이 문서에서는 Cato XOps 플랫폼을 사용하여 위협을 조사하기 위한 모범 사례를 설명합니다.
Cato XOps 플랫폼은 보안 운영 및 네트워크 운영 팀이 AI와 자동화를 활용하여 조직의 네트워크를 모니터링하여 보안 위협 및 네트워크 성능 문제를 파악할 수 있도록 활성화합니다. XOps는 관리할 수 없는 양의 원시 보안 및 네트워크 이벤트를 소비 가능한 교차 기능의 실행 가능한 스토리로 변환합니다.
이 문서에서는 XOps를 최대한 활용하여 조직의 보안 모니터링과 위협의 대응 능력을 크게 향상시키기 위한 모범 사례를 설명합니다. 먼저 통합 구성을 논의하여 XOps 기능을 확장하는 방법을 설명하고, 그런 다음 스토리 작업대에서 사연을 조사하는 종단 간 워크플로를 설명합니다. 여기에는 다음 단계가 포함됩니다:
XOps 플랫폼의 유용성을 극대화하려면, XOps 스토리의 생산자 수와 유형을 확장하는 지원되는 통합 구성을 권장합니다. 잠재적 위협에 대한 보다 완전한 그림을 얻고, 네트워크와 엔드포인트 모두로 확장되는 통일된 XOps 플랫폼에서 조사를 수행할 수 있도록 다음의 엔드포인트 보안 통합 중 하나를 설정할 것을 권장합니다. 전체 XOps 생산자의 목록은 Cato XOps 서비스에 오신 것을 환영합니다를 참조하세요.
- Microsoft Defender for Endpoint 커넥터 - Defender for Endpoint를 사용 중인 고객은 Microsoft API를 활용하여 Defender 경고 데이터를 통합하고 엔드포인트 장치에 대한 XOps 스토리를 생성할 수 있습니다. 이 통합에 대한 자세한 내용을 보려면 Microsoft Defender for Endpoint 경고: XOps 통합 구성을 참조하세요.
-
SentinelOne Alerts - SentinelOne을 사용하는 고객은 SentinelOne EDR에서 데이터를 통합하여 엔드포인트 장치에 대한 스토리를 생성할 수 있습니다. SentinelOne 생산자는 90일 이내에 에이전트 UUID(기기 ID)와 위협 파일 해시를 기반으로 SentinelOne EDR 사건과 데이터를 상관 지어 스토리를 생성합니다. 이러한 스토리에는 SentinelOne이 탐지한 사고와 관련된 모든 관련 증거가 포함되어 있습니다.
SentinelOne Alerts 통합에 대한 자세한 내용은 SentinelOne EDR: XOps 통합 구성을 참조하세요.
-
CrowdStrike Alerts - CrowdStrike를 사용하는 고객은 사건 ID를 기반으로 한 CrowdStrike 탐지 데이터를 통합할 수 있습니다. 이러한 스토리에는 CrowdStrike가 식별한 탐지를 위한 모든 관련 증거가 포함되어 있습니다.
CrowdStrike Alerts 통합에 대한 자세한 내용은 CrowdStrike: XOps 통합 구성을 참조하세요.
- Cato 엔드포인트 보호 - Cato EPP 솔루션은 별도의 커넥터 구성이 필요 없이 Cato XOps와 네이티브 통합되어 엔드포인트 장치에 대한 스토리를 생성합니다. 이 통합에 대한 자세한 내용은 Cato 엔드포인트 보호 (EPP): XOps 통합 구성을 참조하세요.
스토리 작업대에서 작업할 적절한 스토리를 선택하는 것은 XOps 플랫폼의 효과적인 사용을 위한 중요한 첫 단계입니다. 작업대에 제공된 도구와 정보를 사용하여 가장 높은 우선 순위의 스토리를 신속하게 식별할 수 있습니다. 다음 단계를 권장합니다:
-
스토리 그룹화 - 그룹 옵션은 귀하의 계정의 다양한 스토리 유형을 빠르게 파악하고, 네트워크에서 특정 관심 항목인 소스나 사용자를 나타낼 수도 있습니다. 이는 유용한 그룹 옵션의 예시입니다:
- 소스 및 소스 IP - 스토리에 관련된 사용자, 장치 및 IP 주소를 빠르게 확인하세요
- 생산자 - 감지된 다양한 유형의 스토리를 빠르게 검토하세요. 다양한 유형의 생산자에 대해 자세히 알아보려면 Cato XOps 서비스에 오신 것을 환영합니다를 참조하세요.
- 지표 - 감지된 공격의 특정 지표에 대한 개요를 얻으세요
다양한 그룹 옵션을 통해 네트워크의 스토리를 다양한 관점에서 신속하게 이해하여, 조사를 집중해야 할 특정 관심 분야를 식별하는 데 도움이 됩니다.
- 위험 수준에 따른 우선순위 설정 - 가장 높은 위험 수준 점수가 있는 스토리부터 시작하세요. 이것이 네트워크에 가장 큰 영향을 미칠 수 있는 잠재적 위협입니다. 위험 수준 열 헤더를 클릭하여 스토리를 위험 수준별로 정렬하거나 특정 위험 수준 수준에 대해 스토리를 필터링할 수 있습니다. 또한, 그룹화 기준 옵션을 사용하면 각 그룹에서 높은 위험 수준 스토리 수를 표시합니다.
조사할 스토리를 선택하면 탐지 및 대응 스토리 개요 페이지에서 클릭하여 세부 정보를 확인할 수 있습니다. 스토리에서 어떤 일이 일어나고 있는지에 대한 초기 이해를 얻기 위해 다음 단계를 권장합니다:
-
AI 요약 생성 - 세부 정보 위젯에는 AI가 생성한 자연어 스토리 설명을 만들어주는 도구가 포함되어 있어, 풍부한 컨텍스트를 제공하고 스토리를 빠르게 평가할 수 있도록 도와줍니다. AI 요약 생성 버튼을 클릭하여 요약을 생성하십시오.
-
트래픽이 차단되었는지 확인 - 대상 작업 테이블은 스토리에 관련된 각 대상과 관련된 이벤트를 보여주며, 보안 서비스(IPS 등)에 의해 트래픽에 차단 조치가 적용되었는지를 포함합니다. 대상으로의 일부 트래픽이 차단되지 않은 경우, 스토리의 위험 수준이 증가합니다. 대상으로의 모든 트래픽이 차단된 경우에도, 추가 조사가 필요한 지속적인 위협과 관련이 있을 수 있습니다.
-
대상 평가 - 대상 테이블은 스토리에 관련된 네트워크 외부의 잠재적인 악의적인 소스에 대한 데이터를 보여줍니다. 조사를 시작할 때 다음 열에 집중하는 것을 권장합니다:
- 악성 점수는 Cato Threat Intelligence 머신러닝 알고리즘에 따라 대상이 악성일 가능성을 알려줍니다. 점수는 0(양성)에서 1(악성) 범위로 지정됩니다
- 대상 링크는 다양한 외부 위협 인텔리전스 소스에서 대상을 조회하여 대상의 평판을 이해하는 데 도움을 줍니다
- XOps 플레이북과 함께 작업하기 - Cato XOps 보안 플레이북은 특정 유형의 스토리를 조사하는 구조화된 접근 방식을 제공합니다. 이들은 조사 과정을 안내하여 작업 항목을 식별하는 데 도움을 줍니다. 관련 플레이북이 있는 스토리의 경우, 세부 정보 위젯에서 플레이북의 링크를 찾을 수 있습니다. XOps 보안 플레이북은 또한 여기에서 이용할 수 있습니다.
- 댓글 사용하기 - 스토리 조사에 팀 멤버 간의 협업이 포함된 경우, 댓글을 사용하여 수행한 작업과 스토리를 조사하는 다음 분석가에게 중요한 정보 및 컨텍스트를 제공합니다. 댓글 사용에 대한 자세한 내용은 XOps 이야기 조사 관리를 참조하세요.
스토리 작업 패널을 사용하여 조사를 마무리하면서 중요한 작업을 수행하고 중요한 정보를 기록할 수 있습니다. 일부 분석가는 판단을 설정하지 않고 스토리를 종료하는 실수를 저질러, 조사 과정의 많은 이점을 잃습니다. 판단을 설정하면 스토리에 대한 의미 있는 정보를 기록하여 향후 참조할 수 있으며, 완화를 위한 권장 조치에 대해 알 수 있습니다. 기기가 알려진 취약성의 악용 시도로 손상된 것으로 식별된 후, 판단을 설정하고 기본적인 완화 단계를 수행하는 예제 워크플로입니다.
-
작업 > 스토리 관리를 클릭하여 스토리 작업 패널을 엽니다.
- 분석가 판단을 악성으로 설정합니다.
- 위협의 심각도를 정의합니다.
-
유형을 악용 시도로 정의하고, 가능한 경우 위협에 대한 보다 구체적인 분류를 정의합니다. 추가 정보 필드를 사용하여 조사 과정 또는 결과에 대한 세부 정보를 기록합니다.
-
권장 조치를 따르며, 다음을 포함합니다:
- 스토리에서 식별한 악성 대상 및 소스를 차단하기 위한 방화벽 규칙을 생성합니다.
- 장치 소프트웨어를 업데이트하여 취약점을 해결하고 향후 악용 공격을 방지합니다.
- 타협된 사용자를 식별한 경우, 사용자의 원격 세션을 취소하여 네트워크에 대한 액세스를 방지할 수 있습니다. 원격 세션 취소에 대한 자세한 내용은 원격 사용자 세션 취소를 참조하세요.
- 스토리 상태를 종결로 설정합니다.
댓글 0개
댓글을 남기려면 로그인하세요.