XOps UEBA 스토리의 사용 및 이벤트 이상 탐지 분석

이 문서는 XOps 스토리 작업대와 스토리 드릴다운 페이지를 사용하여 사용 이상 및 이벤트 이상 엔진에서 감지한 이상 행동을 분석하는 방법을 설명합니다.

스토리 작업대 사용에 대한 자세한 내용은 스토리 작업대에서 Detection & Response XOps 스토리 검토하기를 참조하십시오.

개요

Cato의 XOps 서비스는 사용자 및 엔터티 행동 분석(UEBA)에 기반하여 보안 위협을 나타낼 수 있는 비정상적인 활동을 감지합니다. 사용 이상 및 이벤트 이상 엔진은 네트워크 트래픽을 모니터링 및 분석하여 계정 침해, 내부자 위협 및 고급 공격의 징후가 될 수 있는 비정상 행동을 식별합니다. 이 엔진은 네트워크 트래픽에 대한 훈련을 바탕으로 사용자의 기본 행동 모델을 구축하기 위해 기계 학습 및 통계 모델링 기술을 통합합니다. 이 모델을 기반으로 엔진은 다양한 종류의 이상을 식별할 수 있습니다.

다음은 XOps UEBA 이상 엔진과 그들이 식별한 이상 유형의 간단한 설명입니다:

사용량 이상 - 애플리케이션의 비정상적인 사용과 관련된 이상을 식별합니다. 예를 들어, 사용자가 애플리케이션에 평소보다 더 많은 데이터를 업로드하는 상황이 발생할 수 있습니다.
이벤트 이상 - 네트워크의 엔터티가 비정상적으로 많은 수의 보안 이벤트를 생성하는 이상을 탐지합니다. 예를 들어 네트워크의 특정 사이트가 평소보다 더 많은 인터넷 방화벽 차단 이벤트를 유발합니다.

XOps UEBA 이상 엔진이 스토리를 생성하면, Stories Workbench에서 이를 검토하고 스토리 데이터를 추가 분석할 수 있습니다.

전제조건

사용량 이상 및 이벤트 이상 스토리는 XOps 및 MDR 고객에게만 제공됩니다. XOps 구매 또는 MDR 서비스 가입에 대한 자세한 내용은 Cato 담당자에게 문의하십시오.

UEBA 이상 스토리 드릴 다운 및 분석

Stories Workbench에서 사용량 이상 또는 이벤트 이상 스토리를 클릭하여 드릴 다운하고 다른 페이지에서 세부 정보를 조사할 수 있습니다. 이 페이지에는 잠재적인 위협을 평가하는 데 도움이 되는 여러 위젯이 포함되어 있습니다.

보안 스토리 표시

Stories Workbench 페이지에서 보안 스토리를 클릭하여 UEBA 스토리의 세부 정보를 확인하십시오.

Stories Workbench 페이지를 보려면:

탐색 메뉴에서 홈 > 스토리 작업대를 클릭하십시오.

AI 스토리 요약 생성

Stories Workbench 드릴 다운에는 AI가 생성한 자연어의 스토리 설명을 생성할 수 있는 도구가 포함되어 있으며 이는 풍부한 문맥을 제공하고 스토리를 빠르게 평가하는 데 도움이 됩니다. 스토리 요약은 스토리의 현재 상태를 반영하여 동적으로 생성됩니다. 스토리가 새로운 정보로 업데이트되면 요약을 재생성하여 변경 내용을 반영할 수 있습니다.

AI 스토리 요약은 관리자에 의해 요청할 때만 생성됩니다.

민감한 데이터의 토큰화 보호

스토리 데이터를 타사 AI 서비스로 전송하는 동안 강력한 데이터 보안을 위해 카토는 모든 민감한 데이터가 Cato XOps 플랫폼 내에 남아 있도록 토큰화를 사용합니다. 이는 민감한 정보를 고유 식별자 또는 "토큰"으로 대체하여 허가받지 않은 엔티티에 데이터를 의미 없는 것으로 만듭니다. 민감한 데이터는 절대 제3자 서비스에 노출되지 않습니다. 이 접근 방식은 스토리의 세부 내용 기밀성을 보장하며, 강력한 데이터 프라이버시 및 보안 표준을 유지하려는 우리의 약속과 일치합니다.

참고

참고: 생성적 AI의 제한으로 인해 스토리 요약에 제공된 정보는 때때로 부정확함을 포함할 수 있습니다.

UEBA 이상 위젯 이해

이것은 사용량 이상 또는 이벤트 이상 스토리에 대한 위젯입니다:

항목	이름	설명
1	스토리 요약	스토리에 대한 기본 정보를 요약한 내용입니다, 포함하여: 이상 이름 감지된 공격에 대한 표시 스토리를 생성한 탐지 및 대응 생산자 (엔진) 분석가 심각도 - 위협의 심각도 위협에 대한 분석가의 판결 공격 유형 분석가에 의해 결정된 위협의 자세한 분류 스토리 상태
2	스토리 타임라인	스토리의 변경 사항을 보여줍니다, 예를 들어 판결 및 심각도의 변경 및 상태 업데이트 시점
3	세부 정보	스토리에 대한 기본 세부 정보, 포함하여 위협 설명 및 요약 풍부한 문맥을 제공하고 스토리를 빠르게 평가하는 자연어 스토리 설명을 위해 AI 요약 생성을 클릭하십시오 첫 신호 - 이상과 관련된 첫 번째 신호(트래픽 흐름)의 시간 생성 날짜 - 스토리가 생성된 시간 마지막 업데이트 - 새로운 대상 또는 변경된 판결과 같은 최신 스토리 업데이트 시간 위중도 - 카토의 기계 학습 위험 분석 알고리즘에 의해 계산된 스토리의 전체 위험 점수 (값은 1 (가장 가벼운)에서 10 (가장 높은)까지) 훈련 기간 - 비정상 행동을 결정하기 위한 기계 학습 모델의 훈련 기간 표시 ID - XOps 엔진이 사용하는 표시의 식별자입니다. Indications Catalog에서 표시를 조회하기 위해 ID를 사용할 수 있습니다 MITRE 태그 - 위협에 대해 식별된 MITRE ATT&CK® 기술. MITRE ATT&CK® 프레임워크에 대한 자세한 내용은 MITRE ATT&CK® 대시보드 사용을 참조하십시오. MITRE ATT&CK® 기술을 클릭하여 MITRE ATT&CK® 웹사이트에서 설명을 읽으십시오 표시된 기계 학습 예측을 기반으로 한 예측 판결 및 예측 유형입니다. 귀하는 가능한 판결 및 잠재적인 맬웨어 유형을 식별할 수 있습니다. 기계 학습 알고리즘은 유사한 스토리의 최종 판결을 분석합니다. 유사한 스토리 - 비슷한 대상이 있는 스토리를 표시합니다. 각 스토리에 대해 표시된 세부 정보에는 스토리 위협 유형, 스토리 판결(사용 가능한 경우) 및 기계 학습 모델이 계산한 유사성 수준(백분율로 표시됨)이 포함됩니다. 스토리 위로 마우스를 올리면 위협의 더 자세한 분류가 표시됩니다.
4	이상 분포	지난 14일 동안의 이상 행동 그래프입니다. 사용량 이상 스토리의 경우 그래프는 관련 앱의 데이터를 보여줍니다. 이벤트 이상 스토리의 경우 그래프는 관련 이벤트의 데이터를 보여줍니다. 그래프 위로 마우스를 올려 이상 세부 정보를 표시하십시오. 이상에서 탐지된 다양한 앱이나 이벤트를 더 자세히 조사하려면 앱 또는 이벤트의 그래프를 켜거나 끌 수 있는 토글 버튼을 클릭하십시오. 모두 보기를 클릭하여 이상과 관련된 앱에 대해 사전 필터링된 애플리케이션 분석 화면을 엽니다.
5	출처	이상과 관련된 네트워크의 디바이스에 대한 기본 정보
6	최상위 애플리케이션	이상과 관련된 최상위 애플리케이션과 관련 세부 정보. 예를 들어, 업스트림 대역폭 이상에 대한 앱은 앱에서의 총 업로드 양과 함께 표시됩니다. 모두 보기를 클릭하여 이상과 관련된 앱에 대해 사전 필터링된 애플리케이션 분석 화면을 엽니다.
7	최상위 서버/대상	이상에 관련된 최상위 서버와 대상들에 대한 관련 세부 정보. 예를 들어, 업스트림 대역폭 이상에 대한 서버는 서버에 대한 총 업로드 양과 함께 나타납니다. 모두 보기를 클릭하여 이상과 관련된 앱에 대해 사전 필터링된 목적지로 애플리케이션 분석 화면을 엽니다.
8	최상위 호스트	이상과 관련된 최상위 호스트와 관련 세부 정보. 예시: 업스트림 대역폭 이상에 대한 호스트는 호스트에서 업로드된 수와 함께 나타납니다. 사용자 행동의 이상에 대한 호스트는 이상과 관련된 연결에서 사용자의 IP 주소를 보여줍니다. 모두 보기를 클릭하여 이상과 관련된 앱에 대한 사전 필터링된 애플리케이션 분석 화면에서 호스트를 표시합니다.
9	대상	네트워크 사이트 외부의 잠재적으로 악성인 출처에 대한 데이터를 표시합니다. 다음은 대상 테이블 열에 대한 설명입니다. 대상 - 이야기와 관련된 트래픽 흐름에서 식별된 외부 소스의 도메인 또는 IP 주소 생성 날짜 - 대상 도메인의 등록 날짜 대상 링크 - 다양한 외부 위협 인텔리전스 소스에서 대상을 조회할 수 있는 링크. 추가 정보를 보려면 VirusTotal 아이콘을 클릭하거나 드롭다운 메뉴에서 다른 리소스를 선택하십시오. 악성 점수 - Cato 위협 정보 알고리즘에 따른 대상의 악성 점수. 점수는 0 (양호)에서 1 (악성)까지 범위입니다. 인기도 - 대상이 Cato 내부 데이터 소스에 나타나는 빈도. 값: 비인기, 낮음, 중간, 높음 카테고리 - 대상 도메인의 Cato 카테고리 위협 피드 - 대상을 악성으로 탐지한 Cato 위협 인텔리전스 소스의 수 엔진 - 대상을 악성으로 탐지한 서드파티 보안 엔진의 수 등록 국가 - 대상 도메인이 등록된 국가 Google 검색 히트 - 대상에 대한 Google 검색 결과의 수
10	상위 연결	이상 현상과 관련된 상위 연결에 대한 데이터. 예를 들어, SDP 사용자 업로드 대역폭 이상 현상에 대해, 가장 많은 업로드 대역폭을 사용한 연결. 다음은 테이블 열에 대한 설명입니다. 애플리케이션 - 연결에 대한 트래픽 흐름에서 탐지된 애플리케이션 출처 IP - 트래픽을 보내거나 받는 네트워크의 출처 IP 주소 대상 - 트래픽을 보내거나 받는 외부 대상의 IP 주소 또는 도메인 흐름 - 연결과 연관된 흐름의 수 다운로드 - 다운로드 대역폭 사용 업로드 - 업로드 대역폭 사용 사용량 - 총 대역폭 사용량

UEBA 이상 현상 스토리에 대한 전제 조건

이상 탐지 엔진에 의해 탐지된 일부 징후는 커넥터 구성, 특정 라이센스 또는 둘 다 필요합니다. 이 테이블은 이러한 징후의 전제 조건을 나열합니다. 테이블에 징후가 나열되지 않은 경우 추가 전제 조건이 없습니다.

징후	전제 조건
사용자 로그인 실패 이상 현상	CASB 라이센스 및 다음 커넥터 중 하나 이상: Salesforce GitHub Azure ID
대량 다운로드 (사용자 다운로드 이벤트 이상 현상)	CASB 라이센스
대량 다운로드 (사이트 다운로드 이벤트 이상 현상)	CASB 라이센스
대량 업로드 (사용자 업로드 이벤트 이상 현상)	CASB 라이센스
대량 업로드 (사이트 업로드 이벤트 이상 현상)	CASB 라이센스
대량 삭제 (비정상적인 삭제 활동 - 사용자)	CASB 라이센스
대량 삭제 (비정상적인 삭제 활동 - 사이트)	CASB 라이센스
대량 생성 (비정상적인 파일 생성 활동 - 사용자)	CASB 라이센스
첫 확인된 사용 중단 또는 비인가 프로토콜 사용 - 사이트	위협 방지 라이센스
첫 확인된 사용 중단 또는 비인가 프로토콜 사용 - 사용자	위협 방지 라이센스
C&C 트래픽 이상 현상 - 사용자	위협 방지 라이센스
C&C 처음 S3 버킷에 업로드C 트래픽 이상 현상 - 사이트	위협 방지 라이센스
처음 S3 버킷에 업로드	CASB 및 안티멀웨어 라이센스
메일 삭제 이상 현상	CASB 라이센스 및 다음 커넥터 M365-Exchange Microsoft Exchange 감사 활동