Investigando e Analisando Histórias de Segurança do XOps

Este artigo discute como você pode usar a página de Histórias de Detecção & Resposta para analisar histórias de potenciais ameaças na sua conta.

Nota

Observação: XOps é a camada de análise unificada da Cato para segurança e operações, oferecendo insights e remediação guiada. XOps substituiu XDR, para mais informações, veja FAQ do XOps.

Visão geral

Você pode clicar em uma história na Área de Trabalho das Histórias para investigar os detalhes na página História de Detecção & Resposta. Esta página contém uma Visão Geral da história e um resumo de Histórias Relacionadas. A Visão geral contém vários widgets que ajudam você a avaliar a ameaça potencial identificada pelos mecanismos do XOps, enquanto o resumo Histórias Relacionadas ajuda a colocar a história em um contexto mais amplo para análise.

Gerando Resumos de Histórias de IA

A função de aprofundamento da Bancada de Trabalho de Histórias inclui uma ferramenta que permite criar uma descrição de história em linguagem natural gerada por IA, que fornece contexto rico e ajuda você a avaliar rapidamente a história. O resumo da história é gerado dinamicamente para refletir o estado atual da história. Se a história for atualizada com novas informações, você pode regenerar o resumo para refletir as mudanças.

  • O resumo de histórias com IA só é gerado sob demanda pelo administrador

Protegendo Dados Sensíveis com Tokenização

Para uma segurança robusta dos dados durante a transmissão dos dados da história para serviços de IA de terceiros, a Cato utiliza tokenização para garantir que todos os dados confidenciais permaneçam na plataforma XOps da Cato. Isso envolve substituir informações sensíveis por identificadores únicos, ou "tokens", tornando os dados sem sentido para entidades não autorizadas. Dados sensíveis nunca são expostos a serviços de terceiros. Essa abordagem garante a confidencialidade dos detalhes da história, de acordo com nosso compromisso com padrões robustos de privacidade e segurança de dados.

Observação

Nota: Devido às limitações da IA generativa, as informações fornecidas em resumos de histórias podem ocasionalmente conter imprecisões.

Explorando e Analisando Histórias

Uma História de Detecção e Resposta inclui widgets para avaliar a ameaça identificada. Dentro da História, você pode revisar os alertas relevantes e as evidências de suporte, como processos, arquivos, valores do registro, tarefas agendadas e atividade de rede. Essas evidências são apresentadas em:

  • Uma árvore de processos cronológica apresentada no contexto de um Alerta específico. Isso ajuda você a entender a sequência de eventos que pareceram suspeitos e geraram o Alerta.

    Nota: Isso pode não estar disponível em algumas histórias devido a problemas de conectividade com a API.

  • A tabela de Evidências fornece uma visão geral das Evidências para a história. Isso ajuda a avaliar de forma mais ampla a prevalência de atividades maliciosas ou suspeitas específicas no dispositivo endpoint.

Entendendo os Widgets de Visão Geral da História

Detection___Response_Story_Overview.png

Estes são os widgets de Visão Geral da história:

Nota

Nota: Nem todo widget está incluído em todas as histórias. Os widgets em cada história dependem do tipo de história e dos dados disponíveis.

Nome

Descrição

Resumo de histórias

A Visão Geral mostra um resumo das informações básicas sobre a história, incluindo:

  • Indicação para o ataque detectado

  • O mecanismo de Detecção e Resposta que criou a história

  • Severidade da ameaça, conforme determinado pelo analista

  • Veredito da ameaça, conforme determinado pelo analista

  • Tipo de ataque (por exemplo, Extensão do Navegador, Aplicativo Nativo, Scanner, Aplicativo Web)

  • Classificação detalhada da ameaça conforme determinado pelo analista (por exemplo, Varredura de Porta, Domínio Recém-Registrado, Varredura SMB)

  • Número de dispositivos comprometidos

  • Número de sinais (fluxos de tráfego) associados ao ataque

  • Duração da história desde que foi criada

  • Status da história

    Use o menu suspenso de Ações e selecione Gerenciar História para alterar configurações da história, como Veredito do Analista, Severidade do Analista, Status e Classificação.

    A guia Histórias Relacionadas fornece o contexto para a história que você está investigando, permitindo analisar rapidamente histórias com a mesma origem e histórias com características semelhantes envolvendo diferentes fontes na sua rede.

    Linha do tempo da história

    Mostra uma linha do tempo da história, como alterações feitas no veredito e na severidade da história, e quando novos alvos relacionados à história são identificados

    Detalhes

    Informações chave para analisar a história, incluindo uma descrição da ameaça e técnicas MITRE ATT&CK® identificadas para a ameaça.

    • Clique em Gerar Resumo de IA para uma descrição de história em linguagem natural que fornece contexto rico e ajuda você a avaliar rapidamente a história

    Outros detalhes incluem:

    • Criticidade - Score de risco geral para a história como calculado pelo algoritmo de análise de risco por aprendizado de máquina da Cato (valores são de 1 - 10)

      Este modelo de aprendizado de máquina, conhecido como floresta aleatória, calcula a criticidade ao analisar parâmetros específicos da inteligência de ameaças (TI) e dados gerados dos fluxos e eventos da rede.

      Uma floresta aleatória é um tipo de modelo de ML que combina os resultados de várias "árvores de decisão" menores para melhorar a precisão e confiabilidade. É especialmente útil para avaliar dados complexos e multifatoriais, como ameaças de segurança.

      Para avaliar a criticidade, o modelo considera fatores importantes como:

      • Tipo de SO

      • Popularidade do domínio dentro da Cato

      • Classificação do Cliente

      • Tipo de mecanismo de segurança que cria os eventos (se relevante)

      • Ação tomada (bloquear, monitorar, etc.)

      • Técnicas MITRE

      • Localização IP

      • Dados WHOIS

      No total, o modelo avalia mais de 40 parâmetros para garantir uma avaliação abrangente e precisa da criticidade da História.

    • Veredito Previsto e Tipo Previsto com base em previsões de aprendizagem de máquina para o veredito provável e tipo de malware potencial que você pode identificar. Os algoritmos de aprendizagem de máquina analisam os vereditos finais de histórias similares

    Para mais informações sobre o framework MITRE ATT&CK®, veja Utilizando o Painel MITRE ATT&CK®.

    • Clique em uma técnica MITRE ATT&CK® para ler sua descrição no site do MITRE ATT&CK®

    Fonte

    Informações básicas sobre o usuário e dispositivos na sua rede afetados pela ameaça

    Alertas/Incidentes/Detectações

    Mostra detalhes para os Alertas relacionados à história.

    • Expanda um Alerta para mostrar uma árvore de processos cronológica para as Evidências relacionadas ao Alerta, incluindo processos, arquivos e valores de registro

    • Clique em um item na árvore de processos para explorar ainda mais e mostrar dados granulares sobre a Evidência

    Estas são as colunas da tabela:

    • Um que descreve a atividade suspeita

    • Criticidade - Pontuação geral de risco para o Alerta conforme calculada pelo algoritmo de análise de risco de aprendizado de máquina da Cato (os valores variam de 1 a 10)

    • Técnicas MITRE - Técnicas MITRE ATT&CK® identificadas para a ameaça

      Para mais informações sobre o framework MITRE ATT&CK®, consulte Usando o Dashboard MITRE ATT&CK®.

    • Status - Mostra se o Alerta é Novo ou já foi Resolvido

    • Data da Primeira Atividade - Data da atividade suspeita inicial detectada para o Alerta

    • Data da Última Atividade - Data da atividade suspeita mais recente detectada para o Alerta

    • Nome da Ameaça - Nome do malware detectado. Por exemplo: Trojan:Win32/Startpage

    • Descrição e Ações Recomendadas - Clique em Ver para uma breve descrição do Alerta e etapas recomendadas para investigar e mitigar a ameaça

    • Alvo - A URL envolvida no Alerta

    • IP de Destino - O endereço IP remoto envolvido na história

    Evidências

    Agrupa detalhes para todos os Processos, Arquivos e valores de Registro identificados nas evidências para os vários Alertas da história.

    Algumas das colunas na tabela de Evidências são compartilhadas por todos os tipos de Evidências, e algumas são específicas por tipo.

    Estas são as colunas que aparecem para todos os tipos de Evidências:

    • Veredito - Veredito gerado pelo Defender para a peça de evidência (Malicioso, Suspeito ou Nenhuma ameaça encontrada)

    • Status de Remediação - Mostra se a ameaça foi remediada

    • Criado - Data e hora em que o evento foi registrado

    Estas são as colunas específicas para cada tipo de Evidência:

    • Processos:

      • Nome do Processo - Nome do arquivo executável para o processo

      • ID do Processo - Número de ID atribuído pelo Windows para o processo

      • Linha de Comando do Processo - Argumentos passados para o processo no Windows. Isso pode revelar contexto importante sobre a execução de um processo suspeito

      • Caminho do Arquivo - Localização no dispositivo endpoint do arquivo executável para o processo

    • Arquivos:

      • Caminho do Arquivo - Localização do arquivo no dispositivo endpoint

      • Nome do Arquivo - Nome do arquivo incluindo extensão

      • Tamanho do Arquivo - Tamanho do arquivo em bytes, kilobytes ou megabytes

    • Registro:

      • Nome da chave de Registro Nome

      • Tipo de Valor de Registro - Formato dos dados armazenados no valor do registro

      • Valor do Registro - O valor da entrada de registro

    Geolocalização do Ataque

    Mostra a geolocalização para origens na sua rede (localizações laranjas) e fontes externas (localizações vermelhas) relacionadas à ameaça. Setas que conectam as fontes indicam a direção do tráfego

    Ações de Destino

    Eventos relacionados a cada alvo, incluindo as seguintes informações:

    Coluna

    Descrição

    Alvo

    Domínios ou endereços IP de fontes externas identificados em fluxos de tráfego relacionados à história

    Tipo

    Motor de segurança que gerou os eventos relacionados ao alvo

    Ação

    Ação tomada no tráfego relacionado ao alvo

    Eventos Relacionados

    Mostra assinaturas de ameaças que aparecem em eventos relacionados ao alvo.

    • Passe o mouse sobre uma assinatura para mostrar um log de eventos resumo

    • Clique na assinatura para abrir a página de Eventos pré-filtrada para a assinatura

    Distribuição de Ataques

    Distribuição temporal dos fluxos relacionados ao ataque.

    • Para facilitar a leitura do gráfico, em Alvos, clique em um alvo para ocultar esses dados do gráfico

    • Para mostrar os detalhes do ataque, passe o mouse sobre o gráfico

    Alvos

    Mostra dados para as fontes potencialmente maliciosas fora do seu site de rede relacionadas à história.

    Coluna

    Descrição

    Data de Criação

    Data de registro do domínio alvo

    Alvo

    Domínios ou endereços IP de fontes externas identificados em fluxos de tráfego relacionados à história

    Links de Destino

    Links para pesquisar o alvo em várias fontes externas de inteligência de ameaças.

    Para informações adicionais, clique no ícone do VirusTotal ou selecione outros recursos no menu suspenso.

    Pontuação Maliciosa

    A pontuação maliciosa do alvo de acordo com os algoritmos de inteligência de ameaças da Cato. As pontuações variam de 0 (benigno) a 1 (malicioso)

    Popularidade

    Com que frequência o alvo aparece nas fontes de dados internas da Cato. Os valores são: Impoular, Baixo, Médio, Alto

    Categorias

    Categorias Cato para o domínio alvo

    Fontes de Inteligência de Ameaças

    Número de fontes de inteligência de ameaças da Cato que detectaram o alvo como malicioso

    Motores de Terceiros

    Número de motores de segurança de terceiros que detectaram o alvo como malicioso

    País do Registrante

    País onde o domínio alvo está registrado

    Resultados de Pesquisa no Google

    Número de resultados de pesquisa no Google para o alvo

    Fluxos Relacionados ao Ataque

    Mostra dados para uma amostra representativa de eventos relacionados ao ataque.

    Coluna

    Descrição

    Alvo

    Domínio alvo ou IP do fluxo de comunicação relevante

    Hora de Início

    Timestamp para o início do fluxo

    Direção

    Direção do fluxo. As direções incluem:

    • Entrada - Tráfego para sua rede originado em uma fonte externa

    • Saída - Tráfego da sua rede para uma fonte externa

    • WANbound - Tráfego de sua rede para outro site em sua rede

    IP de Origem

    Endereço IP de origem na sua rede enviando ou recebendo o fluxo

    Porta de Origem

    Porta de origem na sua rede enviando ou recebendo o fluxo

    IP de Destino

    Endereço IP do alvo externo enviando ou recebendo o fluxo

    Porta de Destino

    A porta do alvo externo enviando ou recebendo o fluxo

    Método

    O Método HTTP no fluxo (GET, POST, e assim por diante)

    URL Completo

    O URL completo do recurso externo no fluxo

    Cliente

    Tipo de aplicações clientes que executam no sistema operacional que criou este fluxo de rede (por exemplo, Chrome)

    Aplicativo Cato

    O aplicativo Cato usado no fluxo

    País de Destino

    Localização do IP de Destino no fluxo

    IP de resposta DNS

    O Endereço IP retornado por uma consulta DNS

    Eventos de Login

    (Este widget requer o conector Microsoft Entra ID)

    Gráficos com detalhamentos de dados de eventos de login para o usuário desde o dia do alerta mais os 2 dias anteriores. Use o menu suspenso para escolher o tipo de dado mostrado nos gráficos. Estas são as opções:

    • IP de Origem - O endereço IP de origem detectado no evento de login

    • Local de Login - O local geográfico de onde foi realizado o login

    • Classificação do Cliente - Tipo de cliente usado para o login (por exemplo, o nome do navegador e a versão)

    • Agente do Usuário - O agente do usuário usado no login conforme aparece no campo Agente do Usuário no cabeçalho HTTP para o tráfego. Estes são exemplos de valores de agente de usuário:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • Tipo de SO - Tipo de sistema operacional no dispositivo usado para o login (por exemplo, Windows, macOS)

    • Versão do SO - O número da versão do sistema operacional no dispositivo usado para o login

    Eventos de Login do Usuário

    (Este widget requer o conector Microsoft Entra ID)

    Mostra dados dos eventos de login do usuário desde o dia do alerta e os 2 dias anteriores.

    Estas são as colunas da tabela:

    • Horário do evento de login

    • Nome do Usuário para o login

    • IP de Origem - O endereço IP de origem detectado no evento de login

    • Local de Login - O local geográfico de onde foi realizado o login

    • Ação - Resultado da tentativa de login (valores: Falhou, Bem-sucedido, Acesso negado)

    • Motivo da Falha - Explicação para os resultados de login de Falhou ou Acesso negado

    • Aplicativo - O aplicativo no qual o usuário tentou fazer login

    • Classificação do Cliente - Tipo de cliente usado para o login (por exemplo, o nome do navegador e a versão)

    • Tipo de SO - Tipo de sistema operacional no dispositivo usado para o login (por exemplo, Windows, macOS)

    • Versão do SO - O número da versão do sistema operacional no dispositivo usado para o login

    • User Agent - O agente do usuário usado no login conforme aparece no campo User Agent no cabeçalho HTTP para o tráfego. Estes são exemplos de valores de agente do usuário:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    Entendendo o Resumo de Histórias Relacionadas

    XDR_Historias_Relacionadas.png

    O resumo de Histórias Relacionadas fornece contexto para a história que você está investigando, permitindo que você revise rapidamente histórias com a mesma Fonte e histórias com características semelhantes envolvendo diferentes Fontes na sua rede. O Resumo mostra os Detalhes principais de cada história relacionada e permite que você abra facilmente a Bancada de Trabalho de Histórias pré-filtrada para as Histórias Relacionadas, ou a página de História de Detecção & Resposta para uma história relacionada específica.

    Essas são as tabelas no Resumo de Histórias Relacionadas:

    • A tabela Top Histórias Similares permite que você veja rapidamente se outras Fontes na sua rede estão envolvidas em histórias com características semelhantes à história que está sendo investigada, como a mesma Indicação ou Alvo. Esta tabela mostra até as 5 principais histórias similares de acordo com a Pontuação de Semelhança de Alvos. A tabela não está limitada a um intervalo de tempo específico.

    • A tabela Histórias na Fonte mostra todas as histórias geradas pela Fonte nesta história, dentro do intervalo de tempo selecionado. O intervalo de tempo padrão é as últimas 2 semanas. Isso permite que você avalie o contexto mais amplo de atividade para esta fonte. Por exemplo, isso pode ajudar a determinar se o comportamento nesta história é incomum ou rotineiro para esta Fonte específica.

    As ações a seguir podem ser executadas em ambas as tabelas:

    • Clique em Visualizar na Bancada para abrir a Bancada de Trabalho de Histórias pré-filtrada para mostrar as histórias na tabela

    • Clique na linha de uma história para abrir a página de História de Detecção & Resposta para essa história

    Essas são as colunas nas tabelas de Histórias Relacionadas:

    • Hora de Criação - Tempo em que a história foi gerada

    • Última Atualização - Tempo da última atualização da história, como um novo Alvo ou Veredito alterado

    • Indicação - Indicador de ataque para a história. Para mais informações sobre indicações, veja Utilizando o Catálogo de Indicações

      • Clique Open_in_New_Tab.png para abrir a página de Histórias de Detecção & Resposta para esta história em uma nova aba

      • Clique Tooltip_icon.png para mais informações sobre a indicação

    • Fonte - Endereço IP, nome do dispositivo ou Usuário SDP na sua rede envolvido na história

    • Semelhança de Alvos (somente para Histórias Similares Principais) - Nível de semelhança de alvos em comum com a história investigada, conforme calculado por um modelo de aprendizado de máquina (indicado por uma porcentagem)

    • Alvos Comuns (somente para Histórias Similares Principais) - URLs ou Endereços IP de alvos em comum com a história que está sendo investigada

    • Criticidade - Análise de risco da Cato da história (os valores vão de 1 (baixo risco) - 10 (alto risco))

    • O Status da história - Valores incluem:

      • Aberto - A história foi gerada e não está resolvida

      • Pendente Cliente - A história foi enviada para o cliente e está aguardando uma resposta deles

      • Pendente Analista - Aguardando mais informações dos analistas de segurança

      • Fechado - Analistas de Segurança fecharam a história

      • Reaberto - produtores do XOps detectaram novo tráfego que corresponde a uma história fechada e reabriram automaticamente a história para permitir uma nova revisão. Histórias são reabertas para tráfego detectado 12 ou mais horas após a história ter sido fechada pela primeira vez. Dentro de 12 horas a história não é reaberta para permitir o manuseio da história através de mitigação ou supressão

    • Veredicto do Analista - O veredicto atribuído à história por um analista

    • Classificação do Analista - Uma classificação detalhada do tipo de ameaça definida por um analista

    Esse artigo foi útil?

    Usuários que acharam isso útil: 1 de 1

    0 comentário