이 문서에서는 Cato XOps 플랫폼의 보안 및 네트워크 운영 기능과 다양한 XOps 라이센스 계층에 포함된 내용을 설명합니다.
Cato XOps 플랫폼은 보안 운영 팀과 네트워크 운영 팀이 AI와 자동화를 활용하여 조직의 네트워크를 보안 위협과 네트워크 성능 문제 동안 모니터링할 수 있도록 합니다. XOps는 관리할 수 없는 양의 보안 및 네트워크 이벤트를 소비 가능한 범용 및 실행 가능한 스토리로 변환합니다.
플랫폼은 다양한 유형의 고급 상관 엔진을 포함하여, 트래픽 데이터를 분석하여 특정 위협 활동 또는 네트워크 문제의 징후와 일치하는 것을 찾습니다. 엔진이 일치를 발견하면 Cato 관리 애플리케이션(CMA)에서 검토 및 조사할 수 있는 스토리를 생성합니다. CMA는 이러한 엔진을 생산자라고 합니다.
각 XOps 스토리는 동일한 위협 또는 네트워크 문제와 관련된 공통 속성의 트래픽 흐름 데이터를 포함합니다. 스토리 작업대 페이지는 각 스토리의 세부 정보를 표시하여 이해하고 분석하는 데 도움을 줍니다. 스토리를 정렬하고 필터링하여 가장 중요한 잠재적 공격을 찾고, 그 후 스토리를 세부 조사하여 자세한 내용을 확인할 수 있습니다.
다양한 XOps 스토리 생산자의 이름과 설명은 다음과 같습니다:
-
위협 예방 - Cato XOps 위협 예방 제작자는 IPS 및 안티 멀웨어와 같은 Cato의 실시간 보안 서비스에서 생성된 이벤트에서 특정 공격 행동을 탐지합니다. 위협 예방 스토리는 분석가들이 즉각적이고 높은 신뢰도의 위협에 집중할 수 있게 돕습니다.
위협 예방 스토리는 보안 서비스 중 하나에 의해 차단된 트래픽 이벤트를 기반으로 하는 경우가 많습니다. 그러나 트래픽이 이미 차단되었더라도 이 트래픽이 진행 중인 위협과 관련이 있을 가능성이 있습니다. XOps 스토리는 의심스러운 트래픽의 상황과 세부 사항을 조사하여 추가적인 대응이 필요한 위협이 있는지 판단하는데 도움이 됩니다.
위협 예방 스토리에 대한 자세한 내용은 XOps 보안 스토리 분석를 참조하세요.
-
위협 헌팅 - 위협 헌팅 제작자는 데이터 레이크에 저장된 방대한 양의 과거 트래픽 데이터를 지속적으로 스캔하여 잠재적인 위협을 나타내는 트래픽 패턴을 탐지합니다. 위협 방지 생산자가 최근 이벤트에 중점을 두는 것과 달리, 위협 탐지 생산자는 저장된 트래픽 데이터에서 시간 경과에 따른 상관관계를 찾습니다. 정확성을 보장하기 위해 일주일간의 데이터에서 상관관계를 식별합니다. 또한, 위협 방지 생산자가 이벤트 로그의 데이터를 살펴보는 반면, 위협 탐지 생산자는 트래픽 흐름의 더 넓은 데이터 집합을 분석합니다. 이로써 위협 탐지 생산자는 더욱 은밀하여 일반적인 방법으로 식별하기 어려운 위협을 감지할 수 있으며, 이는 더 적거나 탐지하기 어려운 서명을 생성합니다.
다음은 사이버스쿼팅 피싱 위협과 관련된 40개의 다른 트래픽 흐름(신호)을 식별한 위협 탐지 스토리의 개요 페이지입니다:
위협 헌팅 스토리에 대한 자세한 내용은 XOps 보안 스토리 분석를 참조하세요.
-
사용량 이상 현상 - Cato의 사용자 및 엔터티 행동 분석(UEBA) 기능의 일부로, 이 생산자는 사용자 및 사이트 네트워크 활동을 머신러닝 알고리즘 과정으로 계산된 기준선과 비교하여 기준 사용 수준에서 의심스러운 편차를 생성합니다. 예를 들어, 특정 사용자가 평소보다 더 많은 상위 대역폭을 사용하는 것으로 감지됩니다.
사용량 이상 스토리에 대한 자세한 내용은 XOps UEBA 사용 및 이벤트 이상 스토리 분석를 참조하세요.
-
이상 이벤트 - Cato의 UEBA 기능의 또 다른 요소로, 이 생산자는 네트워크에서 많은 수의 보안 이벤트를 트리거하는 엔터티와 관련된 표시를 감지합니다. 예를 들어, 사용자가 특정 방향으로의 트래픽에 대해 비정상적으로 많은 수의 IPS 차단 이벤트와 연관되어 있는 경우, 이는 사용자의 장치에 잠재적 감염이 있음을 나타낼 수 있습니다.
이벤트 이상 스토리에 대한 자세한 내용은 XOps UEBA 사용 및 이벤트 이상 스토리 분석를 참조하세요.
-
경험 이상: 특정 사이트 및 애플리케이션에 대해 애플리케이션 사용자 경험의 이상 현상을 감지합니다. 애플리케이션을 14일 동안 모니터링한 후, TTFB(첫 번째 바이트 수신 시간)를 사용하여 기준점을 생성합니다. 생산자는 매일 한 번 트래픽을 점검하고, 애플리케이션 경험이 기준선과 크게 다를 경우 스토리를 생성합니다. 스토리는 영향을 받는 사이트, 애플리케이션, 트래픽 흐름 및 가능한 성능 문제를 검토하는 데 도움이 됩니다.
-
계정 운영: 사용자, 사이트 및 서비스에 영향을 미칠 수 있는 계정 수준 문제를 감지합니다. 여기에는 디렉터리 동기화 실패, 라이선스 소진, 만료된 인증서, 커넥터 문제, 기타 구성 또는 운영 문제 등이 포함됩니다. 생산자는 문제를 이해하고 그 범위와 영향력을 검토하며, 정상 운영을 복원하기 위한 안내된 해결 조치를 따르도록 돕는 스토리를 생성합니다.
-
예측적 인사이트: 서비스에 영향을 미치기 전에 잠재적 성능 및 가용성 위험을 감지합니다. 네트워크 동향, 자원 사용량 및 구성 컨텍스트를 분석하여 문제 발생을 예상합니다. 예를 들어, 사이트 소켓이 허용되는 CPU 사용량을 초과할 것으로 예측될 때 스토리를 생성할 수 있습니다. 스토리는 예측을 검토하고, 문제가 언제 심각해질 수 있는지를 이해하며, 안내된 해결 조치를 따르도록 돕습니다.
-
Microsoft 엔드포인트 알림 - Microsoft Defender for Endpoint를 사용하는 고객은 Defender 알림 데이터를 Cato XOps와 통합하여 엔드포인트 장치에 대한 이야기를 생성할 수 있습니다. Microsoft 엔드포인트 경고 생산자는 같은 장치에서 24시간 내 발생한 모든 Defender 경고 데이터를 연관하여 스토리를 만듭니다. 엔드포인트 알림 스토리는 Defender가 탐지한 알림에 대한 모든 관련 증거를 포함합니다. 이러한 스토리는 엔드포인트로 초점을 확장하여 네트워크에서 잠재적 위협에 대한 보다 완전한 그림을 얻는 데 도움을 줍니다.
Defender for Endpoint를 Cato XOps에 통합하는 방법에 대한 자세한 내용은 Microsoft Defender for Endpoint Alerts: XOps 통합 구성을 참조하세요.
-
Microsoft Entra ID 알림 - Microsoft Entra ID Protection의 알림 데이터를 통합하여 Cato XOps 이야기를 생성할 수 있습니다. 이는 분석가가 XOps 조사에서 위험이 높은 로그인 데이터를 더 넓은 컨텍스트에서 포함할 수 있게 합니다. Cato Entra Identity Alert 엔진은 동일한 사용자에게 24시간 이내에 발생한 Entra ID Protection 알림 데이터를 상관하여 스토리를 생성합니다.
Entra ID Alerts를 Cato XOps에 통합하는 방법에 대한 자세한 내용은 Microsoft Entra ID: XOps 통합 구성을 참조하세요.
-
클라우드 탐지 및 대응: Wiz 문제를 사용하여 클라우드 환경에서 위험을 감지합니다. 여기에는 안전하지 않은 구성, 취약한 애플리케이션, 노출된 자격 증명 및 위협 감지가 포함됩니다. 생산자는 거의 실시간으로 Wiz 문제를 처리하고 스토리를 XDR 발견 사건에서 생성합니다. 이러한 스토리는 Wiz 클라우드 인텔리전스와 Cato 컨텍스트를 결합하여 클라우드 위험을 조사하고 가능한 교차 환경 공격을 식별하는 데 도움을 줍니다.
-
Cato 엔드포인트 경고 - Cato EPP 솔루션은 Cato XOps와 통합되어 엔드포인트 장치에 대한 스토리를 생성합니다. Cato Endpoint Alerts 생산자는 24시간 이내에 동일한 장치에서 발생한 모든 Cato EPP 알림 데이터를 상관하여 스토리를 생성합니다. Cato Endpoint Alerts 스토리는 Cato EPP에서 탐지한 모든 관련 증거를 포함합니다.
Cato 엔드포인트 알림 스토리에 대한 자세한 내용은 Cato Endpoint Protection (EPP): XOps 통합 구성을 참조하세요.
-
SentinelOne 알림 - SentinelOne을 사용하는 고객은 SentinelOne EDR에서 데이터를 통합하여 엔드포인트 장치를 위한 이야기를 생성할 수 있습니다. SentinelOne 생산자는 90일 이내에의 에이전트 UUID(장치 ID)와 위협 파일 해시를 기준으로 SentinelOne EDR 사건 데이터를 상관시켜 스토리를 생성합니다. 이러한 스토리는 SentinelOne이 탐지한 사건에 대한 모든 관련 증거를 포함합니다. 스토리는 초기 경고가 생성된 후 거의 실시간으로 생성됩니다.
SentinelOne 알림을 통합하는 방법에 대한 자세한 내용은 SentinelOne EDR: XOps 통합 구성을 참조하세요.
-
CrowdStrike 알림 - CrowdStrike를 사용하는 고객은 Incident ID를 기반으로 한 CrowdStrike 탐지 데이터와 통합할 수 있습니다. 이러한 스토리는 CrowdStrike에 의해 식별된 탐지에 대한 모든 관련 증거를 포함합니다. 스토리는 초기 경고가 생성된 후 거의 실시간으로 생성됩니다.
CrowdStrike 알림을 통합하는 방법에 대한 자세한 내용은 CrowdStrike: XOps 통합 구성을 참조하세요.
-
사이트 운영 - Cato XOps는 네트워크 운영과 보안 운영을 단일 플랫폼으로 통합하는 AIOps 생산자, 사이트 운영(공식적으로는 네트워크 XDR) 기능을 제공합니다. 이 생산자는 연결성과 성능과 관련된 다양한 표시 및 지표를 감지하고, 네트워크 문제와 관련된 데이터를 상관하여 스토리를 생성합니다. 예를 들어 WAN 링크가 간헐적으로 높은 패킷 손실을 겪고 있는 경우, 생산자는 링크에 대한 모든 관련 데이터를 포함하는 단일 스토리를 생성합니다.
Cato XOps에서의 네트워크 스토리에 대한 자세한 내용은 사이트 운영 스토리 검토를 참조하세요.
이 섹션에서는 각 생산자에 대한 사용 사례를 제공합니다:
시나리오
사용자가 피싱 링크를 클릭하면 익스플로잇 키트를 호스팅하는 사이트로 리디렉션됩니다.
작동 방식
Cato의 IPS는 실시간으로 익스플로잇 시도를 탐지하고 엔드포인트에 도달하기 전에 트래픽을 차단합니다.
이야기
위협 예방 제작자가 만드는 스토리는 다음을 보여줍니다:
-
사용자 신원 및 위치
-
익스플로잇 키트 서명 (예: CVE 참조)
-
조치 (트래픽이 차단됨)
결과
보안 팀은 신속하게 익스플로잇 시도가 발생했음을 알게 되며, 엔드포인트 감염은 발생하지 않습니다. 피싱 이메일이 추가적인 사용자에게 도달했는지 추적할 수 있습니다. 유사한 이야기 탭은 동일한 도메인에 액세스하려고 했던 다른 사용자를 표시하고, 이벤트 페이지는 IPS 서명 및 CVE를 깊이 분석하여 네트워크의 다른 곳에서 표면화되었는지 식별합니다.
시나리오
HR 직원은 주로 주간에 약 50 MB의 파일을 업로드합니다. 갑자기 외부 파일 공유 사이트에 5GB를 업로드합니다.
어떻게 작동하는지
사용량 이상 제작자는 기계 학습을 사용하여 사용자의 기준선과 현재 활동을 비교합니다. 급등이 감지됩니다.
스토리
스토리는 다음을 보여줍니다:
-
기준선과 새로운 행동
-
목적지 (Dropbox, Google Drive, 등)
-
트래픽의 타임스탬프 및 볼륨
결과
보안팀은 사용자가 실수로 개인 계정에 기밀 파일을 업로드했음을 알게 됩니다. 파일이 제거되고 Cato는 향후 발생 방지를 위해 DLP 제어를 강화할 것을 권장합니다.
시나리오
Microsoft Defender for Endpoint가 워크스테이션에서 악성 PowerShell 스크립트를 탐지합니다.
작동 방식
경고는 Microsoft Defender에서 커넥터를 통해 Cato로 전달됩니다.
이야기
XOps 플랫폼은 다른 제작자의 관련 이야기들로, 엔드포인트 알림을 이 제작자 이야기들과 연관시킵니다 (예: 의심스러운 IP로의 아웃바운드 트래픽).
결과
SOC 팀은 엔드포인트 악성코드와 일치하는 네트워크 행동의 통합된 뷰를 제공받아 빠른 격리와 근본 원인 분석을 가능하게 합니다.
시나리오
지점 사무소에서 간헐적으로 연결 문제가 발생하고, 주요 ISP 링크가 반복적으로 상하로 이동하다가(플래핑) 클라우드 애플리케이션 및 VPN 터널에 대한 액세스를 방해합니다.
작동 방식
Cato의 사이트 운영 엔진은 링크 상태를 지속적으로 모니터링합니다. 여러 링크 다운 및 링크 업 이벤트가 가까이 발생하는 경우, 이를 하나의 스토리로 그룹화하여 개별 사건이 아닌 불안정성 패턴을 식별합니다.
스토리
스토리에는 다음이 표시됩니다:
-
영향을 받는 사이트 및 특정 WAN 링크
-
모니터링 창 기간 동안 연관된 링크 플랩의 시간대
-
플래핑 행동을 식별하는 분석(예: 10분 내에 링크 다운 이벤트 5회)
결과
사이트 운영 엔진은 모든 관련 이벤트를 하나의 연관된 스토리로 집계하여 알림 소음을 줄이고 잠재적인 만성 연결 문제를 강조합니다. IT 팀은 사전적으로 통보를 받고 백업 ISP 링크로 전환하며, 제공자와 함께 근본 원인을 해결하여 다운타임을 최소화하고 반복적인 서비스 중단을 방지합니다.
XOps 라이센스는 계정에 이용 가능한 생산자와 서비스가 Cato에 의해 관리되는지 여부를 결정합니다. 모든 라이센스 계층은 Cato 관리 애플리케이션의 XOps 플랫폼 도구를 통해 이점을 누릴 수 있습니다:
아래 표는 2025년 8월 6일부터 적용되는 XOps 라이센스 계층을 설명합니다. 그리고 각 계층에 대해 사용 가능한 생산자를 설명합니다. XOps 라이센스 구매에 대한 자세한 내용은 Cato 담당자나 공식 리셀러에게 문의하십시오.
|
라이센스 |
설명 |
|---|---|
|
라이센스 없음 |
연결자가 구성된 경우, 이벤트는 다음 생산자에 의해 생성됩니다:
|
|
XOps |
스토리로 데이터를 상관시키는 다음의 생산자 세트, 이를 조사하는 플랫폼, 완화 권장사항 및 완화 조치를 포함하는 유료 비관리형 계층:
|
|
MDR |
스토리의 보안과 관리를 강화하는 관리형 24/7 SOC 서비스를 포함한 유료 계층. 이 서비스는 Cato Managed Detection and Response 팀에 의해 제공되며 다음을 포함합니다:
|
댓글 0개
댓글을 남기려면 로그인하세요.