Introdução ao XOps

Este artigo descreve as melhores práticas para investigar ameaças com a plataforma Cato XOps.

Visão geral

A plataforma Cato XOps permite que as equipes de Operações de Segurança e Operações de Rede utilizem IA e automação para monitorar a rede da organização em busca de ameaças de segurança e problemas de desempenho da rede. XOps transforma quantidades incontroláveis de eventos brutos de segurança e rede em histórias consumíveis, funcionais e acionáveis.

Este artigo descreve as melhores práticas para tirar máximo proveito do XOps para melhorar significativamente o monitoramento de segurança de sua organização e a remediação de ameaças. Primeiro, discutimos a configuração de integrações para expandir as capacidades do XOps, e depois descrevemos um fluxo de trabalho de ponta a ponta para investigar uma história na Bancada de Trabalho de Histórias, incluindo os seguintes passos:

  1. Configurando Integrações XOps
  2. Identificando as histórias mais importantes para focar
  3. Passos para começar uma investigação
  4. Definindo um veredito e remediando a ameaça

Configurando Integrações para XOps

Para maximizar a utilidade da plataforma XOps, recomendamos configurar integrações suportadas que expandam o número e tipo de produtores de histórias do XOps. Recomendamos configurar uma das seguintes integrações de segurança de endpoint para ajudar a obter uma imagem mais completa das ameaças potenciais, e conduzir investigações em uma plataforma XOps unificada que se estende tanto para a rede quanto para o endpoint. Para uma lista completa de produtores do XOps, veja Bem-vindo ao Serviço Cato XOps.

  • Microsoft Defender for Endpoint connector - Clientes que usam Defender for Endpoint podem aproveitar a API da Microsoft para integrar dados de alerta do Defender e gerar XOps histórias para dispositivos de endpoint. Para mais sobre esta integração, veja Microsoft Defender for Endpoint Alerts: Configurando a Integração XOps.

  • Alertas SentinelOne - Clientes que utilizam SentinelOne podem integrar dados do SentinelOne EDR para gerar histórias para dispositivos de endpoint. O produtor SentinelOne cria uma história correlacionando incidentes do EDR do SentinelOne com base no UUID (ID do Dispositivo) do Agente e no Hash do arquivo de ameaça dentro de 90 dias. Essas histórias incluem todas as evidências relevantes para os incidentes detectados pelo SentinelOne.

    Para mais sobre a integração de Alertas SentinelOne, veja SentinelOne EDR: Configurando a Integração XOps.

  • Alertas do CrowdStrike - Clientes que usam CrowdStrike podem integrar dados das detecções do CrowdStrike com base no ID do Incidente. Essas histórias incluem todas as evidências relevantes para a detecção identificada pelo CrowdStrike.

    Para mais sobre a integração de Alertas CrowdStrike, veja CrowdStrike: Configurando a Integração XOps.

  • Proteção de Endpoint Cato - A solução Cato EPP integra-se nativamente com Cato XOps para gerar histórias para dispositivos de endpoint, sem necessidade de configurar um conector. Para mais sobre esta integração, veja Proteção de Endpoint Cato (EPP): Configurando a Integração XOps.

Identificando as Histórias Mais Importantes

Selecionar as histórias certas para trabalhar na Bancada de Trabalho de Histórias é um primeiro passo crucial para o uso eficaz da plataforma XOps. Você pode usar as ferramentas e informações fornecidas na Bancada de Trabalho para identificar rapidamente as histórias de maior prioridade para investigar. Recomendamos os seguintes passos:

  1. Agrupar as histórias - As opções Agrupar por podem lhe proporcionar uma visão rápida dos diferentes tipos de histórias na sua conta, bem como indicar itens de interesse particular na rede, como fontes ou usuários. Estes são exemplos de opções úteis de Agrupar por:

    • Fonte e IP de Origem - veja rapidamente os usuários, dispositivos e endereços IP envolvidos em histórias
    • Produtor - Revise rapidamente os diferentes tipos de histórias detectadas. Para mais sobre os diferentes tipos de Produtores, veja Bem-vindo ao Serviço Cato XOps.
    • Indicações - Obtenha uma visão geral dos indicadores específicos de ataque detectados

    Recomendamos passar pelas diferentes opções de Agrupar por para obter rapidamente uma compreensão das histórias na sua rede a partir de diferentes perspectivas, o que pode ajudar a identificar áreas de interesse particular para focar a investigação.

    Stories_Workbench_Grouping2.png
  2. Priorize por Criticidade - Comece focando nas histórias com a maior pontuação de Criticidade. Estas são as ameaças potenciais que podem ter o impacto mais significativo na sua rede. Você pode clicar no cabeçalho da coluna Criticidade para ordenar as histórias por Criticidade, ou filtrar as histórias por níveis específicos de Criticidade. Além disso, quando você usa as opções Agrupar por, cada grupo indica o número de histórias de alta Criticidade para o grupo.

Iniciando uma Investigação

Uma vez que você selecionou uma história para investigar, pode clicar na história para detalhar na página de Visão Geral da História de Detecção & Resposta Visão Geral da História. Recomendamos tomar os seguintes passos para obter uma compreensão inicial do que está acontecendo na história:

  1. Gerar um Resumo por IA - O widget Detalhes inclui uma ferramenta que permite criar uma descrição da história em linguagem natural gerada por IA, que fornece um contexto rico e ajuda a avaliar rapidamente a história. Gere o resumo clicando no botão Gerar Resumo de IA.

    XDR_Core_Story_Summary.png

  2. Verificar se o Tráfego foi Bloqueado - A tabela Ações de Alvo mostra eventos relacionados a cada alvo envolvido na história, incluindo se a ação Bloquear foi aplicada ao tráfego por um dos serviços de Segurança, como IPS. Se parte do tráfego para os alvos não foi bloqueado, a história tem um nível de risco maior. Mesmo que todo o tráfego para os alvos tenha sido bloqueado, é possível que esse tráfego esteja relacionado a uma ameaça em andamento que requeira investigação adicional.

    XDR_Core_Target_Actions.png

  3. Avaliar os Alvos - A tabela Alvos mostra dados para as fontes potencialmente maliciosas fora do seu site de rede relacionadas à história. Recomendamos focar nas seguintes colunas ao iniciar sua investigação:

    • A Pontuação Maliciosa informa a probabilidade de que o alvo seja malicioso, de acordo com os algoritmos de aprendizado de máquina de Inteligência de Ameaças Cato. As pontuações variam de 0 (benigno) a 1 (malicioso)
    • Os Links de Destino ajudam a entender a reputação do alvo examinando o alvo em várias fontes externas de inteligência de ameaças
    XDR_Core_Targets_table.png
  4. Trabalhar com XOps Playbooks - Os Playbooks de Segurança Cato XOps oferecem uma abordagem estruturada para investigar tipos específicos de histórias. Eles orientam você durante o processo de investigação e ajudam a identificar itens de ação. Para histórias com um playbook relevante, você pode encontrar o link para o playbook no widget de Detalhes. Os Playbooks de Segurança XOps também estão disponíveis aqui.
  5. Usar Comentários - Se a investigação da história incluir colaboração entre os membros da equipe, use Comentários para documentar o que foi feito e fornecer informações e contexto importantes para o próximo analista que examinar a história. Para mais sobre como usar comentários, veja Gerenciamento de Investigações de Histórias XOps.

Definindo o Veredito e Tomando Passos de Remediação

O painel Ações de História permite que você execute ações cruciais e registre informações importantes ao concluir sua investigação. Alguns analistas cometem o erro de fechar uma história sem definir um veredito, perdendo grande parte do benefício do processo de investigação. Ao definir um veredito, você registra informações significativas sobre a história para referência futura, e pode aprender sobre ações recomendadas para remediação. Este é um exemplo de fluxo de trabalho para definir um veredito e realizar passos básicos de remediação após identificar que um dispositivo foi comprometido por uma tentativa de exploração de uma vulnerabilidade conhecida:

  1. Clique em Ações > Gerenciar História para abrir o painel de Ações de História.

    XDR_Comment_buttons.png
  2. Defina o Veredito do Analista como Malicioso.
  3. Defina a Severidade da ameaça.

  4. Defina o Tipo como Tentativa de Exploração, e se possível defina uma Classificação mais específica para a ameaça. Use o campo Informações Adicionais para registrar detalhes sobre o processo de investigação ou os resultados.

    XDR_Core_Example_Verdict.png

  5. Siga as Ações Recomendadas, incluindo:

    1. Crie regras de firewall para bloquear alvos e fontes maliciosos que você identificou na história.
    2. Atualize o software do dispositivo para remediar a vulnerabilidade e evitar ataques de exploração futuros.
  6. Se você identificar um usuário comprometido, pode revogar a sessão remota do usuário para impedir o acesso à rede. Para mais sobre revogar uma sessão remota, veja Revogar uma Sessão de Usuário Remoto.
  7. Defina o Status da História como Fechado.

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário