Analisando histórias UEBA do XOps para Uso e Anomalias de Eventos

Este artigo explica como usar a Página de Trabalho das Histórias do XOps e a página de investigação de histórias para analisar histórias do XOps para comportamentos anômalos detectados pelos motores de Anomalia de Uso e Anomalia de Eventos.

Para mais informações sobre como usar a Página de Trabalho das Histórias, veja Revisando histórias de Detecção e Resposta do XOps na Página de Trabalho das Histórias.

Nota

Nota: XOps é a camada de análise unificada da Cato para segurança e operações, oferecendo insights e remediação guiada. XOps substituiu XDR, para mais informações, veja FAQ do XOps.

Visão geral

O serviço XOps (anteriormente XDR) da Cato detecta atividades anômalas baseadas em Analytics de Comportamento de Usuário e Entidade (UEBA), que podem indicar uma ameaça de segurança. Os motores de Anomalia de Uso e Anomalia de Eventos monitoram e analisam o tráfego de rede para identificar comportamentos incomuns que podem ser sinais de contas comprometidas, ameaças internas e ataques avançados. Esses motores incorporam técnicas de aprendizado de máquina e modelagem estatística com treinamento em tráfego de rede para construir modelos de comportamento base para os usuários e entidades em sua conta. Com base nesses modelos, os motores podem identificar vários tipos de anomalias.

Estas são descrições breves dos motores de anomalia UEBA do XOps e os tipos de anomalias que eles identificam:

  • Anomalia de Uso - Identifica anomalias relacionadas a uso incomum em aplicações. Por exemplo, um usuário envia mais dados para uma aplicação do que o usual

  • Eventos Anômalos - Detecta anomalias que envolvem uma entidade na rede que dispara um número incomum de eventos de segurança. Por exemplo, um site na rede dispara consideravelmente mais eventos de bloqueio de Firewall de Internet do que o usual

Quando os motores de anomalia UEBA do XOps geram uma história, você pode revisá-la na Página de Trabalho das Histórias e aprofundar para uma análise mais detalhada dos dados da história.

Pré-requisitos

  • Histórias de Anomalia de Uso e Anomalia de Eventos estão disponíveis apenas para clientes XOps e MDR. Para mais informações sobre a compra de um XOps, ou assinatura do serviço MDR, por favor contate seu representante Cato.

Aprofundando e Analisando Histórias de Anomalias de UEBA

Você pode clicar em uma história de Anomalia de Uso ou Eventos Anômalos na Bancada de Trabalho de Histórias para analisar e investigar os detalhes em uma página diferente. Esta página contém uma série de widgets que ajudam a avaliar a ameaça potencial.

Mostrando uma História de Segurança

Clique em uma história de Segurança na página da Bancada de Trabalho de Histórias para mostrar os detalhes da história UEBA.

Para ver a página Bancada de Trabalho de Histórias:

  • No menu de navegação, clique em Inicial > Bancada de Trabalho de Histórias.

Gerando Resumos de Histórias de IA

A análise da Bancada de Trabalho de Histórias inclui uma ferramenta que permite criar uma descrição de história em linguagem natural gerada por IA, que fornece contexto enriquecido e ajuda a avaliar rapidamente a história. O resumo da história é gerado dinamicamente para refletir o estado atual da história. Se a história for atualizada com novas informações, você pode regenerar o resumo para refletir as mudanças.

  • O resumo de história de IA é gerado sob demanda pelo administrador

Protegendo Dados Sensíveis com Tokenização

Para segurança robusta de dados durante a transmissão de dados de histórias para serviços de IA de terceiros, a Cato usa tokenização para garantir que todos os dados sensíveis permaneçam na plataforma Cato XOps. Isso envolve substituir informações sensíveis por identificadores únicos, ou "tokens", tornando os dados inúteis para entidades não autorizadas. Dados sensíveis nunca são expostos a serviços de terceiros. Esta abordagem garante a confidencialidade dos detalhes da história, alinhando-se com nosso compromisso com padrões robustos de privacidade e segurança de dados.

Nota

Nota: Devido às limitações da IA generativa, as informações fornecidas nos resumos de histórias podem ocasionalmente conter imprecisões.

Compreendendo os Widgets de Anomalias de UEBA

ueba_story_original.png

Estes são os widgets para uma história de Anomalia de Uso ou Eventos Anômalos:

Item

Nome

Descrição

1

Resumo de história

Um resumo das informações básicas sobre a história, incluindo:

  • Nome da anomalia

  • Indicação para o Ataque Detectado

  • O Produtor Detection & Response (motor) que gerou a história

  • Severidade do Analista - Severidade da ameaça

  • Veredito do Analista para a ameaça

  • Tipo de ataque

  • Classificação detalhada da ameaça conforme determinado por um analista

  • Status da história

2

Linha do tempo da história

Mostra uma linha do tempo da história, como as mudanças feitas no veredicto e severidade da história, e quando o status é atualizado

3

Detalhes

Detalhes básicos sobre a história, incluindo

  • Uma descrição e resumo da ameaça

    • Clique em Gerar Resumo de IA para uma descrição da história em linguagem natural que fornece um contexto rico e ajuda a avaliar rapidamente a história

  • Primeiro Sinal - Tempo do primeiro sinal (fluxo de tráfego) associado à anomalia

  • Data de Criação - Hora em que a história foi gerada

  • Última Atualização - Hora da última atualização da história, como uma nova meta ou veredicto alterado

  • Criticidade - Pontuação geral de risco para a história conforme calculado pelo algoritmo de análise de risco de aprendizado de máquina da Cato (os valores são de 1 (menos crítico) a 10 (mais crítico))

  • Período de Treinamento - O período de treinamento para o modelo de aprendizado de máquina determinar comportamento anômalo

  • ID de Indicação - O identificador para a indicação usada pelos motores do XOps. Você pode usar o ID para procurar a indicação no Catálogo de Indicações

  • Etiquetas MITRE - Técnicas MITRE ATT&CK® identificadas para a ameaça.

    Para mais informações sobre o framework MITRE ATT&CK®, veja Usando o Painel MITRE ATT&CK®.

    • Clique em uma técnica MITRE ATT&CK® para ler sua descrição no site MITRE ATT&CK®

  • Veredito Previsto e Tipo Previsto baseados em previsões de aprendizado de máquina para o provável veredito e tipo de malware que você pode identificar. Os algoritmos de aprendizado de máquina analisam os veredictos finais de histórias similares

  • Histórias Similares - Mostra histórias com alvos semelhantes. Detalhes mostrados para cada história incluem: Tipo de Ameaça da história, Veredito da história (se disponível) e o nível de similaridade conforme calculado por um Modelo de aprendizado de máquina (indicado por uma porcentagem). Passe o mouse sobre a história para mostrar uma classificação mais detalhada da ameaça

4

Distribuição de Anomalia

Gráfico do comportamento anômalo dos últimos 14 dias. Para histórias de Anomalia de Uso, o gráfico exibe dados para os aplicativos relevantes. Para histórias de Eventos Anômalos, o gráfico exibe dados para eventos relevantes.

  • Para mostrar os detalhes da anomalia, passe o mouse sobre o gráfico

  • Para investigar mais de perto os diferentes aplicativos ou eventos detectados na anomalia, clique no botão de alternância de um aplicativo ou evento para ativar ou desativar seu gráfico.

  • Clique em Ver Todos para abrir a tela de Análise de Aplicações pré-filtrada para os aplicativos relacionados à anomalia

5

Fonte

Informações básicas sobre o dispositivo na sua rede associada à anomalia

6

Principais Aplicações

Principais aplicações relacionadas à anomalia, com detalhes relevantes. Por exemplo, um aplicativo para uma anomalia de banda upstream aparece com o total de uploads do aplicativo

  • Clique em Ver Todos para abrir a tela de Análise de Aplicações pré-filtrada para os aplicativos relacionados à anomalia

7

Principais Servidores/Destinos

Principais servidores e destinos envolvidos na anomalia, com detalhes relevantes. Por exemplo, um servidor para uma anomalia de banda upstream aparece com o total de uploads para o servidor

  • Clique em Ver Todos para abrir a tela de Análise de Aplicações e mostrar os destinos pré-filtrados para os aplicativos relacionados à anomalia

8

Principais Hosts

Principais hosts relacionados à anomalia, com detalhes relevantes. Por exemplo:

  • Um host para uma anomalia de banda upstream aparece com o número de uploads do host

  • Hosts para uma anomalia no comportamento de um usuário mostram os endereços IP para o usuário em conexões relacionadas à anomalia

Clique em Ver Todos para abrir a tela de Análise de Aplicações e mostrar os hosts pré-filtrados para os aplicativos relacionados à anomalia

9

Alvos

Mostra dados para as fontes potencialmente maliciosas fora do site da sua rede relacionadas à história.

Estas são descrições das colunas da tabela de alvos:

  • Alvo - Domínios ou endereços IP de fontes externas identificadas em fluxos de tráfego relacionados à história

  • Data de Criação - Data de registro do domínio alvo

  • Links de Destino - Links para pesquisar o alvo em várias fontes externas de inteligência de ameaças. Para informações adicionais, clique no ícone VirusTotal ou selecione outros recursos do menu suspenso.

  • Pontuação de Maliciosidade - A pontuação de maliciosidade do alvo de acordo com os algoritmos de inteligência de ameaças da Cato. As pontuações variam de 0 (benigno) a 1 (malicioso)

  • Popularidade - Com que frequência o alvo aparece em fontes de dados internas do Cato. Os valores são: Impular, Baixo, Médio, Alto

  • Categorias - Categorias da Cato para o domínio alvo

  • Fontes de Inteligência de Ameaças - Número de fontes de inteligência de ameaças da Cato que detectaram o alvo como malicioso

  • Motores - Número de motores de segurança de terceiros que detectaram o alvo como malicioso

  • País do Registrante - País onde o domínio alvo está registrado

  • Resultados de Pesquisa no Google - Número de resultados de pesquisa no Google para o alvo

10

Principais Conexões

Dados para as principais conexões relacionadas à anomalia. Por exemplo, para uma Anomalia de Largura de Banda Enviada de Usuário SDP, as conexões com a largura de banda de upload mais utilizada.

Estas são as descrições das colunas da tabela:

  • Aplicação - A aplicação detectada no fluxo de tráfego para a conexão

  • IP de Origem - Endereço IP de origem na sua rede que envia ou recebe o fluxo

  • Destino - Endereço IP ou domínio do alvo externo que envia ou recebe o fluxo

  • Fluxos - Número de fluxos associados à conexão

  • Download - Uso de largura de banda de download

  • Upload - Uso de largura de banda de upload

  • Uso - Uso total de largura de banda

Pré-requisitos para Histórias de Anomalias de UEBA

Algumas indicações detectadas pelo Motor de Detecção de Anomalias requerem a configuração de um conector, uma licença específica ou ambos. Esta tabela lista os pré-requisitos para essas indicações. Se uma indicação não estiver listada na tabela, não há pré-requisitos adicionais.

Indicação

Pré-requisitos

Anomalia de Login Falhou do Usuário

Licença CASB e pelo menos um desses conectores:

  • Salesforce

  • GitHub

  • Azure ID

Download em Massa (Anomalia de Eventos de Download do Usuário)

Licença CASB

Download em Massa (Anomalia de Eventos de Download do Site)

Licença CASB

Upload em Massa (Anomalia de Eventos de Upload do Usuário)

Licença CASB

Upload em Massa (Anomalia de Eventos de Upload do Site)

Licença CASB

Exclusão em Massa (Atividade de Exclusão Incomum - Usuário)

Licença CASB

Exclusão em Massa (Atividade de Exclusão Incomum - Site)

Licença CASB

Criação em Massa (Atividade de Criação de Arquivos Incomum - Usuário)

Licença CASB

Primeira Visualização do Uso de Protocolos Obsoletos ou Não Autorizados - Site

Licença de Prevenção de Ameaças

Primeira Visualização do Uso de Protocolos Obsoletos ou Não Autorizados - Usuário

Licença de Prevenção de Ameaças

Anomalia de Tráfego C&C - Usuário

Licença de Prevenção de Ameaças

Anomalia de Tráfego C&C - Primeira vez de Upload em um Bucket S3 - Site

Licença de Prevenção de Ameaças

Primeira vez de Upload em um Bucket S3

Licença CASB e Anti-Malware

Anomalia de Exclusão de Email

Licença CASB e estes conectores

  • M365-Exchange

  • Atividades de Auditoria Microsoft Exchange

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário