Explorando e Analisando Histórias de Segurança XOps

Este artigo discute como você pode usar a página de História de Detecção & Resposta para analisar histórias em busca de ameaças potenciais em sua conta.

Visão geral

Você pode clicar em uma história na Bancada de Trabalho de Histórias para explorar e investigar os detalhes na página de História de Detecção & Resposta. Esta página contém uma Visão Geral da história e um resumo das Histórias Relacionadas. A Visão Geral contém vários widgets que ajudam você a avaliar a ameaça potencial identificada pelos motores de XOps, enquanto o resumo das Histórias Relacionadas ajuda a colocar a história em um contexto mais amplo para análise.

Gerando Resumo de IA

A exploração da Bancada de Trabalho de Histórias inclui uma ferramenta que permite criar uma descrição de história em linguagem natural gerada por IA, que fornece um contexto rico e ajuda você a avaliar rapidamente a história. O resumo da história é gerado dinamicamente para refletir o estado atual da história. Se a história for atualizada com novas informações, você pode regenerar o resumo para refletir as mudanças.

  • O Resumo de histórias de IA é gerado sob demanda pelo admin

Protegendo Dados Sensíveis com Tokenização

Para segurança robusta de dados durante a transmissão de dados de história para serviços de IA de terceiros, a Cato usa tokenização para garantir que todos os dados sensíveis permaneçam na plataforma XOps da Cato. Isso envolve substituir informações sensíveis por identificadores únicos, ou "tokens", tornando os dados sem sentido para entidades não autorizadas. Dados sensíveis nunca são expostos a serviços de terceiros. Esse método garante a confidencialidade dos detalhes da história, alinhando-se ao nosso compromisso com padrões robustos de privacidade de dados e segurança.

Nota

Nota: Devido às limitações da IA generativa, as informações fornecidas nos resumos das histórias podem ocasionalmente conter imprecisões.

Analisando e Detalhando Histórias

Uma História de Detecção e Resposta inclui widgets para avaliar a ameaça identificada. Dentro da História, você pode revisar os alertas relevantes e as evidências de suporte, como processos, arquivos, valores de registro, tarefas agendadas e atividade de rede. Essas evidências são apresentadas em:

  • Uma árvore de processos cronológica apresentada no contexto de um Alerta específico. Isso ajuda a entender a sequência de eventos que pareceram suspeitos e geraram o Alerta.

    Nota: Isso pode estar indisponível em algumas histórias devido a problemas de conectividade com a API.

  • A Tabela de Evidências fornece uma visão geral das Evidências para a história. Isso ajuda a avaliar de forma mais abrangente a prevalência de atividades específicas maliciosas ou suspeitas no dispositivo de ponto final.

Compreendendo os Widgets de Visão Geral da História

Detection___Response_Story_Overview.png

Estes são os widgets de Visão Geral da história:

Nota

Nota: Nem todo widget está incluído em todas as histórias. Os widgets em cada história dependem do tipo de história e dos dados disponíveis.

Nome Descrição
Resumo da história

A Visão Geral mostra um resumo das informações básicas sobre a história, incluindo:

  • Indicação para o ataque detectado
  • O motor de Detecção e Resposta que criou a história
  • Severidade da ameaça conforme determinado pelo analista
  • Veredito para a ameaça conforme determinado pelo analista
  • Tipo de ataque (por exemplo, Extensão de Navegador, Aplicação Nativa, Scanner, Aplicativo Web)
  • Classificação detalhada da ameaça conforme determinado pelo analista (por exemplo, Varredura de Porta, Domínio Recém-Registrado, Varredura SMB)
  • Número de dispositivos comprometidos
  • Número de sinais (fluxos de tráfego) associados ao ataque
  • Duração da história desde que foi criada
  • Status da história

Use o menu suspenso de Ações e selecione Gerenciar História para alterar configurações da história como Veredito do Analista, Severidade Analisada, Status e Classificação.

A guia Histórias Relacionadas fornece contexto para a história que você está investigando, permitindo que você revise rapidamente histórias com a mesma fonte e histórias com características semelhantes envolvendo diferentes fontes na sua rede.
Linha do tempo da história Mostra uma linha do tempo da história, como alterações feitas no veredito e na severidade da história, e quando novos alvos relacionados à história são identificados
Detalhes

Informações chave para analisar a história, incluindo uma descrição da ameaça, e técnicas MITRE ATT&CK® identificadas para a ameaça.

  • Clique em Gerar Resumo de IA para uma descrição da história em linguagem natural que fornece um contexto rico e ajuda você a avaliar rapidamente a história

Outros detalhes incluem:

  • Criticidade - Pontuação geral de risco para a história calculada pelo algoritmo de análise de risco de aprendizado de máquina da Cato (valores são de 1 a 10)

    Este modelo de aprendizado de máquina, conhecido como floresta aleatória, calcula a criticidade analisando parâmetros específicos da inteligência de ameaças (TI) e dados gerados a partir de fluxos e eventos de rede.

    Uma floresta aleatória é um tipo de modelo de ML que combina os resultados de muitas “árvores de decisão” menores para melhorar a precisão e a confiabilidade. É especialmente útil para avaliar dados complexos e multifatoriais, como ameaças de segurança.

    Para avaliar a criticidade, o modelo considera fatores importantes como:

    • Tipo de SO
    • Popularidade do domínio dentro da Cato
    • Classificação do cliente
    • Tipo de motor de segurança criando os eventos (se relevante)
    • Ação tomada (bloquear, monitorar, etc.)
    • Técnicas MITRE
    • Localização de IP
    • Dados WHOIS

    No total, o modelo avalia mais de 40 parâmetros para garantir uma avaliação abrangente e precisa da criticidade da história.

  • Veredito Previsto e Tipo Previsto com base em previsões de aprendizado de máquina para o veredito provável e o tipo de malware potencial que você pode identificar. Os algoritmos de aprendizado de máquina analisam os veredictos finais de histórias similares

Para mais informações sobre o framework MITRE ATT&CK®, veja Using the MITRE ATT&CK® Dashboard.

  • Clique em uma técnica MITRE ATT&CK® para ler sua descrição no site da MITRE ATT&CK®
Entidades As entidades onde as histórias ocorreram. Essas podem ser Usuários, Sites, Armazenamento de Dados, aplicações, etc.
Alertas/Incidentes/Detecções

Mostra detalhes para os Alertas relacionados à história.

  • Expanda um Alerta para mostrar uma árvore de processos cronológica para as Evidências relacionadas ao Alerta, incluindo processos, arquivos e valores de registro
  • Clique em um item na árvore de processos para explorar mais a fundo e mostrar dados granulares sobre a Evidência

Estas são as colunas na tabela:

  • Um que descreve a atividade suspeita
  • Criticidade - Pontuação geral de risco para o Alerta calculada pelo algoritmo de análise de risco de aprendizado de máquina da Cato (os valores vão de 1 - 10)

  • Técnicas MITRE - Técnicas MITRE ATT&CK® identificadas para a ameaça

    Para mais sobre o framework MITRE ATT&CK®, veja Usando o Dashboard MITRE ATT&CK®.

  • Status - Mostra se o Alerta é Novo ou já foi Resolvido
  • Data de Primeira Atividade - Data da atividade suspeita inicial detectada para o Alerta
  • Data da Última Atividade - Data da atividade suspeita mais recente detectada para o Alerta
  • Nome da Ameaça - Nome do malware detectado. Por exemplo: Trojan:Win32/Startpage
  • Descrição & Ações Recomendadas - Clique em Ver para uma breve descrição do Alerta e passos recomendados para investigar e mitigar a ameaça
  • Alvo - A URL envolvida no Alerta
  • IP de Destino - O endereço IP remoto envolvido na história
Evidências

Agrega detalhes para todos os Processos, Arquivos e valores de Registro identificados na evidência para os diversos Alertas da história.

Algumas das colunas na tabela de Evidências são compartilhadas por todos os tipos de Evidências, e algumas são específicas por tipo.

Estas são as colunas que aparecem para todos os tipos de Evidências:

  • Veredito - Veredito gerado pelo Defender para a peça de evidência (Malicioso, Suspeito ou Nenhuma ameaça encontrada)
  • Status de Remediação - Mostra se a ameaça foi remediada
  • Criado - Data e hora em que o evento foi registrado

Estas são as colunas específicas para cada tipo de Evidência:

  • Processos:

    • Nome do Processo - Nome do arquivo executável para o processo
    • ID do Processo - Número de identificação atribuído pelo Windows para o processo
    • Linha de Comando do Processo - Argumentos que foram passados ao processo no Windows. Isso pode revelar o contexto importante sobre a execução de um processo suspeito
    • Caminho do Arquivo - Localização no dispositivo endpoint do arquivo executável para o processo

  • Arquivos:

    • Caminho do Arquivo - Localização do arquivo no dispositivo endpoint
    • Nome do Arquivo - Nome do arquivo incluindo extensão
    • Tamanho do Arquivo - Tamanho do arquivo em bytes, kilobytes ou megabytes

  • Registro:

    • Nome da chave de registro Nome
    • Tipo de Valor de Registro - Formato dos dados armazenados no valor do registro
    • Valor de Registro - O valor da entrada do registro
Geolocalização de Ataque Mostra a geolocalização para fontes na sua rede (locais laranja) e fontes externas (locais vermelhos) relacionadas à ameaça. Setas conectando as fontes indicam a direção do tráfego
Ações de Destino

Eventos relacionados a cada destino, incluindo as seguintes informações:

Coluna Descrição
Destino Domínios ou endereços IP de fontes externas identificadas em fluxos de tráfego relacionados à história
Tipo Motor de segurança que gerou os eventos relacionados ao destino
Ação Ação realizada no tráfego relacionado ao destino
Eventos Relacionados

Mostra assinaturas de ameaças que aparecem em eventos relacionados ao destino.

  • Passe o mouse sobre uma assinatura para mostrar um registro resumido de eventos
  • Clique na assinatura para abrir a página de Eventos pré-filtrada para a assinatura
Distribuição de Ataque

Distribuição temporal de fluxos relacionados ao ataque.

  • Para facilitar a leitura do gráfico, em Destinos, clique em um destino para ocultar esses dados do gráfico
  • Para mostrar os detalhes do ataque, passe o mouse sobre o gráfico
Destinos

Mostra dados para as fontes potencialmente maliciosas fora do seu site de rede relacionadas à história.

Coluna Descrição
Data de Criação Data de registro do domínio de destino
Destino Domínios ou endereços IP de fontes externas identificadas em fluxos de tráfego relacionados à história
Links de Destino

Links para consultar o destino em várias fontes externas de inteligência de ameaças.

Para informações adicionais, clique no ícone VirusTotal, ou selecione outros recursos no menu drop-down.
Pontuação Maliciosa A pontuação maliciosa do destino de acordo com os algoritmos de inteligência de ameaças da Cato. As pontuações variam de 0 (benigno) a 1 (malicioso)
Popularidade Com que frequência o destino aparece nas fontes de dados internas da Cato. Os valores são: Impoular, Baixo, Médio, Alto
Categorias Categorias Cato para o domínio de destino
Feeds de Ameaças Número de fontes de inteligência de ameaças da Cato que detectaram o destino como malicioso
Motores Número de motores de segurança de terceiros que detectaram o destino como malicioso
País do Registrante País onde o domínio de destino está registrado
Resultados de Pesquisa Google Número de resultados de pesquisa no Google para o destino
Fluxos Relacionados ao Ataque

Mostra dados para uma amostra representativa de eventos relacionados ao ataque.

Coluna Descrição
Destino Domínio de destino ou IP do fluxo de comunicação relevante
Hora de Início Carimbo de data/hora para o início do fluxo
Direção

Direção do fluxo. As direções incluem:

  • Entrada - Tráfego para sua rede originando de uma fonte externa
  • Saída - Tráfego da sua rede para uma fonte externa
  • WANbound - Tráfego da sua rede para outro site em sua rede
IP de Origem Endereço IP de origem na sua rede enviando ou recebendo o fluxo
Porta de Origem Porta de origem na sua rede enviando ou recebendo o fluxo
IP de Destino Endereço IP do destino externo enviando ou recebendo o fluxo
Porta de Destino A porta do destino externo enviando ou recebendo o fluxo
Método O método HTTP no fluxo (GET, POST, etc.)
URL Completo do Caminho O URL completo do recurso externo no fluxo
Cliente Tipo de aplicações cliente que executam no sistema operacional que criou este fluxo de rede (por exemplo, Chrome)
Aplicativo Cato O aplicativo Cato usado no fluxo
País de Destino Localização do IP de Destino no fluxo
Resposta IP do DNS O endereço IP retornado por uma pesquisa DNS

Eventos de Entrada

(Este widget requer o conector Microsoft Entra ID)

Gráficos com detalhamento de dados dos eventos de login para o usuário, desde o dia do alerta até os 2 dias anteriores. Use a lista suspensa para escolher o tipo de dados exibido nos gráficos. Estas são as opções:

  • IP de origem - O endereço IP da origem detectada no evento de login
  • Local de Login - A localização geográfica de onde o login foi realizado
  • Classificação do Cliente - O tipo de cliente usado para o login (por exemplo, o nome e versão do navegador)

  • Agente do Usuário - O agente do usuário usado no login, conforme aparece no campo "User Agent" no cabeçalho HTTP para o tráfego. Estes são exemplos de valores de agente do usuário:

    • Chrome/90.0.4430.212
    • Safari/537.36
    • Mozilla/5.0 (Windows NT 10.0; Win64; x64)
  • Tipo de Sistema Operacional - O tipo de sistema operacional no dispositivo usado para o login (por exemplo, Windows, macOS)
  • Versão do Sistema Operacional - O número da versão do sistema operacional no dispositivo usado para o login

Eventos de Login no Usuário

(Este widget requer o conector do Microsoft Entra ID)

Mostra dados dos eventos de login do usuário desde o dia do alerta até os 2 dias anteriores.

Estas são as colunas da tabela:

  • Hora do evento de login
  • Nome do Usuário para o login
  • IP de origem - O endereço IP da origem detectada no evento de login
  • Local de Login - A localização geográfica de onde o login foi realizado
  • Ação - Resultado da tentativa de login (valores: Falhou, Sucesso, Acesso negado)
  • Motivo da Falha - Explicação para resultados de login de Falhou ou Acesso negado
  • Aplicação - A aplicação em que o usuário tentou fazer login
  • Classificação do Cliente - O tipo de cliente usado para o login (por exemplo, o nome e versão do navegador)
  • Tipo de Sistema Operacional - O tipo de sistema operacional no dispositivo usado para o login (por exemplo, Windows, macOS)
  • Versão do Sistema Operacional - O número da versão do sistema operacional no dispositivo usado para o login

  • Agente do Usuário - O agente do usuário usado no login, conforme aparece no campo "User Agent" no cabeçalho HTTP para o tráfego. Estes são exemplos de valores de agente do usuário:

    • Chrome/90.0.4430.212
    • Safari/537.36
    • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

Compreendendo o Resumo de Histórias Relacionadas

XDR_Related_Stories.png

O resumo de Histórias Relacionadas fornece contexto para a história que você está investigando, permitindo revisar rapidamente histórias com a mesma origem e histórias com características semelhantes envolvendo diferentes origens na sua rede. O resumo mostra detalhes principais para cada história relacionada, e permite abrir facilmente a Bancada de Trabalho de Histórias pré-filtrada para as histórias relacionadas, ou a página de História de Detecção e Resposta para uma história relacionada específica.

Estas são as tabelas no resumo de Histórias Relacionadas:

  • A tabela Principais Histórias Semelhantes permite ver rapidamente se outras origens na sua rede estão envolvidas em histórias com características semelhantes à história sendo investigada, como a mesma Indicação ou Alvo. Esta tabela mostra até as 5 histórias semelhantes principais de acordo com a pontuação de Similaridade de Alvos. A tabela não está limitada a um intervalo de tempo específico.
  • A tabela Histórias na Origem mostra todas as histórias geradas pela origem nesta história, dentro do intervalo de tempo selecionado. O intervalo de tempo padrão é as últimas 2 semanas. Isso permite avaliar o contexto mais amplo da atividade para essa origem. Por exemplo, isso pode ajudar a determinar se o comportamento nesta história é incomum ou rotineiro para essa origem específica.

As seguintes ações podem ser realizadas em ambas as tabelas:

  • Clique em Visualizar na Bancada de Trabalho para abrir a Bancada de Trabalho de Histórias pré-filtrada para mostrar as histórias na tabela
  • Clique na linha de uma história para abrir a página de História de Detecção e Resposta para essa história

Estas são as colunas das tabelas de Histórias Relacionadas:

  • Hora de Criação - Hora em que a história foi gerada
  • Última Atualização - Hora da última atualização da história, como um novo alvo ou veredicto alterado

  • Indicação - Indicador de ataque para a história. Para mais sobre indicações, veja Using the Indications Catalog

    • Clique em Open_in_New_Tab.png para abrir a página da História de Detecção e Resposta para esta história em uma nova aba
    • Clique em Tooltip_icon.png para mais informações sobre a indicação
  • Fonte - Endereço IP, nome do dispositivo ou usuário SDP na sua rede envolvido na história
  • Similaridade dos Alvos (apenas para Principais Histórias Semelhantes) - Nível de similaridade de alvos em comum com a história investigada, conforme calculado por um modelo de aprendizagem de máquina (indicado por uma porcentagem)
  • Alvos Comuns (apenas para Principais Histórias Semelhantes) - URLs ou endereços IP de alvos em comum com a história sendo investigada
  • Criticidade - Análise de risco da história por Cato (valores são de 1 (baixo risco) - 10 (alto risco))

  • Status da história - Os valores incluem:

    • Aberto - História foi gerada e não está resolvida
    • Pendente Cliente - História foi enviada ao cliente e está aguardando uma resposta deles
    • Pendente Analista - Aguardando mais informações dos analistas de segurança
    • Fechado - Analistas de segurança fecharam a história
    • Reaberto - Produtores XOps detectaram novo tráfego que corresponde a uma história fechada, e automaticamente reabriram a história para permitir revisão adicional. Histórias são reabertas para tráfego detectado 12 ou mais horas após a história ter sido fechada pela primeira vez. Dentro de 12 horas a história não é reaberta para permitir o tratamento da história através de mitigação ou silenciamento
  • Veredito do Analista - O veredito atribuído à história por um analista
  • Classificação do Analista - Uma classificação detalhada do tipo de ameaça conforme definido por um analista

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário