XOps 보안 이야기를 파고들어 분석

이 문서는 계정의 잠재적 위협 스토리를 분석하기 위해 감지 및 대응 스토리 페이지를 어떻게 활용할 수 있는지 설명합니다.

참고

참고: XOps는 보안 및 운영을 위한 Cato의 통합 분석 계층으로, 통찰력과 안내를 제공하는 복구를 제공합니다. XOps는 XDR을 대체하고 있으며, 더 많은 정보를 얻으려면 XOps FAQ를 참조하세요.

개요

이야기 작업대에서 이야기를 클릭하여 탐지 및 응답 이야기 페이지에서 세부사항을 깊이 조사할 수 있습니다. 이 페이지에는 관련 스토리 요약이 포함된 스토리의 개요가 포함되어 있습니다. 개요에는 XOps 엔진이 식별한 잠재적 위협을 평가하는 데 도움이 되는 여러 위젯이 포함되어 있으며, 관련 이야기에 대한 요약을 통해 분석을 위한 더 넓은 맥락에서 이야기를 이해할 수 있습니다.

AI 스토리 요약 생성

스토리 작업 중 심층 분석에는 AI에 의해 생성된 자연어 스토리 설명을 만들 수 있는 도구가 포함되어, 풍부한 컨텍스트를 제공하고 스토리를 신속하게 평가할 수 있습니다. 스토리 요약은 스토리의 현재 상태를 반영하도록 동적으로 생성됩니다. 스토리가 새 정보를 사용하여 업데이트되면 요약을 다시 생성하여 변경 사항을 반영할 수 있습니다.

  • AI 이야기 요약은 관리자에 의해 요청 시에만 생성됩니다

토큰화를 사용한 민감한 데이터 보호

이야기 데이터를 제3자 AI 서비스로 전송하는 동안 강력한 데이터 보안을 위해 Cato는 토큰화를 사용하여 모든 민감한 데이터가 Cato XOps 플랫폼에 남아 있도록 보장합니다. 이 방식은 민감 정보를 고유 식별자나 "토큰"으로 대체하여 허가되지 않은 단체에게 이 데이터가 의미 없게 만듭니다. 민감 데이터는 절대 타사 서비스에 노출되지 않습니다. 이 접근법은 스토리의 세부 정보를 비밀로 유지하는 것을 보장하며, 강력한 데이터 개인 정보 보호와 보안 표준에 대한 우리의 약속과 일치합니다.

참고

참고: 생성 AI의 제한으로 인해 스토리 요약에 제공된 정보가 가끔 부정확할 수 있습니다.

스토리 깊게 들여다보기 및 분석하기

탐지 및 대응 스토리에는 식별된 위협을 평가하기 위한 위젯이 포함되어 있습니다. 스토리 내에서 관련 경고와 프로세스, 파일, 레지스트리 값, 예약된 작업 및 네트워크 활동과 같은 증거를 검토할 수 있습니다. 이 증거는 다음 형식으로 제시됩니다:

  • 특정 경고의 맥락에서 제시된 순차적 프로세스 트리. 이는 경고를 생성하고 의심스러워 보였던 사건의 순서를 이해하는 데 도움이 됩니다.

    참고: API 연결 문제로 인해 일부 스토리에서는 사용할 수 없습니다.

  • 스토리에 대한 증거 개요를 제공하는 증거 표. 이는 엔드포인트 장치에서 특정 악의적 또는 의심스러운 활동의 유병률을 보다 광범위하게 평가하는 데 도움이 됩니다.

스토리 개요 위젯 이해하기

Detection___Response_Story_Overview.png

다음은 스토리 개요 위젯입니다:

참고

참고: 모든 위젯이 모든 스토리에 포함되어 있는 것은 아닙니다. 각 스토리의 위젯은 스토리 유형과 사용 가능한 데이터에 따라 다릅니다.

이름

설명

스토리 요약

개요에는 스토리에 대한 기본 정보의 요약이 표시되며, 여기에는 다음이 포함됩니다:

  • 탐지된 공격에 대한 표시

  • 이야기를 생성한 탐지 및 대응 엔진

  • 분석가가 결정한 위협의 심각도

  • 분석가가 결정한 위협에 대한 판결

  • 공격 유형(예: 브라우저 확장 프로그램, 네이티브 애플리케이션, 스캐너, 웹 앱)

  • 분석가가 판단한 위협에 대한 상세한 분류 (예: 포트 스캔, 신규 등록 도메인, SMB 스캔)

  • 손상된 장치 수

  • 공격과 관련된 신호(트래픽 흐름) 수

  • 스토리가 생성된 이후의 지속 시간

  • 스토리 상태

    작업 드롭다운 메뉴를 사용하여 스토리 관리을 선택하여 분석가 판단, Analyst Severity, 상태분류와 같은 스토리 설정을 변경하십시오.

    관련 스토리 탭은 동일한 소스와 유사한 특성을 가진 네트워크의 다른 소스를 포함하는 스토리를 빠르게 검토하여 조사 중인 스토리에 대한 맥락을 제공합니다.

    스토리 타임라인

    스토리 판결 및 심각성에 대해 이루어진 변경 사항과 스토리와 관련된 새 대상이 식별된 시기 등의 스토리 타임라인을 표시합니다

    세부 정보

    위협 설명 및 식별된 MITRE ATT&CK® 위협 기술을 포함하여 스토리를 분석하기 위한 주요 정보입니다.

    • AI 요약 생성을 클릭하여 풍부한 컨텍스트를 제공하고 스토리를 신속하게 평가하는 자연어 스토리 설명을 확인하십시오

    다른 세부 정보는 다음과 같습니다:

    • 중요성 - Cato의 머신러닝 위험 분석 알고리즘에 의해 계산된 이야기의 전체 위험 점수 (값은 1 - 10 범위)

      랜덤 포레스트라고 알려진 이 머신러닝 모델은 네트워크 플로우와 이벤트에서 생성된 데이터를 기반으로 위협 인텔리전스 (TI)로부터 특정 매개변수를 분석하여 중요성을 계산합니다.

      랜덤 포레스트는 명확도를 향상시키고 신뢰성을 높이기 위해 여러 작은 "결정 트리"의 결과를 결합하는 ML 모델의 유형입니다. 보안 위협 같은 복잡한 다중 요소 데이터를 평가하는 데 특히 유용합니다.

      중요도를 평가하기 위해 모델은 다음과 같은 중요한 요소를 고려합니다:

      • OS 유형

      • Cato 내 도메인 인기

      • 클라이언트 분류

      • 이벤트 생성 보안 엔진 유형(관련 있는 경우)

      • 취해진 조치(차단, 모니터링 등)

      • MITRE 기술

      • IP 위치

      • WHOIS 데이터

      총 40개 이상의 매개변수를 평가하여 스토리 중요성에 대한 포괄적이고 정확한 평가를 보장합니다.

    • 예상 판결예측된 유형은 머신러닝 예측에 기반한 가능한 판결과 잠재적 악성 소프트웨어 유형입니다. 머신러닝 알고리즘은 유사한 스토리들의 최종 판결을 분석합니다

    MITRE ATT&CK® 프레임워크에 대한 더 많은 정보는 MITRE ATT&CK® 대시보드 사용을 참조하세요.

    • MITRE ATT&CK® 기술을 클릭하여 MITRE ATT&CK® 웹사이트에서 설명을 읽어보세요

    출처

    위협에 의해 영향받은 네트워크의 사용자 및 장치에 대한 기본 정보

    경고/사건/탐지

    스토리에 관련된 경고에 대한 세부 정보를 표시합니다.

    • 경고와 관련된 증거에 대한 순차적 프로세스 트리를 표시하려면 경고를 확장하십시오. 여기에는 프로세스, 파일 및 레지스트리 값이 포함됩니다.

    • 증거에 대한 세부적인 데이터를 표시하기 위해 프로세스 트리의 항목을 클릭하여 더 깊이 볼 수 있습니다.

    이 표의 열은 다음과 같습니다:

    • 의심스러운 활동을 설명하는 것

    • 중요도 - 카토 머신러닝 위험 분석 알고리즘에 의해 계산된 경고의 전체 위험 점수 (값은 1 - 10)

    • MITRE 기술 - 위협에 대해 식별된 MITRE ATT&CK® 기술

      MITRE ATT&CK® 프레임워크에 대한 자세한 내용은 MITRE ATT&CK® 대시보드 사용을 참조하십시오.

    • 상태 - 경고가 새로운 것인지 이미 해결된 것인지 여부를 표시합니다

    • 첫 번째 활동 날짜 - 경고에 대해 탐지된 초기 의심 활동의 날짜

    • 마지막 활동 날짜 - 경고에 대해 탐지된 가장 최근 의심 활동의 날짜

    • 위협 이름 - 탐지된 악성 코드의 이름. 예를 들어: Trojan:Win32/Startpage

    • 설명 및 추천 조치 - 위협 조사 및 완화를 위해 권장되는 단계 및 간단한 경고 설명을 보려면 보기를 클릭하십시오

    • 대상 - 경고에 관련된 URL

    • 목적지 IP - 스토리에 관련된 원격 IP 주소

    증거

    각각의 스토리 경고에 대한 증거에서 식별된 모든 프로세스, 파일레지스트리 값을 집계한 세부 정보.

    증거 표의 일부 열은 모든 증거 유형에서 공유되며, 일부는 유형에 따라 다릅니다.

    모든 유형의 증거에 대해 나타나는 열은 다음과 같습니다:

    • 판결 - 증거에 대해 Defender에 의해 생성된 판결 (악의적, 의심스러운 또는 위협 없음)

    • 복구 상태 - 위협이 복구되었는지 여부를 표시합니다

    • 생성됨 - 이벤트가 기록된 날짜와 시간

    각 유형의 증거에 대한 구체적인 열은 다음과 같습니다:

    • 프로세스:

      • 프로세스 이름 - 프로세스 실행 파일의 이름

      • 프로세스 ID - 윈도우에서 할당한 프로세스의 ID 번호

      • 프로세스 명령 줄 - 윈도우에서 프로세스로 전달된 인자. 이는 의심스러운 프로세스의 실행에 대한 중요한 맥락을 드러낼 수 있습니다

      • 파일 경로 - 엔드포인트 장치의 프로세스 실행 파일 위치

    • 파일:

      • 파일 경로 - 엔드포인트 장치의 파일 위치

      • 파일 이름 - 확장자를 포함한 파일의 이름

      • 파일 크기 - 파일의 크기 (바이트, 킬로바이트 또는 메가바이트 단위)

    • 레지스트리:

      • 레지스트리 키 이름

      • 레지스트리 값 유형 - 레지스트리 값에 저장된 데이터의 형식

      • 레지스트리 값 - 레지스트리 항목의 값

    공격 지리적 위치

    위협과 관련된 네트워크 내 출처 지리적 위치(오렌지 색)와 외부 출처(빨간 색)를 보여줍니다. 출처를 연결하는 화살표가 트래픽의 방향을 나타냅니다

    대상 조치

    각 대상과 관련된 이벤트에는 다음 정보가 포함됩니다:

    설명

    대상

    스토리와 관련된 트래픽 흐름에서 식별된 외부 출처의 도메인 또는 IP 주소

    유형

    대상과 관련된 이벤트를 생성한 보안 엔진

    작업

    대상과 관련된 트래픽에 대해 수행된 작업

    관련 이벤트

    대상과 관련된 이벤트에 나타나는 위협 서명을 보여줍니다.

    • 서명에 마우스를 올리면 요약 이벤트 로그가 표시됩니다

    • 서명을 클릭하여 서명에 대해 사전 필터링된 이벤트 페이지를 엽니다

    공격 분포

    공격 관련 플로우의 시간 분포.

    • 그래프를 쉽게 읽을 수 있도록 대상에서 대상을 클릭하여 그 데이터를 그래프에서 숨길 수 있습니다

    • 공격 세부 정보를 표시하려면 마우스를 그래프 위에 올리세요

    대상

    스토리와 관련된 네트워크 사이트 외부의 잠재적으로 악의적인 출처에 대한 데이터를 보여줍니다.

    설명

    생성 날짜

    대상 도메인의 등록 날짜

    대상

    스토리와 관련된 트래픽 흐름에서 식별된 외부 출처의 도메인 또는 IP 주소

    대상 링크

    다양한 외부 위협 인텔리전스 소스를 통해 대상을 검색할 수 있는 링크입니다.

    추가 정보를 위해 바이러스 토탈 아이콘을 클릭하거나 드롭다운 메뉴에서 다른 리소스를 선택하세요.

    악성 점수

    Cato 위협 인텔리전스 알고리즘에 따른 대상의 악성 점수. 점수는 0 (양성)에서 1 (악성)까지 범위입니다

    인기도

    대상이 카토 내부 데이터 소스에 얼마나 자주 나타나는지. 값은 다음과 같습니다: Unpopular, 낮음, 중간, 높음

    카테고리

    대상 도메인의 Cato 카테고리

    위협 인텔리전스 소스

    대상을 악성으로 감지한 Cato 위협 인텔리전스 소스의 수

    악성 탐지 엔진

    대상을 악성으로 감지한 제삼자 보안 엔진의 수

    등록 국가

    대상 도메인이 등록된 국가

    Google 검색 결과 수

    대상의 Google 검색 결과 수

    공격 관련 흐름

    공격과 관련된 이벤트의 대표 샘플 데이터를 표시합니다.

    설명

    대상

    관련된 통신 흐름의 대상 도메인 또는 IP

    시작 시간

    흐름 시작의 타임스탬프

    방향

    흐름 방향. 방향에는 다음이 포함됩니다:

    • 인바운드 - 외부 출처에서 네트워크로 들어오는 트래픽

    • 아웃바운드 - 네트워크에서 외부 출처로의 트래픽

    • WANbound - 네트워크에서 같은 네트워크의 다른 사이트로의 트래픽

    소스 IP

    흐름을 보내거나 받는 네트워크의 소스 IP 주소

    소스 포트

    흐름을 보내거나 받는 네트워크의 소스 포트

    목적지 IP

    흐름을 보내거나 받는 외부 대상의 IP 주소

    목적지 포트

    흐름을 보내거나 받는 외부 대상의 포트

    방법

    흐름의 HTTP 메소드 (GET, POST 등)

    전체 경로 URL

    흐름에 있는 외부 자원의 전체 URL

    클라이언트

    이 네트워크 흐름을 생성한 운영 체제에서 실행된 클라이언트 애플리케이션 유형 (예: Chrome)

    Cato 애플리케이션

    흐름에 사용된 Cato 애플리케이션

    목적지 국가

    흐름의 목적지 IP의 위치

    DNS 응답 IP

    DNS 조회에 의해 반환된 IP 주소

    로그인 이벤트

    (이 위젯은 Microsoft Entra ID 커넥터가 필요합니다)

    사용자의 로그인 이벤트로부터 경고 당일과 그 이전 2일 동안의 데이터 분석 차트를 보여줍니다. 드롭다운을 사용하여 차트에 표시할 데이터 유형을 선택하십시오. 다음은 선택 가능한 옵션들입니다:

    • 소스 IP - 로그인 이벤트에서 탐지된 소스의 IP 주소

    • 로그인 위치 - 로그인 시 수행된 위치의 지리적 위치

    • 클라이언트 분류 - 로그인에 사용된 클라이언트 유형 (예: 브라우저 이름 및 버전)

    • 사용자 에이전트 - 트래픽의 HTTP 헤더에 있는 사용자 에이전트 필드에 나타나는 로그인에 사용된 사용자 에이전트. 다음은 사용자 에이전트 값의 예입니다:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • 운영 체제 유형 - 로그인에 사용된 장치의 운영 체제 유형 (예: Windows, macOS)

    • 운영 체제 버전 - 로그인에 사용된 장치의 운영 체제 버전 번호

    사용자 로그인 이벤트

    (이 위젯은 Microsoft Entra ID 커넥터가 필요합니다)

    경고 당일 및 그 이전 2일의 사용자 로그인 이벤트 데이터를 표시합니다.

    이 표의 열은 다음과 같습니다:

    • 시간 - 로그인 이벤트의 시간

    • 사용자 이름 - 로그인의 사용자 이름

    • 소스 IP - 로그인 이벤트에서 탐지된 소스의 IP 주소

    • 로그인 위치 - 로그인 수행 위치의 지리적 위치

    • 작업 - 로그인 시도의 결과 (값: 실패, 성공, 액세스 거부)

    • 실패 이유 - 실패 또는 액세스 거부의 로그인 결과에 대한 설명

    • 애플리케이션 - 사용자가 로그인하려고 시도한 애플리케이션

    • 클라이언트 분류 - 로그인에 사용된 클라이언트 유형 (예: 브라우저 이름 및 버전)

    • 운영 체제 유형 - 로그인에 사용된 장치의 운영 체제 유형 (예: Windows, macOS)

    • 운영 체제 버전 - 로그인에 사용된 장치의 운영 체제 버전 번호

    • 사용자 에이전트 - HTTP 헤더의 사용자 에이전트 필드에 나타나는 로그인 시 사용된 사용자 에이전트입니다. 다음은 사용자 에이전트 값의 예입니다:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    관련 스토리 요약 이해하기

    XDR_Related_Stories.png

    관련 스토리 요약은 동일한 소스를 가진 스토리와 네트워크의 다른 소스를 포함하는 비슷한 특성을 가진 스토리를 빠르게 검토하여 조사 중인 스토리에 대한 맥락을 제공합니다. 요약은 각 관련 스토리의 주요 세부 정보를 보여주고, 관련 스토리에 사전 필터링된 XDR 발견 사건 또는 특정 관련 스토리에 대한 탐지 & 대응 스토리 페이지를 쉽게 열 수 있도록 해줍니다.

    다음은 관련 스토리 요약의 테이블입니다:

    • 상위 유사한 스토리 테이블은 같은 지표나 대상을 포함하여 조사 중인 스토리와 유사한 특성을 가진 스토리에 네트워크의 다른 소스가 포함되는지를 빠르게 확인할 수 있게 해줍니다. 이 테이블은 대상 유사성 점수에 따라 최대 상위 5개의 유사한 스토리를 보여줍니다. 테이블은 특정 시간 범위에 제한되지 않습니다.

    • 소스에 있는 스토리 테이블은 선택된 시간 범위 내에서 이 스토리의 소스에 의해 생성된 모든 스토리를 보여줍니다. 기본 시간 범위는 지난 2주입니다. 이를 통해 이 소스의 활동에 대한 더욱 폭넓은 맥락을 평가할 수 있습니다. 예를 들어, 이는 이 스토리의 행동이 이 특정 소스에 대해 비정상적인지 일상적인지 결정하는 데 도움이 될 수 있습니다.

    다음 작업은 두 테이블에서 수행할 수 있습니다:

    • 워크벤치에서 보기를 클릭하여 테이블에 있는 스토리를 보여주기 위해 사전 필터링된 XDR 발견 사건을 엽니다

    • 스토리의 행을 클릭하여 해당 스토리에 대한 탐지 & 대응 스토리 페이지를 엽니다

    다음은 관련 스토리 테이블의 열입니다:

    • 생성 시간 - 스토리가 생성된 시간

    • 최근 업데이트 - 새 대상이나 변경된 판결 같은 최신 스토리 업데이트 시간

    • 지표 - 스토리의 공격 지표. 징후에 대한 더 많은 정보는 징후 카탈로그 사용을 참조하세요.

      • 이 스토리의 탐지 & 응답 스토리 페이지를 새 탭에서 열기 위해 Open_in_New_Tab.png을 클릭하십시오.

      • 표시에 대한 더 많은 정보를 보려면 Tooltip_icon.png을 클릭하십시오.

    • 소스 - 스토리에 관련된 네트워크 내의 IP 주소, 디바이스 이름 또는 SDP 사용자

    • 대상 유사성 (가장 유사한 스토리만 해당) - 조사된 스토리와 공통된 대상의 유사도 수준, 기계 학습 모델에 의해 계산됨 (백분율로 표시)

    • 일반 대상 (가장 유사한 스토리만 해당) - 조사 중인 스토리와 공통으로 포함된 대상의 URL 또는 IP 주소

    • 위험 수준 - 스토리에 대한 Cato의 위험 분석 (값은 1 (낮음)부터 10 (높음)까지)

    • 스토리 상태 - 포함된 값:

      • 열기 - 스토리가 생성되었으며 해결되지 않음

      • 대기 중 고객 - 스토리가 고객에게 전송되었으며 그들의 응답을 기다리는 중

      • 대기 중 분석가 - 보안 분석가로부터 추가 정보를 기다리는 중

      • 종결 - 보안 분석가가 스토리를 닫음

      • 다시 열림 - XOps 생산자가 닫힌 이야기와 일치하는 새로운 트래픽을 탐지하고 자동으로 이야기를 다시 열어 추가 검토를 가능하게 합니다. 스토리가 처음 닫힌 후 12시간 이상 경과하여 감지됨 트래픽에 대해 재개됨. 12시간 이내에는 스토리가 재개되지 않아 완화 또는 음소거를 통해 스토리를 처리할 수 있습니다

    • 분석가 판단 - 분석가에 의해 스토리에 할당된 판단

    • 분석가 분류 - 분석가에 의해 정의된 위협 유형의 상세한 분류

    도움이 되었습니까?

    1명 중 1명이 도움이 되었다고 했습니다.

    댓글 0개