스토리 작업대에서 탐지 & 대응 (XDR) 스토리 검토

이 문서는 XDR 발견 사건을 사용하여 계정의 잠재적인 위협에 대한 스토리를 검토하는 방법을 설명합니다.

탐지 및 대응 스토리 개요

카토 탐지 및 대응은 위협에 대한 스토리를 생성하는 추가 보안 계층입니다. 카토의 고급 상관 관계 엔진이 트래픽 데이터를 분석하고 잠재적 위협과의 일치를 찾으면 스토리가 생성됩니다. 이 스토리는 동일한 위협과 관련된 공통 속성을 가진 트래픽 흐름의 데이터를 포함합니다. XDR 발견 사건 페이지는 각 스토리의 세부 사항을 보여주어 위협을 이해하고 분석하는 데 도움을 줍니다. 스토리를 정렬하고 필터링하여 가장 중요한 잠재적 공격을 찾은 다음 스토리를 깊이 탐색하여 세부 사항을 조사할 수 있습니다.

스토리가 포함할 수 있는 데이터의 예시는 다음과 같습니다:

  • 네트워크 내부의 출처

  • 네트워크 트래픽의 외부 대상

  • 위협의 식별 및 설명

  • 관련된 지리적 위치

  • 관련된 애플리케이션

  • 관련 이벤트

  • 카토 내부 데이터에 따른 대상의 인기도

  • 카토 머신 러닝 모델에 따른 대상의 악성 점수

필요한 라이센스

  • 추가 라이선스가 필요할 수 있습니다. 자세한 내용은 Cato XDR 시작하기를 참조하십시오.

XDR 발견 사건 페이지 표시

XDR 발견 사건 페이지는 계정 내 잠재적 위협에 대한 스토리 요약을 보여줍니다.

XDR 발견 사건 페이지를 표시하려면:

  • 네비게이션 메뉴에서 모니터링 > XDR 발견 사건을 클릭합니다.

스토리 열 이해하기

Detection__Remediation_Stories_Workbench.png

설명

ID

이 스토리에 대한 고유한 카토 ID

생성됨

스토리에 대한 첫 번째 트래픽 흐름의 날짜

업데이트됨

스토리에 대한 가장 최근 트래픽 흐름의 날짜

위험 수준

스토리에 대한 카토의 위험 분석(값은 1 - 10)

지표

스토리에 대한 공격 징후. 지표에 대한 더 많은 정보는 지표 카탈로그 사용하기에서 확인하십시오

소스

스토리에 관련된 네트워크에 있는 IP 주소, 장치 이름 또는 SDP 사용자

엔진 유형

스토리를 생성한 보안 엔진입니다.

상태

  • 대기 중인 고객 - 스토리가 고객에게 전송되었으며 응답을 기다리고 있습니다

  • 대기 중인 분석가 - 보안 분석가의 추가 정보를 기다리고 있습니다

  • 닫힘 - 보안 분석가가 스토리를 닫았습니다

스토리 그룹화

스토리를 검토할 때 컨텍스트를 제공하기 위해 소스, 지표, 상태, 유형을 포함한 세부 정보로 정의된 그룹으로 스토리를 표시할 수 있습니다. 예를 들어, 특정 소스 IP 주소와 관련된 모든 스토리 또는 사이버스쿼팅 스토리를 함께 표시할 수 있습니다. 이는 스토리를 분석할 때 더 넓은 관점을 제공하고, 더 빠르고 정확한 결론을 도출하는 데 도움을 줄 수 있습니다.

각 그룹은 해당 그룹의 스토리에 대한 위험 수준을 강조 표시하며, 높은, 중간, 낮은 위험도의 스토리 수를 포함합니다.

Stories_Workbench_Grouping.png

XDR 발견 사건에서 스토리를 그룹화하기 위해:

  1. 네비게이션 메뉴에서 홈페이지 > XDR 발견 사건을 클릭합니다.

  2. 그룹화 기준 드롭다운 메뉴에서 필요한 기준을 선택하십시오.

    스토리는 확장 가능한 그룹으로 표시됩니다.

스토리 필터링

XDR 발견 사건에서 데이터를 필터링하는 세 가지 방법이 있습니다:

  • 프리셋 필터 선택

  • 선택한 항목으로 필터를 자동으로 업데이트

  • 필터 수동 구성

프리셋 필터

네트워크 운영 또는 보안 운영 스토리에 집중하기 위해 프리셋 필터를 선택할 수 있습니다. 프리셋 필터를 선택하면 해당 유형의 스토리에 가장 관련성 있는 스토리 열이 기본으로 표시됩니다.

프리셋 필터를 선택하려면:

  1. 필터 바에서 프리셋 없음 드롭다운 메뉴를 클릭하십시오.

  2. 프리셋을 선택하십시오. XDR 발견 사건이 프리셋과 일치하는 스토리를 보여주도록 업데이트됩니다.

항목 자동 필터링

필터 옵션이 있는 항목이나 필드 위로 마우스를 가져가면 TD_Filter.png 버튼이 나타납니다. 아이콘을 클릭하여 필터 옵션을 표시하십시오:

  • 필터에 포함 - 필터에 항목을 추가하면 XDR 발견 사건은 이제 이 항목을 포함하는 스토리만 표시합니다. 예를 들어 특정 위험도 점수로 필터링하는 경우, 페이지는 해당 위험도를 가진 스토리만 표시합니다.

  • 필터에서 제외 - 필터를 업데이트하여 이 항목을 제외하면 XDR 발견 사건은 이제 이 항목을 포함하지 않는 스토리만 표시합니다.

필터에 항목을 계속 추가할 수 있으며, 필터를 업데이트하고 더 깊이 탐색하려면 TD_Filter.png 버튼을 다시 클릭하십시오.

시간 범위 선택

XDR 발견 사건의 기본 시간 범위는 지난 이틀입니다. 더 긴 또는 더 짧은 기간을 표시하기 위해 다른 시간 범위를 선택할 수 있습니다. 자세한 내용은 시간 범위 필터 설정을 참조하십시오.

XDR 발견 사건의 최대 날짜 범위는 90일입니다.

필터 수동 구성

스토리를 분석하기 위해 필터를 더 세분화하여 수동으로 구성할 수 있습니다. 필터를 구성한 후, 필터 바에 추가되어 페이지가 자동으로 업데이트되어 새 필터와 일치하는 스토리를 표시합니다.

필터를 생성하려면:

  1. 필터 바에서 Add2.png 버튼을 클릭하십시오.

  2. 입력을 시작하거나 필드를 선택하십시오.

  3. 연산자를 선택하여 필드와 검색 중인 간의 관계를 결정합니다.

  4. 을 선택합니다.

  5. 필터 추가를 클릭합니다. 필터가 필터 바에 추가되고 XDR 발견 사건이 업데이트되어 필터를 기준으로 스토리를 표시합니다.

필터 지우기

필터에 있는 각 항목을 개별적으로 제거하거나 전체 필터를 지울 수 있습니다.

XDR 발견 사건 페이지의 필터를 지우려면:

  1. 단일 필터를 지우려면 필터 옆의 remove.png 버튼을 클릭하십시오 (상단의 항목 1).

  2. 모든 필터를 지우려면, 필터 바의 오른쪽 끝에 있는 X를 클릭합니다 (위 항목 2).

스토리를 검토하고 분석

XDR 발견 사건에서 스토리를 클릭하여 세부 정보를 다른 페이지에서 깊이 조사하고 조사할 수 있습니다. 이 페이지에는 위협 방지 엔진이 식별한 잠재적 위협을 평가하는 데 도움이 되는 여러 위젯이 포함되어 있습니다.

AI 스토리 요약 생성

XDR 발견 사건의 깊이 분석 도구에는 AI가 생성한 자연어 스토리 설명을 작성할 수 있는 도구가 포함되어 있으며, 이는 풍부한 컨텍스트를 제공하고 스토리를 빠르게 평가하는 데 도움을 줍니다. 스토리 요약은 스토리의 현재 상태를 반영하도록 동적으로 생성됩니다. 스토리가 새로운 정보로 업데이트되면, 변경 사항을 반영하기 위해 요약을 다시 생성할 수 있습니다.

  • AI 스토리 요약은 관리자에 의해 필요 시에만 생성됩니다

토큰화를 통해 민감한 데이터 보호

스토리 데이터를 타사 AI 서비스에 전송하는 동안의 강력한 데이터 보안을 위해, 카토는 모든 민감한 데이터가 Cato XDR 플랫폼에 남아 있도록 토큰화를 사용합니다. 여기에는 민감한 정보를 고유 식별자 또는 "토큰"으로 대체하여 허가받지 않은 엔터티에 데이터가 의미가 없도록 하는 작업이 포함됩니다. 민감한 데이터는 절대 타사 서비스에 노출되지 않습니다. 이 접근법은 스토리 세부 정보의 기밀성을 보장하여 강력한 데이터 프라이버시 및 보안 기준에 대한 우리의 약속과 일치합니다.

참고

참고: 생성형 AI의 제한으로 인해 스토리 요약에 제공된 정보가 때때로 부정확성을 포함할 수 있습니다.

스토리 깊이 분석 위젯 이해하기

Detection___Remediation_Callouts_PNG.png

이들은 스토리 깊이 분석 위젯입니다:

항목

이름

설명

1

스토리 요약

스토리에 관한 기본 정보 요약, 다음을 포함하여:

  • 위협 카테고리

  • 분석가가 결정한 위협의 심각도

  • 분석가가 결정한 위협에 대한 판결

  • 공격 유형 (예: 브라우저 확장 프로그램, 네이티브 애플리케이션, 스캐너, 웹 앱)

  • 손상된 디바이스 수

  • 공격과 관련된 신호 (트래픽 흐름)의 수

  • 스토리 상태

More_icon.png 버튼을 클릭하여 스토리 작업 패널을 열고 분석가 판단상태와 같은 스토리 설정을 변경합니다.

2

스토리 타임라인

스토리의 타임라인을 보여줍니다. 예를 들어 스토리 판결과 심각도에 대한 변경 사항 및 스토리와 관련된 새로운 대상이 식별될 때를 보여줍니다

3

세부 사항

스토리를 분석하기 위한 주요 정보로서, 위협 설명 및 해당 위협에 대해 식별된 MITRE ATT\u0026CK\u00AE 기술을 포함합니다.

  • AI 요약 생성을 클릭하여 자연어 스토리 설명을 얻고, 이는 풍부한 컨텍스트를 제공하며 스토리를 빠르게 평가하는 데 도움이 됩니다

기타 세부 정보는 다음을 포함합니다:

  • ML 위험도 - 카토의 머신 러닝 위험 분석 알고리즘에 의해 계산된 스토리의 전체 위험 점수 (값은 1에서 10까지)

  • 예상 판결예측된 유형은 머신 러닝 예측을 기반으로 한 가능한 판결 및 잠재적인 멀웨어 유형을 포함합니다. 머신 러닝 알고리즘은 유사한 스토리의 최종 판결을 분석합니다

  • 유사한 스토리 - 동일한 지표 또는 대상을 가진 스토리를 보여줍니다. 각 스토리에 대해 표시되는 세부 정보에는 스토리 위협 유형, 스토리 판결(사용 가능한 경우), 그리고 머신 러닝 모델에 의해 계산된 유사성 수준(퍼센트로 표시됨)이 포함됩니다. 스토리에 마우스를 올리면 위협의 더 자세한 분류를 볼 수 있습니다

MITRE ATT&CK® 프레임워크에 대한 자세한 내용은 MITRE ATT&CK® 대시보드 작업을 참조하십시오.

  • MITRE ATT&CK® 기술을 클릭하여 MITRE ATT&CK® 웹사이트에서 그 설명을 읽으십시오

4

소스

위협으로 인해 영향을 받은 네트워크 내 장치의 기본 정보

5

공격 지리적 위치

위협과 관련된 네트워크 소스(주황색 위치)와 외부 소스(빨간색 위치)의 지리적 위치를 보여줍니다. 소스를 연결하는 화살표는 트래픽의 방향을 나타냅니다

6

대상 조치

각 대상과 관련된 이벤트에는 다음 정보가 포함됩니다:

설명

대상

스토리와 관련된 트래픽 흐름에서 식별된 외부 소스의 도메인 또는 IP 주소

유형

대상과 관련된 이벤트를 생성한 보안 엔진

작업

대상과 관련된 트래픽에 대한 조치

관련 이벤트

대상과 관련된 이벤트에 나타나는 위협 서명을 보여줍니다.

  • 서명 위에 마우스를 올리면 요약 이벤트 로그가 표시됩니다

  • 서명을 클릭하면 해당 서명으로 사전 필터링된 이벤트 페이지가 열립니다

7

공격 분포

공격 관련 흐름의 시간 분포.

  • 그래프를 쉽게 읽을 수 있도록 대상에서 대상을 클릭하여 해당 데이터를 그래프에서 숨깁니다

  • 그래프 위에 마우스를 올리면 공격 세부 정보가 표시됩니다

8

대상

스토리와 관련된 네트워크 사이트 외부의 잠재적으로 악성 출처에 대한 데이터를 보여줍니다.

설명

생성일

대상 도메인의 등록 날짜

대상

스토리와 관련된 트래픽 흐름에서 식별된 외부 출처의 도메인 또는 IP 주소

대상 링크

다양한 외부 위협 정보 출처에서 대상을 검색하는 링크.

추가 정보를 얻으려면 바이러스 토탈 애플리케이션 아이콘을 클릭하거나 드롭다운 메뉴에서 기타 리소스를 선택하세요.

악성 점수

Cato 위협 인텔리전스 알고리즘에 따른 대상의 악성 점수입니다. 점수는 0 (양성)에서 1 (악성)까지 범위가 있습니다

인기도

Cato 내부 데이터 소스에서 대상이 나타나는 빈도입니다. 값은: Unpopular, 낮음, 중간, 높음

카테고리

대상 도메인에 대한 Cato 카테고리

위협 인텔리전스 소스

대상을 악성으로 감지한 Cato 위협 인텔리전스 소스의 수

악성 탐지 엔진

대상을 악성으로 감지한 써드파티 보안 엔진의 수

등록 국가

대상 도메인이 등록된 국가

Google 검색 결과 수

대상에 대한 Google 검색 결과 수

9

공격 관련 이벤트

공격과 관련된 이벤트의 대표적인 샘플에 대한 데이터를 보여줍니다.

설명

대상

관련 통신 흐름의 대상 도메인 또는 IP

시작 시간

흐름 시작의 타임스탬프

방향

흐름 방향. 방향에는 다음이 포함됩니다:

  • 인바운드 - 외부 출처에서 시작하여 네트워크로 들어오는 트래픽

  • 아웃바운드 - 네트워크에서 외부 출처로 가는 트래픽

  • WAN바운드 - 네트워크의 다른 사이트로 가는 네트워크에서의 트래픽

소스 IP

스트림을 보내거나 수신하는 네트워크 내 소스 IP 주소

소스 포트

스트림을 보내거나 수신하는 네트워크 내 소스 포트

목적지 IP

스트림을 보내거나 수신하는 외부 대상의 IP 주소

목적지 포트

스트림을 보내거나 수신하는 외부 대상의 포트

방법

흐름에 있는 HTTP 메소드 (GET, POST, 그리고 등등)

전체 경로 URL

흐름에 있는 외부 리소스의 전체 URL

클라이언트

흐름의 클라이언트 유형

Cato 애플리케이션

흐름에서 사용된 Cato 애플리케이션

목적지 국가

흐름에서의 목적지 IP의 위치

DNS 응답 IP

DNS 조회에 의해 반환된 IP 주소

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개