内でフローを送信または受信している送信元ポート
宛先IP	フローを送信または受信する外部ターゲットのIPアドレス
宛先ポート	フローを送信または受信する外部ターゲットのポート
メソッド	フロー内のHTTPメソッド (GET、POSTなど)
フローのフルパスURL	フロー内の外部リソースの完全なURL
HTTPレスポンスコード	クライアントからのブラウザ側リクエストに対するターゲットによって発行されたステータスコード
クライアント	フロー内のクライアントタイプ
フローで使用されているアプリケーション	フローで使用されているCatoのアプリケーション
参照元	要求されたリソースへのリンクを含む元のウェブサイトのアドレス
ユーザーエージェント	フロー内のHTTPリクエストヘッダーのユーザーエージェントフィールドで特定されたエージェント（例：ブラウザのバージョン）
宛先国	フロー内での宛先IPの位置

使用量の異常ウィジェットを理解する

これらは使用量の異常ストーリーのウィジェットです：

アイテム	名前	説明
1	ストーリーの概要	ストーリーについての基礎情報の概要を提供し、以下を含みます：異常の名称セベリティ異常な行動を特定するための機械学習モデルのトレーニング期間ストーリーのステータス
2	詳細	ストーリーを分析するためのキー情報、脅威の説明と概要、およびその脅威に特定されたMITRE ATT&CK®技術を含む。 MITRE ATT&CK®フレームワークの詳細については、MITRE ATT&CK®ダッシュボードの操作をご覧ください。 MITRE ATT&CK®ウェブサイトでその記述を読むには、MITRE ATT&CK®テクニックをクリックしてください
3	異常の分布	過去14日間の異常な行動のグラフグラフにマウスを重ねると異常の詳細が表示されます異常に関連するアプリのために事前フィルターされたアプリケーション分析画面を開くには、すべて表示をクリックします
4	トップホスト	異常に関連するトップホスト、関連する詳細が含まれています。例として、上り帯域幅の異常では、ホストからのアップロード数が表示されます異常に関連するアプリのホストを事前フィルターされた状態で表示するために、アプリケーション分析画面を開くには、すべて表示をクリックしてください
5	トップアプリケーション	異常に関連するトップアプリケーション、関連する詳細が含まれています。例として、上り帯域幅の異常では、アプリからのアップロード数が表示されます異常に関連するアプリのために事前フィルターされたアプリケーション分析画面を開くには、すべて表示をクリックします
6	トップサーバー/宛先	異常に関連するトップサーバーと宛先、関連する詳細が含まれています。例として、上り帯域幅の異常では、サーバーへのアップロード回数が表示されます異常に関連するアプリのために事前フィルターされた宛先を表示するために、アプリケーション分析画面を開くには、すべて表示をクリックします

チケットストーリーのレビュー

Cato MDRチームは、重要なストーリーに関する通知を行うためにチケットを開きます。チケットを受け取ると、提供されたリンクをクリックすることで、XDR インシデント検出でストーリーを簡単にレビューできます。これはサンプルチケットです：