Usando o Catálogo de Indicações

Este artigo discute como usar o Catálogo de Indicações para obter mais informações sobre atividades potencialmente maliciosas identificadas pela camada de segurança Cato Detection & Response.

Para mais informações sobre Detecção e Resposta, veja Reviewing Detection & Response XOps Stories in the Stories Workbench.

Visão geral do Catálogo de Indicações

O Catálogo de Indicações contém explicações e informações de referência para as centenas de indicações (indicadores de ataque) que são identificadas pelos motores de segurança de Detection & Response. Uma indicação é um conjunto de ações e comportamentos que podem indicar a intenção de realizar um ataque, mesmo que nenhuma violação de segurança real tenha sido identificada ainda. Por exemplo, um host gerando tráfego que exibe características de C&C pode indicar um ataque de malware. Quando os mecanismos analisam dados de tráfego e identificam uma correspondência para um indício, eles criam uma história de segurança que é mostrada na página Stories Workbench, incluindo o indício para a história e outros dados para ajudar a investigar a ameaça. O Catálogo de Indicações fornece uma descrição completa para todas as indicações.

Você pode facilmente pesquisar e filtrar o catálogo para encontrar indicações e verificar quais indicações se relacionam com uma tática de ataque específica. O catálogo também permite que você pesquise uma indicação específica para ver se ela é coberta pelos motores de Detection & Response, mostre as indicações mais recentes e visualize logs de eventos relevantes para uma indicação.

Compreendendo os Tipos de Indicação

O Catálogo de Indicações inclui informações para um número de Tipos de indicações de ameaça, detectadas pelos diferentes motores de Detection & Response. Estas são descrições breves de alguns dos diferentes mecanismos e dos tipos de indícios que eles identificam. Para uma lista completa, veja Bem-vindo ao Serviço XOps da Cato.

  • Prevenção de Ameaças - Detecta um conjunto específico de comportamentos de ataque em eventos IPS

  • Operações do Site - Identifica problemas na rede, como conectividade degradada

  • Caça a Ameaças - Identifica um conjunto expansivo de comportamentos de ataque em eventos e dados de tráfego mais ricos

  • Anomalia de Uso - Identifica indicações relacionadas a aplicações que mostram um uso incomum. Por exemplo, uma aplicação usando mais largura de banda upstream do que o usual

  • Eventos Anômalos - Detecta indicações que envolvem uma entidade na rede acionando um número incomum de eventos de segurança

  • Anomalia de Experiência - Detecta mudanças significativas na experiência de uma aplicação ou no desempenho de rede de uma aplicação

Tipos de Indicação e Licenciamento

Sua licença de Detecção e Resposta determina os Tipos de indícios habilitados para sua conta. O Catálogo de Indícios mostra sua licença atual e se um indício específico está disponível para essa licença. Quando um indício não está disponível para sua licença, histórias baseadas nesse indício não serão criadas e mostradas no Stories Workbench. Para mais informações sobre os Níveis de Licenciamento do XOps, veja Bem-vindo ao Serviço XOps da Cato.

Limitações Conhecidas

  • Indicações recentemente adicionadas aos motores de Detection & Response podem não aparecer imediatamente no catálogo.

Iniciando com o Catálogo de Indicações

Indications_Catalog.png

Para mostrar o Catálogo de Indicações:

  • No menu de navegação, clique em Recursos > Catálogo de Indicações.

O Catálogo de Indicações possui essas colunas:

  • ID - O identificador para a indicação usada pelos motores de Detection & Response

  • Indicação - O nome da categoria de indicação. Uma categoria pode incluir múltiplas indicações diferentes com comportamentos semelhantes

  • Uma Descrição das ações e comportamentos suspeitos da indicação

  • Disponível na Conta - Se a indicação está habilitada para a conta, com base no nível da licença de Detection & Response.

    Para mais informações sobre a disponibilidade de indicação, consulte Tipos de Indicação e Licenciamento.

  • Referência MITRE - Mostra as técnicas de ameaças relacionadas no framework MITRE ATT&CK® para a indicação. Para mais informações sobre o framework MITRE ATT&CK®, veja Usando o Dashboard MITRE ATT&CK®

    • Clique na referência para abrir a página de Eventos pré-filtrada para a técnica MITRE ATT&CK®

  • Tipo - Mostra o motor de Detecção & Resposta que detecta a indicação

Configurando Filtros para Encontrar Indicações Relevantes

Defina os seguintes filtros para encontrar facilmente indicações relevantes:

  • ID - Selecionar um ID de indicação para mostrar a indicação

  • Você pode usar o menu suspenso Status para filtrar o catálogo para mostrar apenas as indicações Novas.

    As indicações são consideradas novas se forem recentemente adicionadas ao catálogo e aparecem com o rótulo Novo. O rótulo não indica um período de tempo específico

  • Indicação - Selecione uma categoria de indicação para filtrar o catálogo para mostrar as indicações nessa categoria

  • Pesquise no campo Descrição por indicações relevantes.

  • Disponível na Conta - Filtre o catálogo para mostrar apenas as indicações que estão Disponíveis ou Não Disponíveis para a conta.

    Para mais informações sobre a disponibilidade de indicação, consulte Indicação Tipos e Licenciamento.

  • Técnica MITRE - Selecione uma técnica de ataque, conforme definido no framework MITRE ATT&CK®, para mostrar indicações relacionadas à técnica

  • Tipo - Selecione um motor de Detecção & Resposta para filtrar o catálogo para mostrar as indicações que o motor detecta

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário