MDR 고객을 위한 탐지 및 대응 스토리 검토

탐지 및 대응 스토리 개요

카토 탐지 및 대응은 위협에 대한 스토리를 생성하는 새로운 보안 계층입니다． 카토의 고급 상관 엔진이 트래픽 데이터를 분석하고 잠재적 위협에 대한 일치를 찾으면 스토리를 생성합니다． 스토리는 동일한 위협과 관련된 공통 속성을 가진 트래픽 흐름의 데이터를 포함합니다． 스토리 워크벤치는 각 스토리의 세부 정보 보여 주어 위협을 이해하고 분석하는 데 도움이 됩니다． 스토리를 정렬하고 필터링하여 가장 중요한 잠재적 공격을 찾은 후 스토리를 드릴다운하여 세부 사항을 추가 조사할 수 있습니다．

스토리가 포함할 수 있는 데이터의 예시는 다음과 같습니다：

네트워크 내 출처
네트워크 트래픽의 외부 대상
위협의 식별 및 설명
관련된 지리적 위치
관련 애플리케이션
관련 트래픽 흐름
카토 내부 데이터에 따른 대상의 인기도
카토 위협 인텔리전스 알고리즘에 따른 대상의 악성 점수

사전 조건

이 버전의 탐지 및 대응 기능은 Cato MDR 고객만 사용할 수 있습니다． MDR 서비스 구독에 대한 자세한 내용은 Cato 담당자에게 문의하세요．

스토리 워크벤치 표시

스토리 워크벤치는 계정 내 잠재적 위협에 대한 스토리 요약을 보여 줍니다．

스토리 워크벤치를 표시하려면：

네비게이션 메뉴에서 홈페이지> 스토리 워크벤치를 클릭합니다．

스토리 열 이해하기

열	설명
ID	이 스토리에 대한 고유한 카토 ID
생성 시간	스토리의 첫 번째 트래픽 흐름의 날짜
업데이트됨	스토리의 최신 트래픽 흐름의 날짜
위험 점수	스토리에 대한 카토의 위험 분석(값은 1 - 10)
IoA	스토리에 대한 공격 지표
소스	스토리에 의해 영향을 받은 네트워크의 디바이스 이름 또는 IP 주소
유형	위협 탐지 - 카토의 알고리즘과 머신러닝이 잠재적인 보안 사건을 탐지한 스토리 사용량 이상 현상 - 애플리케이션이 잠재적인 보안 사건을 나타내는 비정상적인 동작을 보인 스토리 이상 이벤트 - 네트워크에서 엔터티가 비정상적인 수의 보안 이벤트를 트리거한 스토리
상태	고객 대기 중 - 스토리가 고객에게 전송되었으며 답변을 기다리고 있습니다 분석가 대기 중 - Cato 보안 분석가로부터 추가 정보를 기다리고 있습니다 종결 - Cato 보안 분석가가 사건을 종료했습니다

스토리 그룹화하기

스토리를 검토할 때 배경을 제공하려면 소스, 지표, 상태 및 유형을 포함한 세부 정보에 따라 그룹으로 스토리를 표시할 수 있습니다． 예를 들어, 특정 소스 IP 주소와 관련된 모든 스토리를 함께 또는 모든 도메인네임 점유 스토리를 함께 표시할 수 있습니다． 이는 스토리를 분석할 때 더 넓은 관점을 제공하여 더 빠르고 정확한 결론을 도출하는 데 도움이 될 수 있습니다．

각 그룹은 해당 그룹에서 스토리의 위험 수준을 강조 표시하며, 높은, 중간 및 낮은 위험도의 스토리 수를 포함합니다．

XDR 발견 사건에서 스토리를 그룹화하려면：

네비게이션 메뉴에서 홈페이지 > XDR 발견 사건을 클릭합니다．
그룹화 기준 드롭다운 메뉴에서 필요한 기준을 선택합니다．

스토리는 확장 가능한 그룹으로 표시됩니다．

스토리 필터링

XDR 발견 사건에서 데이터를 필터링하는 두 가지 방법이 있습니다： 선택된 항목으로 필터를 자동으로 업데이트하거나, 필터를 수동으로 구성합니다．

자동으로 항목에 대해 필터링

항목 또는 필드 위에 필터 옵션이 있는 경우, 버튼이 나타납니다． 아이콘을 클릭하여 필터 옵션을 표시합니다：

필터에 포함 - 항목을 필터에 추가하며, XDR 발견 사건은 이제 이 항목을 포함하는 스토리만 표시합니다． 예를 들어, 특정 위험 점수로 필터링하는 경우 화면에 해당 위험 점수를 가진 스토리만 표시됩니다．
필터에서 제외 - 이 항목을 제외하도록 필터를 업데이트하며, XDR 발견 사건은 이제 이 항목을 포함하지 않는 스토리만 표시합니다．

필터에 항목을 계속 추가할 수 있으며, 를 다시 클릭하여 필터를 업데이트하고 더욱 깊이 파고들 수 있습니다．

시간 범위 선택

XDR 발견 사건의 기본 시간 범위는 이전 이틀입니다． 스토리를 더 긴 기간 또는 짧은 기간으로 보여주기 위해 다른 시간 범위를 선택할 수 있습니다． 자세한 내용은 시간 범위 필터 설정을 참조하세요．

XDR 발견 사건의 최대 날짜 범위는 90일입니다．

필터 수동 구성

스토리를 분석할 때 더 높은 세밀도를 위해 스토리 필터를 수동으로 구성할 수 있습니다． 필터를 구성한 후, 필터는 스토리 필터 바에 추가되며 화면이 자동으로 업데이트되어 새 필터와 일치하는 스토리를 보여줍니다．

필터를 생성하려면：

필터 바에서, 를 클릭합니다．
입력하거나 필드를 선택합니다．
연산자를 선택합니다. 이는 필드와 검색하는 값 간의 관계를 결정합니다．
값을 선택합니다．
필터 추가를 클릭합니다． 필터가 필터 바에 추가되고 XDR 발견 사건이 필터에 기반하여 스토리를 표시하도록 업데이트됩니다．

필터 지우기

각 항목을 필터에서 별도로 제거하거나 전체 필터를 지울 수 있습니다．

XDR 발견 사건의 필터를 지우려면:

단일 필터를 지우려면, 필터 옆을 클릭합니다 (위의 항목 1).
모든 필터를 지우려면, 필터 바의 오른쪽 끝에 있는 X를 클릭합니다 (위의 항목 2).

스토리 심층 분석 및 분석

XDR 발견 사건에서 스토리를 클릭하여 다른 화면에서 세부 정보를 드릴다운하고 조사할 수 있습니다． 이 화면에는 잠재적 위협을 평가하는 데 도움이 되는 여러 위젯이 포함되어 있습니다． 위협 탐지 또는 사용량 이상 스토리를 위해 데이터를 분석하는 전문 위젯이 있습니다．

위협 탐지 위젯 이해하기

다음은 위협 탐지 스토리를 위한 위젯입니다：

항목

이름

설명

스토리 요약

스토리에 대한 기본 정보 요약, 포함：

위협 카테고리
분석가가 결정한 위협의 심각도
공격과 관련된 신호(트래픽 흐름)의 수
손상된 디바이스의 수
스토리 상태

스토리 타임라인

스토리의 타임라인을 표시하며, 스토리 판결과 심각도의 변경 사항 및 스토리와 관련된 새로운 대상이 식별된 시점을 포함합니다

세부 정보

스토리를 분석하기 위한 주요 정보, 여기에는 위협 설명, 관련 트래픽에서 감지된 카토 위협 서명 및 위협에 대해 식별된 MITRE ATT&CK® 기술이 포함됩니다．

MITRE ATT&CK® 프레임워크에 대한 자세한 내용은 MITRE ATT&CK® 대시보드 작업을 참조하십시오．

서명 위로 마우스를 올리면 요약 이벤트 로그가 표시됩니다
서명을 클릭하여 서명에 대해 사전 필터링된 이벤트 화면을 엽니다
MITRE ATT&CK® 기술을 클릭하여 MITRE ATT&CK® 웹사이트에서 해당 설명을 읽어보세요

출처

위협에 의해 영향을 받은 네트워크 내 장치에 대한 기본 정보

공격 지리적 위치

네트워크 내 출처(주황색 위치) 및 외부 출처(빨간색 위치)와 관련된 위협의 지리적 위치를 보여줍니다． 출처를 연결하는 화살표는 트래픽의 방향을 나타냅니다

공격 분포

공격 관련 플로우의 시간 분포．

그래프를 읽기 쉽게 하기 위해, 대상에서 특정 대상을 클릭하여 그래프에서 해당 데이터를 숨길 수 있습니다
공격 세부 정보를 표시하려면, 그래프 위에 마우스를 올려놓으세요

대상

스토리와 관련된 네트워크 사이트 외부의 잠재적 악성 출처에 대한 데이터를 보여줍니다．

열	설명
생성 일자	대상 도메인의 등록 날짜
대상	스토리와 관련된 트래픽 흐름에서 식별된 외부 출처의 도메인 또는 IP 주소
대상 링크	여러 위협 인텔리전스 소스에서 대상을 조회할 수 있는 링크． 추가 정보를 얻으려면 바이러스 토탈 아이콘을 클릭하거나 드롭다운 메뉴에서 다른 리소스를 선택하십시오．
악성 점수	카토 위협 인텔리전스 알고리즘에 따른 대상의 악성 점수입니다． 점수는 0 (양성)에서 1 (악성)까지의 범위입니다
인기도	대상이 카토 내부 데이터 소스에 나타나는 빈도입니다． 값: 낮음, 중간, 높음, 낮음
카테고리	대상 도메인에 대한 Cato 카테고리
위협 인텔리전스 소스	목표를 악성으로 감지한 Cato 위협 인텔리전스의 소스 수
악성 탐지 엔진	악성으로 감지한 서드 파티 보안 엔진의 수
국가	대상 도메인이 등록된 국가
Google 검색 결과 수	대상에 대한 Google 검색 결과 수

공격 관련 플로우

공격 관련 트래픽 흐름의 대표 샘플에 대한 데이터를 보여줍니다．

컬럼	설명
대상	대상 도메인 또는 IP의 트래픽 흐름
시작 시간	즐릭의 흐름이 시작되는 타임스탬프
방향	흐름의 방향입니다． 방향에는 다음이 포함됩니다： 인바운드 - 외부 소스에서 기원하는 네트워크로의 트래픽 아웃바운드 - 네트워크에서 외부 소스로의 트래픽 WAN바운드 - 네트워크의 다른 사이트로의 트래픽
소스 IP	플로를 송수신하는 네트워크 내의 소스IP 주소
소스 포트	흐름을 송수신하는 네트워크 내의 소스 포트
대상 IP	흐름을 송수신하는 외부 대상의 IP 주소
대상 포트	흐름을 송수신하는 외부 대상의 포트
방법	흐름 내의 HTTP 방법 (GET, POST 등)
전체 경로 URL	흐름 내 외부 리소스의 전체 URL
HTTP 응답 코드	클라이언트의 브라우저 측 요청에 대한 대상의 상태 코드
클라이언트	흐름 내의 클라이언트 유형
Cato 애플리케이션	흐름 중에 사용된 Cato의 애플리케이션
참조 URL	원하는 리소스에 대한 링크를 포함한 원본 웹사이트 주소
사용자 에이전트	흐름에서 HTTP 요청 헤더의 사용자 에이전트 필드에 식별된 에이전트(예: 브라우저 버전)
목적지 국가	흐름 내 목적지 IP의 위치

사용량 이상 현상 위젯 이해하기

These are the widgets for a Usage Anomaly story:

항목	이름	설명
1	스토리 요약	Provides a summary of basic information about the story, including: 이상 현상 이름 심각도 이상 행동을 결정하기 위한 머신 러닝 모델의 학습 기간 스토리 상태
2	세부 정보	Key information for analyzing the story, including a threat description and summary, and MITRE ATT&CK® techniques identified for the threat. For more about the MITRE ATT&CK® framework, see Working with the MITRE ATT&CK® Dashboard. MITRE ATT&CK® 사이트에서 설명을 읽으려면 MITRE ATT&CK® 기술을 클릭하세요
3	이상 현상 분포	Graph of the anomalous behavior for the last 14 days 그래프에 마우스를 올려 이상 현상 세부 정보를 표시합니다 모두 보기를 클릭하여 사용량 이상 현상과 관련된 앱을 미리 필터링하여 애플리케이션 분석 화면을 엽니다
4	상위 호스트	Top hosts related to the anomaly, with relevant details. 예시, 상향 대역폭 이상 현상을 가진 호스트는 해당 호스트에서 업로드된 횟수로 나타납니다 모두 보기를 클릭하여 사용량 이상 현상과 관련된 앱에서 호스트를 미리 필터링하여 애플리케이션 분석 화면을 엽니다
5	상위 애플리케이션	Top applications related to the anomaly, with relevant details. 예시, 상향 대역폭 이상 현상의 애플리케이션은 해당 애플리케이션에서 업로드된 횟수로 나타납니다 모두 보기를 클릭하여 사용량 이상 현상과 관련된 앱을 미리 필터링하여 애플리케이션 분석 화면을 엽니다
6	상위 서버/대상	Top servers and destinations related to the anomaly, with relevant details. 예시, 상향 대역폭 이상 현상의 서버는 서버로 업로드된 횟수로 나타납니다 모두 보기를 클릭하여 사용량 이상 현상과 관련된 앱에서 대상을 미리 필터링하여 애플리케이션 분석 화면을 엽니다

티켓된 스토리 검토

The Cato MDR team opens tickets to notify you about significant stories. When you receive a ticket you can easily review the story in the Stories Workbench by clicking the link provided in the ticket. This is a sample ticket: