탐지 및 대응 XOps 스토리를 스토리 작업대에서 검토하기

이 기사는 XDR 발견 사건을 사용하여 계정의 잠재적인 위협에 대해 스토리를 검토하는 방법에 대해 설명합니다.

검출 및 대응 스토리 개요

Cato 검출 및 대응은 위협에 대한 스토리를 생성하는 추가적인 보안 레이어입니다. Cato의 고급 상관 엔진이 트래픽 데이터를 분석하고 잠재적 위협에 대한 일치를 찾으면 스토리를 생성합니다. 스토리는 동일한 위협과 관련된 일반적인 속성을 가진 트래픽 흐름의 데이터를 포함합니다. 스토리 워크벤치 페이지는 위협을 이해하고 분석하는 데 도움을 주기 위해 각 스토리의 세부사항을 표시합니다. 스토리를 분류하고 필터링하여 가장 중요한 잠재적 공격을 찾은 다음 세부사항을 더 조사하기 위해 특정 스토리를 심층 분석할 수 있습니다.

스토리에 포함될 수 있는 데이터의 예시입니다:

  • 네트워크 내의 출처
  • 네트워크 트래픽의 외부 대상
  • 위협의 식별 및 설명
  • 관련 지리적 위치
  • 관련 애플리케이션
  • 관련 이벤트
  • Cato 내부 데이터에 따른 대상의 인기도
  • Cato 머신 러닝 모델에 따른 대상의 악성 점수

필요한 라이센스

스토리 워크벤치 페이지 표시

연결자가 생성되면 스토리가 스토리 워크벤치에 나타납니다.

스토리 워크벤치 페이지를 보려면:

  • 탐색 메뉴에서 홈 > 스토리 워크벤치를 클릭하세요.

스토리 컬럼 이해하기

1677e55ac56a76.png
컬럼 설명
ID 이 스토리에 대한 고유 Cato ID
생성됨 스토리의 첫 번째 트래픽 흐름에 대한 날짜
업데이트됨 스토리의 가장 최근 트래픽 흐름에 대한 날짜
위험 수준 스토리에 대한 Cato의 위험 분석 (값은 1 - 10 사이입니다)
지표 스토리에 대한 공격 지표입니다. 지표에 관한 추가 정보는 지표 카탈로그 사용하기를 참고하세요.
소스 스토리에 관련된 네트워크의 IP 주소, 장치 이름 또는 SDP 사용자
엔진 유형 스토리를 생성한 보안 엔진.
상태
  • 대기 고객 - 스토리가 고객에게 전송됐으며 그들의 응답을 기다리고 있습니다
  • 대기 분석가 - 보안 분석가로부터 더 많은 정보를 기다리고 있습니다
  • 종결 - 보안 분석가가 스토리를 종결했습니다

스토리 그룹화

스토리를 검토할 때 컨텍스트를 제공하기 위해, 소스, 지표, 상태 및 유형을 포함하여 세부사항으로 정의된 그룹에서 스토리를 표시할 수 있습니다. 예를 들어, 특정 소스 IP 주소에 관련된 모든 스토리나 사이버스쿼팅 스토리를 함께 표시할 수 있습니다. 이것은 스토리를 분석할 때 더 넓은 관점을 제공하며 더 빠르고 정확한 결론에 도달하는데 도움을 줄 수 있습니다.

각 그룹은 그 그룹 내의 스토리에 대한 위험 수준을 강조하며 여기에는 높은, 중간 및 낮은 위험 수준 스토리 수가 포함됩니다.

Stories_Workbench_Grouping.png

스토리를 스토리 워크벤치에서 그룹화하기:

  1. 탐색 메뉴에서 홈 > 스토리 워크벤치를 클릭하세요.

  2. 그룹화 기준 드롭다운 메뉴에서 필요한 기준을 선택하세요.

    스토리는 확장 가능한 그룹으로 표시됩니다.

스토리 필터링

스토리 워크벤치에서 데이터를 필터링하는 세 가지 방법이 있습니다:

  • 미리 설정된 필터 선택
  • 선택된 항목으로 필터를 자동 업데이트하기
  • 필터 수동 구성

미리 설정된 필터

네트워크 운영 또는 보안 운영 스토리에 집중하기 위해 미리 설정된 필터를 선택할 수 있습니다. 미리 설정된 필터를 선택하면 그 유형의 스토리에 가장 관련된 스토리 컬럼이 기본적으로 표시됩니다.

미리 설정된 필터를 선택하기:

  1. 필터 바에서 프리셋 선택 드롭다운 메뉴를 클릭하세요.
  2. 프리셋을 선택하세요. 스토리 워크벤치에서 프리셋과 일치하는 스토리가 표시되도록 업데이트됩니다.

항목에 대한 자동 필터링

필터 옵션이 사용 가능한 항목 또는 필드 위에 커서를 올리면 TD_Filter.png 버튼이 나타납니다. 아이콘을 클릭하여 필터 옵션을 표시합니다:

  • 필터에 추가 - 필터에 항목을 추가하며 이제 스토리 워크벤치는 이 항목이 포함된 스토리만 표시합니다. 예를 들어, 특정 위험도 점수를 필터링하면 페이지는 그 위험도가 있는 스토리만 표시합니다.
  • 필터에서 제외 - 필터를 업데이트하여 이 항목을 제외하며 이제 스토리 워크벤치는 이 항목이 포함되지 않은 스토리만 표시합니다.

필터에 항목을 계속 추가할 수 있으며, 필터 아이콘을 다시 클릭하여 필터를 업데이트하고 추가적으로 심층 분석할 수 있습니다.

시간 범위 선택

스토리 워크벤치의 기본 시간 범위는 이전 두 날입니다. 다른 시간 범위를 선택하여 더 긴 또는 더 짧은 기간을 표시할 수 있습니다. 자세한 내용은 시간 범위 필터 설정을 참고하세요.

스토리 워크벤치의 최대 날짜 범위는 90일입니다.

필터 수동 구성

스토리를 분석하기 위해 더 높은 세분성으로 스토리 필터를 수동으로 구성할 수 있습니다. 필터를 구성하면 스토리 필터 바에 추가되고 페이지는 새 필터와 일치하는 스토리를 표시하도록 자동적으로 업데이트됩니다.

필터 생성하기:

  1. 필터 바에서 Add2.png을 클릭하세요.
  2. 타이핑을 시작하거나 필드를 선택하세요.
  3. 연산자를 선택하여 검색하고자 하는 필드의 관계를 결정하세요.
  4. 을 선택하세요.
  5. 필터 추가를 클릭하세요. 필터가 필터 바에 추가되고 스토리 워크벤치가 필터에 기초해 스토리를 표시하도록 업데이트됩니다.

필터 지우기

각 필터 항목을 개별적으로 제거하거나 전체 필터를 지울 수 있습니다.

스토리 워크벤치 페이지 필터를 지우려면:

  1. 단일 필터를 지우려면 필터 옆의 remove.png을 클릭하세요 (위의 항목 1).
  2. 모든 필터를 지우려면 필터 바 오른쪽 끝에 있는 X를 클릭하세요 (위의 항목 2).

스토리 데이터를 CSV 파일로 내보내기

스토리 워크벤치에 열거된 스토리 데이터를 포함하는 CSV 파일을 생성할 수 있습니다.

참고

참고: 

  • 편집자 역할이 있는 CMA 관리자만이 CSV 파일로 내보낼 권한이 있습니다. 관리자 역할 구성에 대한 자세한 내용은 관리자 관리를 참조하세요.
  • 최대 2000건의 스토리를 내보낼 수 있습니다.

스토리 데이터를 내보내기:

  1. 탐색 메뉴에서 홈 > 스토리 워크벤치.
  2. 내보내기를 클릭하고 팝업 창에서 확인을 클릭합니다.
  3. CSV 파일의 위치를 선택하고 파일을 저장합니다.

도움이 되었습니까?

3명 중 3명이 도움이 되었다고 했습니다.

댓글 0개