탐지 및 대응 XOps 스토리를 스토리 작업대에서 검토

이 문서는 XDR 발견 사건을 사용하여 계정의 잠재적인 위협에 대한 스토리를 검토하는 방법을 설명합니다.

참고

참고: XOps는 보안 및 운영을 위한 Cato의 통합 분석 레이어로 통찰력을 제공하고 안내된 수정 조치를 제공합니다. XOps는 XDR을 대체했습니다. 자세한 내용은 XOps FAQ를 참조하십시오.

스토리 탐지 및 대응 개요

카토 탐지 및 대응은 위협에 대한 스토리를 생성하는 추가 보안 계층입니다. 카토의 고급 상관 관계 엔진이 트래픽 데이터를 분석하고 잠재적 위협과의 일치를 찾으면 스토리가 생성됩니다. 이 스토리는 동일한 위협과 관련된 공통 속성을 가진 트래픽 흐름의 데이터를 포함합니다. XDR 발견 사건 페이지는 각 스토리의 세부 사항을 보여주어 위협을 이해하고 분석하는 데 도움을 줍니다. 스토리를 정렬하고 필터링하여 가장 중요한 잠재적 공격을 찾은 다음 스토리를 깊이 탐색하여 세부 사항을 조사할 수 있습니다.

스토리가 포함할 수 있는 데이터의 예시는 다음과 같습니다:

  • 네트워크 내부의 출처

  • 네트워크 트래픽의 외부 대상

  • 위협의 식별 및 설명

  • 관련된 지리적 위치

  • 관련된 애플리케이션

  • 관련 이벤트

  • 카토 내부 데이터에 따른 대상의 인기도

  • 카토 머신 러닝 모델에 따른 대상의 악성 점수

필요한 라이선스

XDR 발견 사건 페이지 표시

커넥터를 생성하면 스토리가 XDR 발견 사건에서 보이게 됩니다.

XDR 발견 사건 페이지를 보려면:

  • 네비게이션 메뉴에서 모니터링 > XDR 발견 사건을 클릭합니다.

스토리 열 이해

1677e55ac56a76.png

설명

ID

이 스토리에 대한 고유한 카토 ID

생성됨

스토리에 대한 첫 번째 트래픽 흐름의 날짜

업데이트됨

스토리에 대한 가장 최근 트래픽 흐름의 날짜

위험 수준

스토리에 대한 카토의 위험 분석(값은 1 - 10)

지표

스토리에 대한 공격 징후. 지표에 대한 더 많은 정보는 지표 카탈로그 사용하기에서 확인하십시오.

소스

스토리에 관련된 네트워크에 있는 IP 주소, 장치 이름 또는 SDP 사용자

엔진 유형

스토리를 생성한 보안 엔진입니다.

상태

  • 대기 중인 고객 - 스토리가 고객에게 전송되었으며 응답을 기다리고 있습니다

  • 대기 중인 분석가 - 보안 분석가의 추가 정보를 기다리고 있습니다

  • 닫힘 - 보안 분석가가 스토리를 닫았습니다

스토리 그룹화

스토리를 검토할 때 컨텍스트를 제공하기 위해 소스, 지표, 상태, 유형을 포함한 세부 정보로 정의된 그룹으로 스토리를 표시할 수 있습니다. 예를 들어, 특정 소스 IP 주소와 관련된 모든 스토리 또는 사이버스쿼팅 스토리를 함께 표시할 수 있습니다. 이는 스토리를 분석할 때 더 넓은 관점을 제공하고, 더 빠르고 정확한 결론을 도출하는 데 도움을 줄 수 있습니다.

각 그룹은 해당 그룹의 스토리에 대한 위험 수준을 강조 표시하며, 높은, 중간, 낮은 위험도의 스토리 수를 포함합니다.

Stories_Workbench_Grouping.png

XDR 발견 사건에서 스토리를 그룹화하기 위해:

  1. 네비게이션 메뉴에서 홈페이지 > XDR 발견 사건을 클릭합니다.

  2. 그룹화 기준 드롭다운 메뉴에서 필요한 기준을 선택하십시오.

    스토리는 확장 가능한 그룹으로 표시됩니다.

스토리 필터링

XDR 발견 사건에서 데이터를 필터링하는 세 가지 방법이 있습니다:

  • 프리셋 필터 선택

  • 선택한 항목으로 필터를 자동으로 업데이트

  • 필터 수동 구성

프리셋 필터

네트워크 운영 또는 보안 운영 스토리에 집중하기 위해 프리셋 필터를 선택할 수 있습니다. 프리셋 필터를 선택하면 해당 유형의 스토리에 가장 관련성 있는 스토리 열이 기본으로 표시됩니다.

프리셋 필터를 선택하려면:

  1. 필터 바에서 프리셋 없음 드롭다운 메뉴를 클릭하십시오.

  2. 프리셋을 선택하십시오. XDR 발견 사건이 프리셋과 일치하는 스토리를 보여주도록 업데이트됩니다.

항목에 대해 자동으로 필터링

필터 옵션이 있는 항목이나 필드를 가리키면 TD_Filter.png 버튼이 표시됩니다. 아이콘을 클릭하여 필터 옵션을 표시하십시오:

  • 필터에 포함 - 필터에 항목을 추가하면 XDR 발견 사건은 이제 이 항목을 포함하는 스토리만 표시합니다. 예를 들어 특정 위험도 점수로 필터링하는 경우, 페이지는 해당 위험도를 가진 스토리만 표시합니다.

  • 필터에서 제외 - 필터를 업데이트하여 이 항목을 제외하면 XDR 발견 사건은 이제 이 항목을 포함하지 않는 스토리만 표시합니다.

필터에 항목을 계속 추가할 수 있습니다. 필터를 업데이트하고 더 자세히 분석하려면 다시 TD_Filter.png 클릭하십시오.

시간 범위 선택

XDR 발견 사건의 기본 시간 범위는 지난 이틀입니다. 더 긴 또는 더 짧은 기간을 표시하기 위해 다른 시간 범위를 선택할 수 있습니다. 자세한 내용은 시간 범위 필터 설정을 참조하세요.

XDR 발견 사건의 최대 날짜 범위는 90일입니다.

필터 수동 구성

스토리를 분석하기 위해 필터를 더 세분화하여 수동으로 구성할 수 있습니다. 필터를 구성한 후, 스토리 필터 바에 추가되고 페이지가 자동으로 업데이트되어 새로운 필터와 일치하는 스토리가 표시됩니다.

필터를 생성하려면:

  1. 필터 바에서 Add2.png를 클릭하십시오.

  2. 입력을 시작하거나 필드를 선택하십시오.

  3. 연산자를 선택하여 필드와 검색 중인 간의 관계를 결정합니다.

  4. 을 선택합니다.

  5. 필터 추가를 클릭합니다. 필터가 필터 바에 추가되고 XDR 발견 사건이 업데이트되어 필터를 기준으로 스토리를 표시합니다.

필터 지우기

필터에 있는 각 항목을 개별적으로 제거하거나 전체 필터를 지울 수 있습니다.

XDR 발견 사건 페이지의 필터를 지우려면:

  1. 단일 필터를 제거하려면 필터 옆의 remove.png를 클릭하십시오 (위의 항목 1).

  2. 모든 필터를 지우려면, 필터 바의 오른쪽 끝에 있는 X를 클릭합니다 (위 항목 2).

도움이 되었습니까?

3명 중 3명이 도움이 되었다고 했습니다.

댓글 0개