Explorando e Analisando Histórias de Segurança XOps

Este artigo discute como você pode usar a página de História de Detecção & Resposta para analisar histórias em busca de ameaças potenciais em sua conta.

Visão Geral

Você pode clicar em uma história na Bancada de Trabalho de Histórias para explorar e investigar os detalhes na página de História de Detecção & Resposta. Esta página contém uma Visão Geral da história e um resumo das Histórias Relacionadas. A Visão Geral contém vários widgets que ajudam você a avaliar a ameaça potencial identificada pelos motores de XOps, enquanto o resumo das Histórias Relacionadas ajuda a colocar a história em um contexto mais amplo para análise.

Gerando Resumos de IA das histórias

A exploração da Bancada de Trabalho de Histórias inclui uma ferramenta que permite criar uma descrição de história em linguagem natural gerada por IA, que fornece um contexto rico e ajuda você a avaliar rapidamente a história. O resumo da história é gerado dinamicamente para refletir o estado atual da história. Se a história for atualizada com novas informações, você pode regenerar o resumo para refletir as mudanças.

  • O resumo da história gerado por IA é criado apenas sob demanda pelo administrador

Protegendo Dados Sensíveis com Tokenização

Para segurança robusta de dados durante a transmissão de dados de história para serviços de IA de terceiros, a Cato usa tokenização para garantir que todos os dados sensíveis permaneçam na plataforma XOps da Cato. Isso envolve substituir informações sensíveis por identificadores únicos, ou "tokens", tornando os dados sem sentido para entidades não autorizadas. Dados sensíveis nunca são expostos a serviços de terceiros. Esse método garante a confidencialidade dos detalhes da história, alinhando-se ao nosso compromisso com padrões robustos de privacidade de dados e segurança.

Nota

Nota: Devido às limitações da IA generativa, as informações fornecidas nos resumos das histórias podem ocasionalmente conter imprecisões.

Explorando e Analisando Histórias

Uma História de Detecção e Resposta inclui widgets para avaliar a ameaça identificada. Dentro da História, você pode revisar os alertas relevantes e as evidências de suporte, como processos, arquivos, valores de registro, tarefas agendadas e atividade de rede. Essas evidências são apresentadas em:

  • Uma árvore de processos cronológica apresentada no contexto de um Alerta específico. Isso ajuda a entender a sequência de eventos que pareceram suspeitos e geraram o Alerta.

    Nota: Isso pode estar indisponível em algumas histórias devido a problemas de conectividade com a API.

  • A tabela de Evidências fornece uma visão geral das Evidências para a história. Isso ajuda a avaliar de forma mais ampla a prevalência de atividades específicas maliciosas ou suspeitas no dispositivo terminal.

Entendendo os Widgets de Visão Geral da História

Detection___Response_Story_Overview.png

Estes são os widgets de Visão Geral da história:

Nota

Nota: Nem todo widget está incluído em todas as histórias. Os widgets em cada história dependem do tipo de história e dos dados disponíveis.

Nome

Descrição

Resumo da história

A Visão Geral mostra um resumo de informações básicas sobre a história, incluindo:

  • Indicação para o ataque detectado

  • O mecanismo de Detecção & Resposta que criou a história

  • Severidade da ameaça conforme determinado pelo analista

  • Veredito da ameaça conforme determinado pelo analista

  • Tipo de ataque (por exemplo, Extensão de Navegador, Aplicativo Nativo, Scanner, Aplicativo Web)

  • Classificação detalhada da ameaça conforme determinada pelo analista (por exemplo, Varredura de Porta, Domínio Recém-Registrado, Varredura SMB)

  • Número de dispositivos comprometidos

  • Número de sinais (fluxos de tráfego) associados ao ataque

  • Duração da história desde que foi criada

  • Status da história

    Use o menu suspenso Ações e selecione Gerenciar História para alterar as configurações da história, como Veredito do Analista, Severidade do Analista, Status e Classificação.

    A aba Histórias Relacionadas fornece contexto para a história que você está investigando, permitindo revisar rapidamente histórias com a mesma fonte e histórias com características semelhantes envolvendo diferentes fontes em sua rede.

    Linha do tempo da história

    Mostra uma linha do tempo da história, como alterações feitas no veredito da história e na severidade, e quando novos alvos relacionados à história são identificados

    Detalhes

    Informações chave para analisar a história, incluindo uma descrição da ameaça e técnicas MITRE ATT&CK® identificadas para a ameaça.

    • Clique em Gerar Resumo de IA para uma descrição de história em linguagem natural que oferece um contexto rico e ajuda você a avaliar rapidamente a história

    Outros detalhes incluem:

    • Criticidade - Pontuação geral de risco para a história calculada pelo algoritmo de análise de risco de aprendizado de máquina da Cato (os valores vão de 1 - 10)

      Este modelo de aprendizado de máquina, conhecido como floresta aleatória, calcula a criticidade analisando parâmetros específicos da inteligência sobre ameaças (TI) e dados gerados dos fluxos de rede e eventos.

      Uma floresta aleatória é um tipo de modelo de ML que combina os resultados de muitas "árvores de decisão" menores para melhorar a precisão e a confiabilidade. É especialmente útil para avaliar dados complexos e multifatoriais, como ameaças de segurança.

      Para avaliar a criticidade, o modelo considera fatores importantes como:

      • Tipo de SO

      • Popularidade de domínios dentro da Cato

      • Classificação do cliente

      • Tipo de motor de segurança criando os eventos (se relevante)

      • Ação tomada (bloquear, monitorar, etc.)

      • Técnicas MITRE

      • Localização de IP

      • Dados WHOIS

      No total, o modelo avalia mais de 40 parâmetros para garantir uma avaliação abrangente e precisa da criticidade da história.

    • Veredito Previsto e Tipo Previsto com base em previsões de aprendizado de máquina para o veredito provável e tipo potencial de malware que você pode identificar. Os algoritmos de aprendizado de máquina analisam os veredictos finais de histórias semelhantes

    Para mais sobre o framework MITRE ATT&CK®, veja Usando o Dashboard MITRE ATT&CK®.

    • Clique em uma técnica MITRE ATT&CK® para ler sua descrição no site MITRE ATT&CK®

    Fonte

    Informações básicas sobre o usuário e dispositivos em sua rede impactados pela ameaça

    Alertas/Incidentes/Detecções

    Mostra detalhes para os Alertas relacionados à história.

    • Expanda um Alerta para mostrar uma árvore de processos cronológica para as Evidências relacionadas ao Alerta, incluindo processos, arquivos e valores de registro

    • Clique em um item na árvore de processos para explorar mais a fundo e mostrar dados granulares sobre a Evidência

    Estas são as colunas na tabela:

    • Um que descreve a atividade suspeita

    • Criticidade - Pontuação geral de risco para o Alerta calculada pelo algoritmo de análise de risco de aprendizado de máquina da Cato (os valores vão de 1 - 10)

    • Técnicas MITRE - Técnicas MITRE ATT&CK® identificadas para a ameaça

      Para mais sobre o framework MITRE ATT&CK®, veja Usando o Dashboard MITRE ATT&CK®.

    • Status - Mostra se o Alerta é Novo ou já foi Resolvido

    • Data de Primeira Atividade - Data da atividade suspeita inicial detectada para o Alerta

    • Data da Última Atividade - Data da atividade suspeita mais recente detectada para o Alerta

    • Nome da Ameaça - Nome do malware detectado. Por exemplo: Trojan:Win32/Startpage

    • Descrição & Ações Recomendadas - Clique em Ver para uma breve descrição do Alerta e passos recomendados para investigar e mitigar a ameaça

    • Alvo - A URL envolvida no Alerta

    • IP de Destino - O endereço IP remoto envolvido na história

    Evidências

    Agrega detalhes para todos os Processos, Arquivos e valores de Registro identificados na evidência para os diversos Alertas da história.

    Algumas das colunas na tabela de Evidências são compartilhadas por todos os tipos de Evidências, e algumas são específicas por tipo.

    Estas são as colunas que aparecem para todos os tipos de Evidências:

    • Veredito - Veredito gerado pelo Defender para a peça de evidência (Malicioso, Suspeito ou Nenhuma ameaça encontrada)

    • Status de Remediação - Mostra se a ameaça foi remediada

    • Criado - Data e hora em que o evento foi registrado

    Estas são as colunas específicas para cada tipo de Evidência:

    • Processos:

      • Nome do Processo - Nome do arquivo executável para o processo

      • ID do Processo - Número de identificação atribuído pelo Windows para o processo

      • Linha de Comando do Processo - Argumentos que foram passados ao processo no Windows. Isso pode revelar o contexto importante sobre a execução de um processo suspeito

      • Caminho do Arquivo - Localização no dispositivo endpoint do arquivo executável para o processo

    • Arquivos:

      • Caminho do Arquivo - Localização do arquivo no dispositivo endpoint

      • Nome do Arquivo - Nome do arquivo incluindo extensão

      • Tamanho do Arquivo - Tamanho do arquivo em bytes, kilobytes ou megabytes

    • Registro:

      • Nome da chave de registro Nome

      • Tipo de Valor de Registro - Formato dos dados armazenados no valor do registro

      • Valor de Registro - O valor da entrada do registro

    Geolocalização de Ataque

    Mostra a geolocalização para fontes na sua rede (locais laranja) e fontes externas (locais vermelhos) relacionadas à ameaça. Setas conectando as fontes indicam a direção do tráfego

    Ações de Destino

    Eventos relacionados a cada destino, incluindo as seguintes informações:

    Coluna

    Descrição

    Destino

    Domínios ou endereços IP de fontes externas identificadas em fluxos de tráfego relacionados à história

    Tipo

    Motor de segurança que gerou os eventos relacionados ao destino

    Ação

    Ação realizada no tráfego relacionado ao destino

    Eventos Relacionados

    Mostra assinaturas de ameaças que aparecem em eventos relacionados ao destino.

    • Passe o mouse sobre uma assinatura para mostrar um registro resumido de eventos

    • Clique na assinatura para abrir a página de Eventos pré-filtrada para a assinatura

    Distribuição de Ataque

    Distribuição temporal de fluxos relacionados ao ataque.

    • Para facilitar a leitura do gráfico, em Destinos, clique em um destino para ocultar esses dados do gráfico

    • Para mostrar os detalhes do ataque, passe o mouse sobre o gráfico

    Destinos

    Mostra dados para as fontes potencialmente maliciosas fora do seu site de rede relacionadas à história.

    Coluna

    Descrição

    Data de Criação

    Data de registro do domínio de destino

    Destino

    Domínios ou endereços IP de fontes externas identificadas em fluxos de tráfego relacionados à história

    Links de Destino

    Links para consultar o destino em várias fontes externas de inteligência de ameaças.

    Para informações adicionais, clique no ícone VirusTotal, ou selecione outros recursos no menu drop-down.

    Pontuação Maliciosa

    A pontuação maliciosa do destino de acordo com os algoritmos de inteligência de ameaças da Cato. As pontuações variam de 0 (benigno) a 1 (malicioso)

    Popularidade

    Com que frequência o destino aparece nas fontes de dados internas da Cato. Os valores são: Impoular, Baixo, Médio, Alto

    Categorias

    Categorias Cato para o domínio de destino

    Feeds de Ameaças

    Número de fontes de inteligência de ameaças da Cato que detectaram o destino como malicioso

    Motores

    Número de motores de segurança de terceiros que detectaram o destino como malicioso

    País do Registrante

    País onde o domínio de destino está registrado

    Resultados de Pesquisa Google

    Número de resultados de pesquisa no Google para o destino

    Fluxos Relacionados ao Ataque

    Mostra dados para uma amostra representativa de eventos relacionados ao ataque.

    Coluna

    Descrição

    Destino

    Domínio de destino ou IP do fluxo de comunicação relevante

    Hora de Início

    Carimbo de data/hora para o início do fluxo

    Direção

    Direção do fluxo. As direções incluem:

    • Entrada - Tráfego para sua rede originando de uma fonte externa

    • Saída - Tráfego da sua rede para uma fonte externa

    • WANbound - Tráfego da sua rede para outro site em sua rede

    IP de Origem

    Endereço IP de origem na sua rede enviando ou recebendo o fluxo

    Porta de Origem

    Porta de origem na sua rede enviando ou recebendo o fluxo

    IP de Destino

    Endereço IP do destino externo enviando ou recebendo o fluxo

    Porta de Destino

    A porta do destino externo enviando ou recebendo o fluxo

    Método

    O método HTTP no fluxo (GET, POST, etc.)

    URL Completo do Caminho

    O URL completo do recurso externo no fluxo

    Cliente

    Tipo de aplicações cliente que executam no sistema operacional que criou este fluxo de rede (por exemplo, Chrome)

    Aplicativo Cato

    O aplicativo Cato usado no fluxo

    País de Destino

    Localização do IP de Destino no fluxo

    Resposta IP do DNS

    O endereço IP retornado por uma pesquisa DNS

    Eventos de Entrada

    (Este widget requer o conector Microsoft Entra ID)

    Gráficos com detalhamento de dados dos eventos de login para o usuário, desde o dia do alerta até os 2 dias anteriores. Use a lista suspensa para escolher o tipo de dados exibido nos gráficos. Estas são as opções:

    • IP de origem - O endereço IP da origem detectada no evento de login

    • Local de Login - A localização geográfica de onde o login foi realizado

    • Classificação do Cliente - O tipo de cliente usado para o login (por exemplo, o nome e versão do navegador)

    • Agente do Usuário - O agente do usuário usado no login, conforme aparece no campo "User Agent" no cabeçalho HTTP para o tráfego. Estes são exemplos de valores de agente do usuário:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • Tipo de Sistema Operacional - O tipo de sistema operacional no dispositivo usado para o login (por exemplo, Windows, macOS)

    • Versão do Sistema Operacional - O número da versão do sistema operacional no dispositivo usado para o login

    Eventos de Login no Usuário

    (Este widget requer o conector do Microsoft Entra ID)

    Mostra dados dos eventos de login do usuário desde o dia do alerta até os 2 dias anteriores.

    Estas são as colunas da tabela:

    • Hora do evento de login

    • Nome do Usuário para o login

    • IP de origem - O endereço IP da origem detectada no evento de login

    • Local de Login - A localização geográfica de onde o login foi realizado

    • Ação - Resultado da tentativa de login (valores: Falhou, Sucesso, Acesso negado)

    • Motivo da Falha - Explicação para resultados de login de Falhou ou Acesso negado

    • Aplicação - A aplicação em que o usuário tentou fazer login

    • Classificação do Cliente - O tipo de cliente usado para o login (por exemplo, o nome e versão do navegador)

    • Tipo de Sistema Operacional - O tipo de sistema operacional no dispositivo usado para o login (por exemplo, Windows, macOS)

    • Versão do Sistema Operacional - O número da versão do sistema operacional no dispositivo usado para o login

    • Agente do Usuário - O agente do usuário usado no login, conforme aparece no campo "User Agent" no cabeçalho HTTP para o tráfego. Estes são exemplos de valores de agente do usuário:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    Compreendendo o Resumo de Histórias Relacionadas

    XDR_Related_Stories.png

    O resumo de Histórias Relacionadas fornece contexto para a história que você está investigando, permitindo revisar rapidamente histórias com a mesma origem e histórias com características semelhantes envolvendo diferentes origens na sua rede. O resumo mostra detalhes principais para cada história relacionada, e permite abrir facilmente a Bancada de Trabalho de Histórias pré-filtrada para as histórias relacionadas, ou a página de História de Detecção e Resposta para uma história relacionada específica.

    Estas são as tabelas no resumo de Histórias Relacionadas:

    • A tabela Principais Histórias Semelhantes permite ver rapidamente se outras origens na sua rede estão envolvidas em histórias com características semelhantes à história sendo investigada, como a mesma Indicação ou Alvo. Esta tabela mostra até as 5 histórias semelhantes principais de acordo com a pontuação de Similaridade de Alvos. A tabela não está limitada a um intervalo de tempo específico.

    • A tabela Histórias na Origem mostra todas as histórias geradas pela origem nesta história, dentro do intervalo de tempo selecionado. O intervalo de tempo padrão é as últimas 2 semanas. Isso permite avaliar o contexto mais amplo da atividade para essa origem. Por exemplo, isso pode ajudar a determinar se o comportamento nesta história é incomum ou rotineiro para essa origem específica.

    As seguintes ações podem ser realizadas em ambas as tabelas:

    • Clique em Visualizar na Bancada de Trabalho para abrir a Bancada de Trabalho de Histórias pré-filtrada para mostrar as histórias na tabela

    • Clique na linha de uma história para abrir a página de História de Detecção e Resposta para essa história

    Estas são as colunas das tabelas de Histórias Relacionadas:

    • Hora de Criação - Hora em que a história foi gerada

    • Última Atualização - Hora da última atualização da história, como um novo alvo ou veredicto alterado

    • Indicação - Indicador de ataque para a história. Para mais sobre indicações, veja Using the Indications Catalog

      • Clique Open_in_New_Tab.png para abrir a página de História de Detecção & Resposta para esta história em uma nova aba

      • Clique Tooltip_icon.png para mais informações sobre a indicação

    • Fonte - Endereço IP, nome do dispositivo ou usuário SDP na sua rede envolvido na história

    • Similaridade dos Alvos (apenas para Principais Histórias Semelhantes) - Nível de similaridade de alvos em comum com a história investigada, conforme calculado por um modelo de aprendizagem de máquina (indicado por uma porcentagem)

    • Alvos Comuns (apenas para Principais Histórias Semelhantes) - URLs ou endereços IP de alvos em comum com a história sendo investigada

    • Criticidade - Análise de risco da história por Cato (valores são de 1 (baixo risco) - 10 (alto risco))

    • Status da história - Os valores incluem:

      • Aberto - História foi gerada e não está resolvida

      • Pendente Cliente - História foi enviada ao cliente e está aguardando uma resposta deles

      • Pendente Analista - Aguardando mais informações dos analistas de segurança

      • Fechado - Analistas de segurança fecharam a história

      • Reaberto - Produtores XOps detectaram novo tráfego que corresponde a uma história fechada, e automaticamente reabriram a história para permitir revisão adicional. Histórias são reabertas para tráfego detectado 12 ou mais horas após a história ter sido fechada pela primeira vez. Dentro de 12 horas a história não é reaberta para permitir o tratamento da história através de mitigação ou silenciamento

    • Veredito do Analista - O veredito atribuído à história por um analista

    • Classificação do Analista - Uma classificação detalhada do tipo de ameaça conforme definido por um analista

    Esse artigo foi útil?

    Usuários que acharam isso útil: 1 de 1

    0 comentário