XOps UEBA 스토리를 사용 및 이벤트 이상 탐지에 대해 분석

이 문서는 XOps 스토리 워크벤치 및 스토리 드릴다운 페이지를 사용하여 사용량 이상 및 이벤트 이상 엔진이 감지한 이상 행동을 분석하는 방법을 설명합니다.

스토리 워크벤치 사용에 대한 자세한 내용은 스토리 워크벤치에서 감지 및 대응 XOps 스토리 검토를 참조하십시오.

참고

참고: XOps는 보안 및 운영에 대한 통합 분석 계층이며 인사이트와 안내된 개선을 제공합니다. XOps는 XDR을 대체하며, 자세한 내용은 XOps FAQ를 참조하십시오.

개요

Cato의 XOps (이전의 XDR) 서비스는 사용자 및 엔터티 행동 분석 (UEBA)에 기반한 이상 활동을 탐지하며, 이는 보안 위협을 나타낼 수 있습니다. 사용량 이상 및 이상 이벤트 엔진은 네트워크 트래픽을 모니터링하고 분석하여 계정 탈취, 내부 위협, 고급 공격 등의 이상 행동을 식별합니다. 이러한 악성 탐지 엔진은 기계 학습과 통계 모델링 기술을 네트워크 트래픽 학습과 결합하여 계정의 사용자 및 엔터티에 대한 기준 행동 모델을 구축합니다. 이 모델을 기반으로 엔진은 다양한 유형의 이상 현상을 식별할 수 있습니다.

다음은 XOps UEBA 이상 엔진과 그들이 식별하는 이상 유형의 간단한 설명입니다.

  • 사용량 이상 현상 - 애플리케이션에서 비정상적인 사용과 관련된 이상 현상을 식별합니다. 예시로, 사용자가 애플리케이션에 평소보다 많은 데이터를 업로드합니다

  • 이상 이벤트 - 네트워크의 엔터티가 비정상적인 수의 보안 이벤트를 트리거하는 이상 현상을 감지합니다. 예시로, 네트워크의 사이트가 평소보다 훨씬 더 많은 인터넷 방화벽 차단 이벤트를 트리거합니다

XOps UEBA 이상 엔진이 스토리를 생성하면 스토리 워크벤치에서 이를 검토하고 추가 분석을 위해 스토리 데이터를 깊게 분석할 수 있습니다.

사전 요구 사항

  • 사용량 이상 및 이벤트 이상 스토리는 XOps 및 MDR 고객만 사용할 수 있습니다. XOps 구매 또는 MDR 서비스 가입에 대한 자세한 내용은 Cato 담당자에게 문의하십시오.

UEBA 이상 스토리를 깊이 분석하기

XDR 발견 사건에서 사용량 이상 또는 이상 이벤트 스토리를 클릭하여 다른 페이지에서 세부 정보를 드릴다운하고 조사할 수 있습니다. 이 페이지에는 잠재적 위협을 평가하는 데 도움이 되는 여러 위젯이 포함되어 있습니다.

보안 스토리 표시

XDR 발견 사건 페이지에서 보안 스토리를 클릭하여 UEBA 스토리의 세부 정보를 표시합니다.

XDR 발견 사건 페이지를 보려면:

  • 네비게이션 메뉴에서 홈페이지 > XDR 발견 사건을 클릭합니다.

AI 스토리 요약 생성

XDR 발견 사건 드릴다운에는 AI가 생성한 자연어 스토리 설명을 생성하는 도구가 포함되어 있으며, 이는 풍부한 맥락을 제공하고 스토리를 빠르게 평가하는 데 도움을 줍니다. 스토리 요약은 스토리의 현재 상태를 반영하도록 동적으로 생성됩니다. 스토리가 새로운 정보로 업데이트되면 변경 사항을 반영하기 위해 요약을 다시 생성할 수 있습니다.

  • AI 스토리 요약은 관리자에 의해 요청 시에만 생성됩니다

토큰화를 통한 민감 데이터 보호

스토리 데이터를 타사 AI 서비스로 전송하는 동안의 강력한 데이터 보안을 위해 Cato는 토큰화를 사용하여 모든 민감한 데이터가 Cato XOps 플랫폼에 남도록 보장합니다. 이는 민감한 정보를 고유 식별자 또는 "토큰"으로 대체하여 비허가된 엔터티에게 데이터를 무의미하게 만드는 것을 포함합니다. 민감한 데이터는 절대 제3자 서비스에 노출되지 않습니다. 이 접근 방식은 이야기의 세부 사항에 대한 기밀성을 보장하며 강력한 데이터 개인 정보 보호 및 보안 표준에 대한 우리의 약속과 일치합니다.

참고

참고: 생성형 AI의 한계로 인해 스토리 요약에 제공된 정보는 가끔 부정확할 수 있습니다.

UEBA 이상 위젯 이해하기

ueba_story_original.png

이것들은 사용량 이상 현상 또는 이상 이벤트 스토리의 위젯입니다:

항목

이름

설명

1

스토리 요약

스토리에 대한 기본 정보 요약, 포함:

  • 이상 현상 이름

  • 공격 탐지됨에 대한 표시

  • 스토리를 생성한 Detection & Response 생산자 (엔진)

  • 분석가 심각도 - 위협의 심각도

  • 위협에 대한 분석가 판단

  • 공격 유형

  • 분석가가 결정한 위협의 상세 분류

  • 스토리 상태

2

스토리 타임라인

스토리의 타임라인을 표시, 예를 들어 스토리 판결과 심각도의 변경 사항 및 상태가 업데이트된 시점

3

세부 정보

스토리에 대한 기본 세부 정보, 포함

  • 위협 설명 및 요약

    • 풍부한 문맥을 제공하고 스토리를 빠르게 평가할 수 있도록 자연어 스토리 설명을 위한 AI 요약 생성 클릭

  • 최초 신호 - 이상 현상과 관련된 최초 신호(트래픽 흐름)의 시간

  • 생성일 - 스토리가 생성된 시간

  • 마지막 업데이트 - 새로운 대상 또는 변경된 판결과 같은 최신 스토리 업데이트의 시간

  • 위험도 - Cato의 기계 학습 위험 분석 알고리즘이 계산한 스토리의 전체 위험 점수 (값은 1(가장 덜 중요)에서 10(가장 중요)까지)

  • 학습 기간 - 이상 행동을 판별하기 위한 기계 학습 모델의 훈련 기간

  • 지시 ID - XOps 엔진이 사용하는 지시의 식별자입니다. ID를 사용하여 지시 카탈로그에서 지시를 조회할 수 있습니다.

  • MITRE 태그 - 위협에 대해 식별된 MITRE ATT&CK® 기술.

    MITRE ATT&CK® 프레임워크에 대한 자세한 내용을 보려면 MITRE ATT&CK® 대시보드 사용을 참조하십시오.

    • MITRE ATT&CK® 기술을 클릭하여 MITRE ATT&CK® 웹사이트에서 설명을 읽으십시오

  • 기계 학습 예측에 기반한 예상 판결예측된 유형으로 식별할 수 있는 가능한 결론 및 잠재적 멀웨어 유형. 기계 학습 알고리즘은 유사한 스토리의 최종 판결을 분석합니다

  • 유사한 스토리 - 유사한 대상과의 스토리를 표시합니다. 각 스토리별로 표시되는 세부 정보는 스토리 위협 유형, 스토리 판결 (사용 가능한 경우), 및 머신 러닝 모델에 의해 계산된 유사도 수준 (백분율로 표시) 포함합니다. 스토리에 마우스를 올리면 위협의 보다 상세한 분류를 표시합니다.

4

이상 현상 배포

지난 14일 동안에 대한 이상 현상 그래프입니다. 사용량 이상 현상 스토리의 경우, 그래프는 관련 앱의 데이터를 보여줍니다. 이벤트 이상 현상 스토리의 경우, 그래프는 관련 이벤트의 데이터를 보여줍니다.

  • 이상 현상 세부 정보를 보려면 그래프 위로 마우스를 이동하세요

  • 이상 현상에서 감지된 다양한 앱이나 이벤트를 더 자세히 조사하려면 앱이나 이벤트의 전환 버튼을 클릭하여 해당 그래프를 켜거나 끄세요.

  • 모두 보기를 클릭하여 이상 현상과 관련된 앱이 미리 필터링된 애플리케이션 분석 화면을 열 수 있습니다

5

출처

이상 현상과 관련된 네트워크의 장치에 대한 기본 정보

6

상위 애플리케이션

이상 현상과 관련된 상위 애플리케이션과 관련 세부 정보. 예를 들어, 상향 대역폭 이상 현상 앱은 앱의 총 업로드 양을 나타냅니다

  • 모두 보기를 클릭하여 이상 현상과 관련된 앱이 미리 필터링된 애플리케이션 분석 화면을 열 수 있습니다

7

상위 서버/대상

이상 현상에 관련된 상위 서버와 대상, 관련 세부 정보 포함. 예를 들어, 상향 대역폭 이상 현상의 서버는 서버에 대한 총 업로드 양을 나타냅니다

  • 모두 보기를 클릭하여 이상 현상과 관련된 앱이 미리 필터링된 애플리케이션 분석 화면을 열고 대상을 표시합니다

8

상위 호스트

이상 현상과 관련된 상위 호스트, 관련 세부 정보 포함. 예시:

  • 상향 대역폭 이상 현상의 호스트는 호스트에서의 업로드 수를 표시합니다

  • 사용자 행동의 이상 현상의 호스트는 이상 현상과 관련된 연결에서 사용자의 IP 주소를 보여줍니다

모두 보기를 클릭하여 이상 현상과 관련된 앱이 미리 필터링된 애플리케이션 분석 화면을 열고 호스트를 표시합니다

9

대상

스토리와 관련된 네트워크 사이트 외부의 잠재적으로 악의적인 출처에 대한 데이터를 보여줍니다.

다음은 대상 테이블 열의 설명입니다:

  • 대상 - 이야기와 관련된 트래픽 흐름에서 식별된 외부 출처의 도메인 또는 IP 주소

  • 생성일 - 대상 도메인의 등록 날짜

  • 대상 링크 - 다양한 외부 위협 인텔리전스 소스에서 대상을 검색하는 링크. 추가 정보를 보려면 VirusTotal 아이콘을 클릭하거나 드롭다운 메뉴에서 다른 리소스를 선택하십시오.

  • 악성 점수 - Cato 위협 인텔리전스 알고리즘에 따른 대상의 악성 점수. 점수 범위는 0 (양성) 부터 1 (악성) 까지입니다

  • 인기도 - Cato 내부 데이터 소스에서 대상의 출현 빈도. 값은: 인기 없음, 낮음, 중간, 높음입니다

  • 카테고리 - 대상 도메인에 대한 Cato 카테고리

  • 위협 인텔리전스 소스 - 카토 위협 인텔리전스 소스가 대상을 악성으로 감지한 수

  • 엔진 - 목표가 악성으로 탐지된 타사 보안 엔진의 수

  • 등록 국가 - 대상 도메인이 등록된 국가

  • Google 검색 결과 수 - 대상을 위한 Google 검색 결과 수

10

상위 연결

이상 현상과 관련된 상위 연결의 데이터입니다. 예시로, SDP 사용자 상향 대역폭 이상 현상의 경우, 사용된 업로드 대역폭이 가장 많은 연결입니다.

이들은 테이블 열의 설명입니다:

  • 애플리케이션 - 연결의 트래픽 흐름에서 감지된 애플리케이션

  • 소스 IP - 흐름을 보내거나 받는 네트워크 내의 소스 IP 주소

  • 목적지 - 흐름을 보내거나 받는 외부 대상의 IP 주소 또는 도메인

  • 플로우 - 연결과 연관된 흐름의 수

  • 다운로드 - 다운로드 대역폭 사용량

  • 업로드 - 업로드 대역폭 사용량

  • 사용량 - 총 대역폭 사용량

UEBA 이상 스토리의 사전 요구 사항

이상 감지 엔진에 의해 감지된 일부 지표는 커넥터 구성, 특정 라이센스 또는 둘 다가 필요합니다. 이 테이블은 이러한 지표의 사전 요구사항을 나열합니다. 테이블에 지표가 나열되어 있지 않으면 추가 요구사항이 없습니다.

지표

사전 요구사항

사용자 로그인 실패 이상 현상

CASB 라이선스 및 다음 커넥터 중 하나 이상:

  • 세일즈포스

  • GitHub

  • Azure ID

대량 다운로드 (사용자 다운로드 이벤트 이상 현상)

CASB 라이선스

대량 다운로드 (사이트 다운로드 이벤트 이상 현상)

CASB 라이선스

대량 업로드 (사용자 업로드 이벤트 이상 현상)

CASB 라이선스

대량 업로드 (사이트 업로드 이벤트 이상 현상)

CASB 라이선스

대량 삭제 (비정상적인 삭제 활동 - 사용자)

CASB 라이선스

대량 삭제 (비정상적인 삭제 활동 - 사이트)

CASB 라이선스

대량 생성 (비정상적인 파일 생성 활동 - 사용자)

CASB 라이선스

비추천 또는 비인가된 프로토콜의 최초 사용 - 사이트

위협 방지 라이선스

비추천 또는 비인가된 프로토콜의 최초 사용 - 사용자

위협 방지 라이선스

C&C 트래픽 이상 현상 - 사용자

위협 방지 라이선스

C&C S3 버킷으로의 최초 업로드 트래픽 이상 현상 - 사이트

위협 방지 라이선스

S3 버킷으로의 최초 업로드

CASB 및 안티멀웨어 라이선스

메일 삭제 이상 현상

CASB 라이선스 및 다음 커넥터

  • M365-Exchange

  • Microsoft Exchange 감사 활동

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개