Analisando Histórias UEBA de XOps para Anomalias de Uso e Eventos

Este artigo explica como usar a Bancada de Trabalho de Histórias XOps e a página de detalhamento de histórias para analisar histórias XOps em busca de comportamento anômalo detectado pelos motores de Anomalia de Uso e Anomalia de Eventos.

Para mais sobre o uso da Bancada de Trabalho de Histórias, veja Revisando Histórias de Detecção & Resposta XOps na Bancada de Trabalho de Histórias.

Visão Geral

O serviço XOps da Cato detecta atividades anômalas baseadas em Análises de Comportamento de Usuário e Tipo de Entidade (UEBA), o que pode indicar uma ameaça de segurança. Os motores de Anomalia de Uso e Anomalia de Eventos monitoram e analisam o tráfego de rede para identificar comportamentos incomuns que podem ser sinais de contas comprometidas, ameaças internas e ataques avançados. Esses motores incorporam técnicas de aprendizado de máquina e modelagem estatística com treinamento sobre tráfego de rede para construir modelos de comportamento base para os usuários e entidades na sua conta. Com base nesses modelos, os motores podem identificar vários tipos de anomalias.

Estas são descrições breves dos motores de anomalia UEBA de XOps e os tipos de anomalias que eles identificam:

  • Anomalia de Uso - Identifica anomalias relacionadas ao uso incomum em aplicativos. Por exemplo, um usuário envia mais dados para um aplicativo do que o usual

  • Anomalia de Eventos - Detecta anomalias que envolvem uma entidade na rede desencadeando um número incomum de eventos de segurança. Por exemplo, um local na rede desencadeia significativamente mais eventos de bloqueio de Firewall da Internet do que o habitual

Quando os motores de anomalia UEBA XOps geram uma história, você pode revisá-la na Bancada de Trabalho de Histórias e detalhar para uma análise mais aprofundada dos dados da história.

Pré-requisitos

  • Histórias de Anomalia de Uso e Anomalia de Eventos estão disponíveis apenas para clientes XOps e MDR. Para mais sobre a compra de um XOps, ou assinatura do serviço MDR, entre em contato com seu representante Cato.

Detalhamento e Análise de Histórias de Anomalia UEBA

Você pode clicar em uma história de Anomalia de Uso ou Anomalia de Eventos na Bancada de Trabalho de Histórias para detalhar e investigar os detalhes em uma página diferente. Esta página contém vários widgets que ajudam a avaliar a ameaça potencial.

Mostrando uma História de Segurança

Clique em uma História de Segurança na página da Bancada de Trabalho de Histórias para mostrar os detalhes da história UEBA.

Para visualizar a página da Bancada de Trabalho de Histórias:

  • No menu de navegação, clique em Inicial > Bancada de Trabalho de Histórias.

Gerando Resumos de Histórias de IA

O detalhamento da Bancada de Trabalho de Histórias inclui uma ferramenta que permite criar uma descrição de história em linguagem natural gerada por IA, que fornece contexto rico e ajuda você a avaliar rapidamente a história. O resumo da história é gerado dinamicamente para refletir o estado atual da história. Se a história for atualizada com novas informações, você pode regenerar o resumo para refletir as mudanças.

  • O resumo de história IA é gerado apenas sob demanda pelo admin

Protegendo Dados Sensíveis com Tokenização

Para uma segurança robusta de dados durante a transmissão de dados de histórias para serviços de IA de terceiros, a Cato usa tokenização para garantir que todos os dados sensíveis permaneçam na plataforma XOps da Cato. Isso envolve substituir informações sensíveis por identificadores únicos, ou "tokens", tornando os dados sem sentido para entidades não autorizadas. Dados sensíveis nunca são expostos a serviços de terceiros. Essa abordagem garante a confidencialidade dos detalhes da história, alinhando-se ao nosso compromisso com normas robustas de privacidade e segurança de dados.

Nota

Nota: Devido a limitações da IA generativa, as informações fornecidas em resumos de histórias podem ocasionalmente conter imprecisões.

Entendendo os Widgets de Anomalia UEBA

ueba_story_original.png

Estes são os widgets para uma história de Anomalia de Uso ou Anomalia de Eventos:

Item

Nome

Descrição

1

Resumo da história

Um resumo de informações básicas sobre a história, incluindo:

  • Nome da Anomalia

  • Indicação para o Ataque Detectado

  • O Produtor de Detecção & Resposta (motor) que gerou a história

  • Severidade do Analista - Severidade da ameaça

  • Veredito do Analista para a ameaça

  • Tipo de Ataque

  • Classificação detalhada da ameaça conforme determinado por um analista

  • Status da história

2

Cronologia da história

Mostra uma linha do tempo da história, como mudanças feitas no veredito e severidade da história, e quando o status é atualizado.

3

Detalhes

Detalhes básicos sobre a história, incluindo

  • Uma descrição da ameaça e resumo

    • Clique em Gerar Resumo de IA para uma descrição de história em linguagem natural que fornece contexto rico e ajuda você a avaliar rapidamente a história

  • Primeiro Sinal - Tempo do primeiro sinal (fluxo de tráfego) associado à anomalia

  • Data de Criação - Tempo em que a história foi gerada

  • Última Atualização - Tempo da atualização mais recente da história, como um novo alvo ou veredito alterado

  • Criticidade - Pontuação de risco geral para a história conforme calculado pelo algoritmo de análise de risco de aprendizado de máquina da Cato (valores de 1 (menos crítico) a 10 (mais crítico))

  • Período de Treinamento - O período de treinamento para o modelo de aprendizado de máquina determinar comportamento anômalo

  • ID de Indicação - O identificador para a indicação usada pelos motores XOps. Você pode usar o ID para procurar a indicação no Catálogo de Indicações

  • Tags MITRE - Técnicas MITRE ATT&CK® identificadas para a ameaça.

    Para mais sobre o framework MITRE ATT&CK®, veja Uso do Dashboard MITRE ATT&CK®.

    • Clique em uma técnica MITRE ATT&CK® para ler sua descrição no site MITRE ATT&CK®

  • Veredito Predito e Tipo Predito com base em previsões de aprendizado de máquina para o veredito provável e o tipo de malware potencial que você pode identificar. Os algoritmos de aprendizado de máquina analisam os vereditos finais de histórias semelhantes

  • Histórias Semelhantes - Mostra histórias com Alvos semelhantes. Detalhes mostrados para cada história incluem: tipo de ameaça da história, veredito da história (se disponível), e o nível de similaridade conforme calculado por um modelo de aprendizado de máquina (indicado por uma porcentagem). Passe o mouse sobre a história para mostrar uma classificação mais detalhada da ameaça

4

Distribuição de Anomalias

Gráfico do comportamento anômalo dos últimos 14 dias. Para histórias de Anomalia de Uso, o gráfico mostra dados para os aplicativos relevantes. Para histórias de Anomalia de Eventos, o gráfico mostra dados para eventos relevantes.

  • Para mostrar os detalhes da anomalia, passe o mouse sobre o gráfico

  • Para investigar mais de perto os diferentes aplicativos ou eventos detectados na anomalia, clique no botão de alternância de um aplicativo ou evento para ativar ou desativar seu gráfico.

  • Clique em Ver Todos para abrir a tela de Análise de Aplicativos pré-filtrada para os aplicativos relacionados à anomalia

5

Fonte

Informações básicas sobre o dispositivo em sua rede associado à anomalia

6

Principais Aplicativos

Principais aplicativos relacionados à anomalia, com detalhes relevantes. Por exemplo, um aplicativo para uma anomalia de largura de banda upstream aparece com o total de upload do aplicativo

  • Clique em Ver Todos para abrir a tela de Análise de Aplicativos pré-filtrada para os aplicativos relacionados à anomalia

7

Principais Servidores/Destinos

Principais servidores e destinos envolvidos na anomalia, com detalhes relevantes. Por exemplo, um servidor para uma anomalia de largura de banda upstream aparece com o total de upload para o servidor

  • Clique em Ver Todos para abrir a tela de Análise de Aplicativos e mostrar os destinos pré-filtrados para os aplicativos relacionados à anomalia

8

Principais Hosts

Principais hosts relacionados à anomalia, com detalhes relevantes. Por exemplo:

  • Um host para uma anomalia de largura de banda upstream aparece com o número de uploads do host

  • Hosts para uma anomalia no comportamento de um usuário mostram os endereços IP do usuário em conexões relacionadas à anomalia

Clique em Ver Todos para abrir a tela de Análise de Aplicativos e mostrar os hosts pré-filtrados para os aplicativos relacionados à anomalia

9

Alvos

Mostra dados para as fontes potencialmente maliciosas fora do seu site de rede relacionadas à história.

Estas são descrições das colunas da tabela de destino:

  • Alvo - Domínios ou endereços IP de fontes externas identificadas nos fluxos de tráfego relacionados à história

  • Data de Criação - Data de registro do domínio de destino

  • Links de Alvo - Links para pesquisar o alvo em várias fontes externas de inteligência de ameaças. Para mais informações, clique no ícone VirusTotal ou selecione outros recursos no menu suspenso.

  • Pontuação Maliciosa - A pontuação maliciosa do alvo de acordo com os algoritmos de inteligência de ameaças da Cato. As pontuações variam de 0 (benigno) a 1 (malicioso)

  • Popularidade - Com que frequência o alvo aparece nas fontes internas de dados da Cato. Os valores são: Não Popular, Baixo, Médio, Alto

  • Categorias - Categorias da Cato para o domínio de destino

  • Feeds de Ameaças - Número de fontes de inteligência de ameaças da Cato que detectaram o alvo como malicioso

  • Motores - Número de motores de segurança de terceiros que detectaram o alvo como malicioso

  • País do Registrante - País onde o domínio de destino está registrado

  • Resultados de Pesquisa do Google - Número de resultados de pesquisa do Google para o alvo

10

Principais Conexões

Dados para as principais conexões relacionadas à anomalia. Por exemplo, para uma Anomalia de Largura de Banda Ascendente do Usuário SDP, as conexões com a maior largura de banda de upload utilizada.

Estas são descrições das colunas da tabela:

  • Aplicação - A aplicação detectada no fluxo de tráfego para a conexão

  • IP de Origem - Endereço IP de origem na sua rede enviando ou recebendo o fluxo

  • Destino - Endereço IP ou domínio do alvo externo enviando ou recebendo o fluxo

  • Fluxos - Número de fluxos associados à conexão

  • Download - Uso da largura de banda de download

  • Upload - Uso da largura de banda de upload

  • Uso - Uso total de largura de banda

Pré-requisitos para Histórias de Anomalia UEBA

Algumas indicações detectadas pelo motor de Detecção de Anomalias exigem configuração de um conector, uma licença específica ou ambos. Esta tabela lista os pré-requisitos para estas indicações. Se uma indicação não estiver listada na tabela, não há pré-requisitos adicionais.

Indicação

Pré-requisitos

Anomalia de Login de Usuário Falho

Licença CASB e pelo menos um desses conectores:

  • Salesforce

  • GitHub

  • Azure ID

Download em Massa (Anomalia de Eventos de Download do Usuário)

Licença CASB

Download em Massa (Anomalia de Eventos de Download do Site)

Licença CASB

Upload em Massa (Anomalia de Eventos de Upload do Usuário)

Licença CASB

Upload em Massa (Anomalia de Eventos de Upload do Site)

Licença CASB

Exclusão em Massa (Atividade de Exclusão Incomum - Usuário)

Licença CASB

Exclusão em Massa (Atividade de Exclusão Incomum - Site)

Licença CASB

Criação em Massa (Atividade de Criação de Arquivo Incomum - Usuário)

Licença CASB

Primeiro uso visto de Protocolos Obsoletos ou Não Autorizados - Site

Licença de Prevenção de Ameaças

Primeiro uso visto de Protocolos Obsoletos ou Não Autorizados - Usuário

Licença de Prevenção de Ameaças

Anomalia de Tráfego C&C - Usuário

Licença de Prevenção de Ameaças

C&C Primeiro Upload para um Bucket C Traffic Anomaly - Site

Licença de Prevenção de Ameaças

Primeiro Upload para um Bucket S3

Licença CASB e Antimalware

Anomalia de Exclusão de Email

Licença CASB e estes conectores

  • M365-Exchange

  • Atividades de Auditoria do Microsoft Exchange

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário