드릴 다운 및 XOps 보안 스토리 분석

이 기사에서는 감지 및 대응 스토리 페이지를 사용하여 계정 내 잠재적 위협에 대한 스토리를 분석하는 방법을 설명합니다.

개요

XDR 발견 사건에서 스토리를 클릭하여 감지 및 대응 스토리 페이지에서 세부 정보를 조사할 수 있습니다. 이 페이지에는 스토리의 개요와 관련 스토리 요약이 포함되어 있습니다. 개요에는 XOps 엔진에 의해 식별된 잠재적 위협을 평가하는 데 도움이 되는 여러 위젯이 포함되어 있으며 관련 스토리 요약은 분석을 위한 더 광범위한 문맥에서 스토리를 설정하는 데 도움이 됩니다.

AI 스토리 요약 생성

스토리 작업대 드릴 다운에는 AI가 생성한 자연어 스토리 설명을 생성하여 풍부한 문맥을 제공하고 스토리를 빠르게 평가할 수 있는 도구가 포함되어 있습니다. 스토리 요약은 스토리의 현재 상태를 반영하기 위해 동적으로 생성됩니다. 스토리가 새로운 정보로 업데이트되면 변경 사항을 반영하기 위해 요약을 다시 생성할 수 있습니다.

  • AI 스토리 요약은 관리자에 의해 요청 시 생성됩니다.

토큰화를 통한 민감한 데이터 보호

스토리 데이터를 타사 AI 서비스에 전송하는 동안 강력한 데이터 보안을 위해 카토는 토큰화를 사용하여 모든 민감 데이터를 카토 XOps 플랫폼 내에 유지합니다. 이는 민감한 정보를 고유 식별자 또는 "토큰"으로 대체하여 허가받지 않은 엔티티에게 의미 없는 데이터를 제공합니다. 민감한 데이터는 절대 타사 서비스에 노출되지 않습니다. 이 접근 방식은 스토리의 세부 정보 기밀성을 보장하여 강력한 데이터 개인 정보 보호 및 보안 표준에 대한 우리의 약속을 준수합니다.

참고

참고: 생성 AI의 한계로 인해 스토리 요약에서 제공되는 정보는 때때로 부정확할 수 있습니다.

드릴 다운 및 스토리 분석

감지 및 대응 스토리에는 식별된 위협을 평가하기 위한 위젯이 포함되어 있습니다. 스토리 내에서 관련 알림 및 프로세스, 파일, 레지스트리 값, 예약된 작업, 네트워크 활동과 같은 지원 증거를 검토할 수 있습니다. 이 증거는 다음 중 하나로 제시됩니다:

  • 특정 알림의 맥락에서 제시된 연대순 프로세스 트리. 이는 수상해 보이고 알림을 생성한 이벤트의 순서를 이해하는 데 도움이 됩니다.

    참고: API 연결 문제로 인해 일부 스토리에서는 사용할 수 없을 수 있습니다.

  • 증거 표는 스토리에 대한 증거 개요를 제공합니다. 이는 엔드포인트 장치에서 특정 악의적 또는 의심스러운 활동의 유행을 보다 넓게 평가하는 데 도움이 됩니다.

스토리 개요 위젯 이해

Detection___Response_Story_Overview.png

다음은 스토리 개요 위젯입니다:

참고

참고: 모든 위젯이 모든 스토리에 포함되는 것은 아닙니다. 각 스토리의 위젯은 스토리 유형과 사용 가능한 데이터에 따라 다릅니다.

이름

설명

스토리 요약

개요는 스토리에 대한 기본 정보를 요약해서 보여 줍니다, 여기에는 다음이 포함됩니다:

  • 탐지된 공격에 대한 지표

  • 스토리를 생성한 감지 및 대응 엔진

  • 분석가에 의해 결정된 위협의 심각도

  • 분석가에 의해 결정된 위협에 대한 판결

  • 공격 유형 (예: 브라우저 확장 프로그램, 네이티브 애플리케이션, 스캐너, 웹 애플리케이션)

  • 분석가에 의해 결정된 위협의 세부 분류 (예: 포트 스캔, 최근 등록된 도메인, SMB 스캔)

  • 손상된 디바이스 수

  • 공격과 관련된 신호(트래픽 흐름)의 수

  • 생성된 이후 스토리의 지속 시간

  • 스토리 상태

    작업 드롭다운 메뉴를 사용하고 스토리 관리할 스토리 설정을 변경합니다, 분석가 판정, 분석가 심각도, 상태, 및 분류과 같은 항목을 포함합니다.

    관련 스토리 탭은 동일한 소스를 가진 스토리와 네트워크의 다른 소스를 포함하는 비슷한 특성을 가진 스토리를 빠르게 검토하면서 조사하는 스토리에 대한 맥락을 제공합니다.

    스토리 타임라인

    스토리의 타임라인을 표시하며, 여기에는 판결 및 심각도에 대한 변경이 포함되며, 스토리와 관련된 새로운 타겟이 식별될 때도 포함됩니다.

    세부 사항

    스토리를 분석하기 위한 주요 정보로, 위협 설명 및 위협에 대해 식별된 MITRE ATT&CK® 기술이 포함됩니다.

    • AI 요약 생성을 클릭하여 풍부한 문맥을 제공하고 스토리를 빠르게 평가하는 데 도움이 되는 자연어 스토리 설명을 생성합니다.

    기타 세부 사항에는 다음이 포함됩니다:

    • 중요도 - Cato의 기계 학습 위험 분석 알고리즘에 의해 계산된 스토리의 전반적 위험 점수 (값은 1 - 10 사이)

      이 기계 학습 모델은 '랜덤 포레스트'로 알려져 있으며, 위협 인텔리전스(TI) 및 네트워크 흐름 및 이벤트에서 생성된 데이터를 분석하여 중요도를 계산합니다.

      랜덤 포레스트는 여러 작은 '의사결정 트리'의 결과를 결합하여 정확성과 신뢰성을 향상시키는 ML 모델의 유형입니다. 보안 위협과 같은 복잡한 다중 요인 데이터를 평가하는 데 특히 유용합니다.

      중요도를 평가하기 위해 모델은 다음과 같은 중요한 요소를 고려합니다:

      • 운영 체제 유형

      • Cato 내 도메인 인기도

      • 클라이언트 분류

      • 이벤트를 생성하는 보안 엔진 유형 (해당되는 경우)

      • 취해진 조치 (차단, 모니터링 등)

      • MITRE 기법

      • IP 위치

      • WHOIS 데이터

      총 40개 이상의 매개 변수를 평가하여 스토리의 중요성을 포괄적이고 정확하게 평가합니다.

    • 예상 판결예측된 유형은 유사한 스토리의 최종 판결을 분석하여 잠재적인 멀웨어 유형과 그에 대한 판결을 예측합니다. 기계 학습 알고리즘이 유사한 스토리의 최종 판결을 분석합니다.

    MITRE ATT&CK® 프레임워크에 대한 자세한 내용은 MITRE ATT&CK® 대시보드 사용하기를 참조하십시오.

    • MITRE ATT&CK® 기술을 클릭하여 MITRE ATT&CK® 웹사이트에서 그 설명을 읽어보세요.

    출처

    위협의 영향을 받은 네트워크 내 사용자와 디바이스에 대한 기본 정보

    알림/사건/감지

    스토리와 관련된 알림에 대한 세부 정보를 보여줍니다.

    • 알림을 확장하여 프로세스, 파일, 레지스트리 값을 포함한 알림과 관련된 증거에 대한 연대순 프로세스 트리를 표시합니다.

    • 프로세스 트리의 항목을 클릭하여 증거에 대한 세부 데이터를 더 깊이 드릴다운하여 표시합니다.

    테이블에 나타나는 열은 다음과 같습니다:

    • 수상한 활동을 설명하는 것

    • 중요도 - Cato의 기계 학습 위험 분석 알고리즘에 의해 계산된 알림의 전반적 위험 점수 (값은 1 - 10 사이)

    • MITRE 기술 - 위협에 대해 식별된 MITRE ATT&CK® 기술

      MITRE ATT&CK® 프레임워크에 대한 자세한 내용은 MITRE ATT&CK® 대시보드 사용하기를 참조하십시오.

    • 상태 - 알림이 신규인지 이미 해결됨인지 보여줍니다.

    • 최초 활동 날짜 - 알림에 대해 탐지된 초기 수상한 활동의 날짜

    • 최근 활동 날짜 - 알림에 대해 탐지된 가장 최근의 수상한 활동의 날짜

    • 위협 이름 - 감지된 악성 소프트웨어의 이름입니다. 예시: Trojan:Win32/Startpage

    • 설명 및 권장 조치 - 간단한 알림 설명과 위협을 조사하고 완화하는 권장 단계를 보려면 보기를 클릭하세요.

    • 대상 - 알림에 관련된 URL

    • 목적지 IP - 스토리에 관련된 원격 IP 주소

    증거

    각종 스토리 알림에 대해 증거로 식별된 모든 프로세스, 파일, 레지스트리 값을 통합합니다.

    증거 테이블의 일부 열은 모든 유형의 증거에 의해 공유되며, 일부는 유형별로 특정합니다.

    모든 유형의 증거에 대한 열은 다음과 같습니다:

    • 판결 - 증거에 대한 Defender에서 생성된 판결(악성, 의심스러운, 또는 위협 없음)

    • 치료 상태 - 위협이 치료되었는지 여부를 나타냅니다.

    • 생성됨 - 이벤트가 기록된 날짜 및 시간

    각 증거 유형에 대한 특정 열은 다음과 같습니다:

    • 프로세스:

      • 프로세스 이름 - 프로세스 실행 파일의 이름

      • 프로세스 ID - Windows에서 프로세스에 할당한 ID 번호

      • 프로세스 명령줄 - Windows에서 프로세스로 전달된 인수입니다. 이는 의심스러운 프로세스 실행에 대한 중요한 컨텍스트를 드러낼 수 있습니다.

      • 파일 경로 - 엔드포인트 디바이스에서 프로세스 실행 파일의 위치

    • 파일:

      • 파일 경로 - 엔드포인트 디바이스에서 파일의 위치

      • 파일 이름 - 확장자를 포함한 파일 이름

      • 파일 크기 - 파일의 크기 (바이트, 킬로바이트 또는 메가바이트)

    • 레지스트리:

      • 레지스트리 키 이름

      • 레지스트리 값 유형 - 레지스트리 값에 저장된 데이터의 형식

      • 레지스트리 값 - 레지스트리 항목의 값

    공격 지리적 위치

    위협과 관련하여 네트워크의 소스(주황색 위치)와 외부 소스(빨간색 위치)의 지리적 위치를 표시합니다. 소스를 연결하는 화살표는 트래픽 방향을 나타냅니다.

    대상 조치

    각 대상과 관련된 이벤트는 다음 정보를 포함합니다:

    설명

    대상

    스토리와 관련된 트래픽 흐름에서 확인된 외부 소스의 도메인 또는 IP 주소

    유형

    대상과 관련된 이벤트를 생성한 보안 엔진

    작업

    대상과 관련된 트래픽에 대한 조치

    관련 이벤트

    대상과 관련된 이벤트에 나타나는 위협 시그니처를 표시합니다.

    • 서명을 마우스로 가리키면 요약 이벤트 로그를 표시합니다.

    • 서명을 클릭하면 서명으로 미리 필터링된 이벤트 페이지가 열립니다.

    공격 분포

    공격과 관련된 흐름의 시간 분포입니다.

    • 그래프를 읽기 쉽게 하려면, 대상에서 대상을 클릭하여 그래프에서 해당 데이터를 숨깁니다.

    • 공격 세부 정보를 표시하려면 그래프 위에 마우스를 올리십시오.

    대상

    스토리와 관련된 네트워크 사이트 외부의 잠재적으로 악성 소스에 대한 데이터를 표시합니다.

    설명

    생성 일자

    대상 도메인의 등록 날짜

    대상

    스토리와 관련된 트래픽 흐름에서 확인된 외부 소스의 도메인 또는 IP 주소

    대상 링크

    다양한 외부 위협 인텔리전스 소스에서 대상을 조회하기 위한 링크입니다.

    추가 정보를 보려면 VirusTotal 아이콘을 클릭하거나 드롭다운 메뉴에서 다른 리소스를 선택하십시오.

    악성 점수

    Cato 위협 인텔리전스 알고리즘에 따른 대상의 악성 점수입니다. 점수는 0 (양성)에서 1 (악성)까지 변동합니다.

    인기도

    대상이 Cato 내부 데이터 소스에 얼마나 자주 나타나는지를 나타냅니다. 값은: 인기 없음, 낮음, 중간, 높음입니다.

    카테고리

    대상 도메인에 대한 Cato 카테고리

    위협 인텔리전스 소스

    대상을 악성으로 감지한 Cato 위협 인텔리전스 소스의 수

    악성 탐지 엔진

    대상을 악성으로 감지한 타사 보안 엔진의 수

    등록 국가

    대상 도메인이 등록된 국가

    Google 검색 결과 수

    대상에 대한 Google 검색 결과 수

    공격 관련 플로우

    공격과 관련된 이벤트의 대표 샘플에 대한 데이터를 표시합니다.

    설명

    대상

    관련 통신 흐름의 대상 도메인 또는 IP

    시작 시간

    흐름 시작의 타임스탬프

    방향

    흐름의 방향입니다. 방향은 다음을 포함합니다:

    • 인바운드 - 외부 소스에서 시작되어 네트워크로 들어오는 트래픽

    • 아웃바운드 - 네트워크에서 외부 소스로 나가는 트래픽

    • WAN바운드 - 네트워크의 다른 사이트로 나가는 트래픽

    소스 IP

    흐름을 보내거나 받는 네트워크의 소스 IP 주소

    소스 포트

    흐름을 보내거나 받는 네트워크의 소스 포트

    목적지 IP

    흐름을 보내거나 받는 외부 대상의 IP 주소

    목적지 포트

    흐름을 보내거나 받는 외부 대상의 포트

    방법

    흐름의 HTTP 메소드 (GET, POST 등)

    전체 경로 URL

    흐름에서 외부 리소스의 전체 URL

    클라이언트

    이 네트워크 흐름을 생성한 운영 체제에서 실행되는 클라이언트 애플리케이션 유형 (예: Chrome)

    Cato 애플리케이션

    흐름에서 사용된 Cato 애플리케이션

    목적지 국가

    흐름 중 목적지 IP의 위치

    DNS 응답 IP

    DNS 조회로 반환된 IP 주소

    로그인 이벤트

    (이 위젯은 Microsoft Entra ID 커넥터가 필요합니다)

    로그인 이벤트의 데이터 세부 분석 차트를 통해 알림의 경고일과 그 전 이틀의 사용자의 통계를 확인할 수 있습니다. 드롭다운을 사용하여 차트에 표시할 데이터 유형을 선택하세요. 다음은 가능한 옵션입니다:

    • 소스 IP - 로그인 이벤트에서 감지된 소스의 IP 주소

    • 로그인 위치 - 로그인 시도가 이루어진 지리적 위치

    • 클라이언트 분류 - 로그인에 사용된 클라이언트 유형 (예: 브라우저 이름 및 버전)

    • 사용자 에이전트 - 로그인 시 사용된 사용자 에이전트, HTTP 헤더의 사용자 에이전트 필드에 표시됩니다. 다음은 사용자 에이전트의 예들입니다:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • 운영 체제 유형 - 로그인에 사용된 장치의 운영 체제 유형 (예: Windows, macOS)

    • 운영 체제 버전 - 로그인에 사용된 장치의 운영 체제 버전 번호

    사용자 로그인 이벤트

    (이 위젯에는 Microsoft Entra ID 커넥터가 필요합니다)

    알림의 경고일과 그 전 이틀의 사용자 로그인 이벤트 데이터를 표시합니다.

    테이블의 열은 다음과 같습니다:

    • 시간 - 로그인 이벤트의 시간

    • 사용자 이름 - 로그인 사용자 이름

    • 소스 IP - 로그인 이벤트에서 감지된 소스의 IP 주소

    • 로그인 위치 - 로그인 시도가 이루어진 지리적 위치

    • 작업 - 로그인 시도 결과 (값: 실패, 성공, 액세스 거부)

    • 실패 이유 - 실패 또는 액세스 거부에 대한 설명

    • 애플리케이션 - 사용자가 로그인하려고 했던 애플리케이션

    • 클라이언트 분류 - 로그인에 사용된 클라이언트 유형 (예: 브라우저 이름 및 버전)

    • 운영 체제 유형 - 로그인에 사용된 장치의 운영 체제 유형 (예: Windows, macOS)

    • 운영 체제 버전 - 로그인에 사용된 장치의 운영 체제 버전 번호

    • 사용자 에이전트 - 로그인 시 사용된 사용자 에이전트, HTTP 헤더의 사용자 에이전트 필드에 표시됩니다. 다음은 사용자 에이전트의 예들입니다:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    관련 스토리 요약 이해

    XDR_Related_Stories.png

    관련 스토리 요약은 동일한 소스와 네트워크 내 다른 소스를 포함하는 비슷한 특성을 가진 스토리를 빠르게 검토하여 조사 중인 스토리에 대한 맥락을 제공합니다. 요약은 각 관련 스토리에 대한 핵심 세부 정보를 표시하며, 관련 스토리에 대해 사전 필터링된 XDR 발견 사건이나 특정 관련 스토리에 대한 감지 및 대응 스토리 페이지를 쉽게 열 수 있게 해줍니다.

    관련 스토리 요약에 있는 테이블은 다음과 같습니다:

    • 가장 유사한 스토리 테이블을 통해 조사 중인 스토리와 유사한 특성을 가진 네트워크의 다른 소스가 관련된 스토리를 빠르게 확인할 수 있습니다. (예: 동일한 지표나 대상) 이 테이블은 대상 유사성 점수에 따라 상위 5개의 유사한 스토리까지 표시합니다. 이 테이블은 특정 시간 범위에 제한되지 않습니다.

    • 소스 스토리 테이블은 선택한 시간 범위 내에서 이 스토리의 소스에 의해 생성된 모든 스토리를 표시합니다. 기본 시간 범위는 지난 2주입니다. 이를 통해 이 소스의 더 큰 활동 맥락을 평가할 수 있습니다. 예를 들어, 이 스토리 내의 행동이 비정상적인지 또는 이 소스에 대해 일상적인 것인지 여부를 판단하는 데 도움을 줄 수 있습니다.

    다음 작업은 두 테이블에서 수행할 수 있습니다:

    • 워크벤치에서 보기를 클릭하여 테이블의 스토리를 보여주는 XDR 발견 사건으로 이동합니다.

    • 스토리 행을 클릭하여 해당 스토리에 대한 감지 및 대응 스토리 페이지를 엽니다.

    관련 스토리 테이블에 있는 열은 다음과 같습니다:

    • 생성 시간 - 스토리가 생성된 시간

    • 마지막 업데이트 - 스토리의 최신 업데이트 시간 (예: 새로운 대상 또는 변경된 판결)

    • 지표 - 스토리에 대한 공격의 지표. 지표에 대한 자세한 내용은 지표 카탈로그 사용하기를 참조하세요

      • Open_in_New_Tab.png을 클릭하여 이 스토리에 대한 검출 및 대응 스토리 페이지를 새 탭에서 엽니다.

      • Tooltip_icon.png을 클릭하여 지표에 대한 더 많은 정보를 확인하세요.

    • 소스 - 스토리에 참여한 네트워크의 IP 주소, 장치 이름, 또는 SDP 사용자

    • 대상 유사성 (유사한 상위 스토리 전용) - 조사된 스토리와 공통된 대상의 유사성 수준, 기계 학습 모델에 의해 계산됨 (백분율로 표시)

    • 일반 대상 (유사한 상위 스토리 전용) - 조사된 스토리와 공통된 타겟의 URL 또는 IP 주소

    • 위험 수준 - Cato의 스토리에 대한 위험 분석 (값은 1 (낮은 위험) - 10 (높은 위험) 범위)

    • 스토리 상태 - 포함된 값:

      • Open - 스토리가 생성되었고 해결되지 않음

      • Pending Customer - 스토리가 고객에게 보내졌으며 그들의 응답을 기다리는 중

      • Pending Analyst - 보안 분석가로부터 추가 정보를 기다리는 중

      • Closed - 보안 분석가가 스토리를 종결함

      • Reopened - XOps 제작자가 닫힌 스토리와 일치하는 새로운 트래픽을 감지하여 스토리를 자동으로 재개하여 추가 검토를 가능하게 합니다. 스토리가 처음 종결된 이후 12시간 이상 후에 감지된 트래픽에 대해 스토리가 재개됩니다. 12시간 이내에는 스토리가 완화 또는 음소거를 통한 처리로 인해 재개되지 않습니다.

    • 분석가 판단 - 분석가에 의해 스토리에 부여된 판결

    • 분석가 분류 - 분석가가 정의한 위협 유형의 세부 분류

    도움이 되었습니까?

    1명 중 1명이 도움이 되었다고 했습니다.

    댓글 0개