Mitigando Ameaças em Histórias de XOps

Este artigo discute como mitigar uma ameaça em uma história XOps.

Visão Geral

Histórias de XOps frequentemente envolvem atividade suspeita originada de um usuário específico ou de um Alvo (como um endereço IP ou FQDN). Por exemplo, uma história pode indicar que a sessão remota de um usuário foi comprometida ou que um dispositivo está se comunicando com um domínio de phishing suspeito. A página Visão Geral na Bancada de Trabalho de Histórias permite mitigar ambos os tipos de ameaças efetivamente por meio de:

  • Revogar a Sessão do Usuário: Você pode revogar a sessão do usuário diretamente da história. Isso desconecta o usuário e o solicita a reautenticação através da tela de login do Cliente, garantindo que apenas usuários legítimos recuperem o acesso. Se o usuário não estiver conectado no momento da mitigação, seu token de autenticação é revogado e ele precisará se reautenticar ao reconectar.

  • Adicionar Alvo à Lista de Bloqueio: Você pode adicionar Alvos suspeitos a um Container que você pode incluir em suas políticas de lista de bloqueio. Isso garante que nenhum usuário conectado à Cato possa acessar o Alvo.

    Contêineres são categorias definidas pelo usuário que ajudam a gerenciar grupos de itens como endereços IP ou Nomes de Domínio Totalmente Qualificados (FQDNs). Uma vez que você cria um Container, ele pode ser adicionado a uma regra de Firewall com a ação de Bloquear. Alvos suspeitos são bloqueados apenas quando o Container é incluído em uma regra de firewall. Ao mitigar uma ameaça de uma história de XOps, você pode adicionar um Alvo a um container existente ou criar um novo. Usuários ainda podem acessar Alvos que são adicionados a um Container mas não incluídos em uma regra de firewall.

Caso de Uso - Atividade Incomum do Usuário

Analistas na Corporação Exemplo investigaram uma história de XOps na página Visão Geral e identificaram um usuário carregando uma grande quantidade de dados para um aplicativo de compartilhamento de arquivos. Eles não têm certeza se a atividade de upload é por razões legítimas ou não. Os analistas notam ainda que o agente do usuário em uso para esta atividade de upload é anômalo para este usuário, indicando um possível caso de roubo de credenciais por um adversário. Portanto, eles decidem revogar a sessão do usuário para forçar a reautenticação no dispositivo. Os analistas podem então continuar sua investigação sabendo que apenas um usuário autenticado legítimo está conectado à rede.

Caso de Uso - Ataque de Malware

Um analista de segurança investiga uma história de XOps na página Visão Geral e identifica um endereço IP associado a malware. Após investigação adicional, o analista confirma que este é um ataque originado de um ator malicioso conhecido.

O analista adiciona o Alvo ao Container de endereços IP suspeitos da empresa que está incluído em uma regra de firewall de Internet com a ação Bloquear.

A ameaça é contida, pois nenhum outro usuário consegue acessar o endereço IP.

Mitigação de Ameaças em uma História de XOps

Na página Visão Geral da história, mitigue ameaças do menu Ações.

Placeholder.png

Para mitigar ameaças:

  1. Na Visão Geral da história, clique no botão Ações.

  2. Selecione a ação de mitigação que você deseja executar:

    • Para revogar um usuário, clique Revogar Sessão do Usuário. O painel Revogar Sessão do Usuário abre. Selecione o usuário cuja sessão ativa você deseja revogar. O painel mostra automaticamente o usuário identificado na história.

    • Para adicionar um Alvo à lista de bloqueio, clique em Adicionar Alvo à Lista de Bloqueio. Selecione um Alvo para mitigar e selecione um Container existente ao qual você deseja adicioná-lo, ou clique Criar Novo para criar um novo Container. Certifique-se de que o Container esteja incluído em uma regra de firewall.

  3. (Opcional) Adicione uma nota.

  4. Confirme sua ação.

Revisando Ações de Mitigação no Centro de Ações

A aba Centro de Ação na página Inicial > Política de Detecção & Resposta permite revisar as ações de mitigação XOps tomadas em sua conta.

XDR_Action_Center.png

O Centro de Ação mostra as seguintes informações para cada ação de mitigação:

  • Tempo - Carimbo de data e hora para quando a ação de mitigação foi enviada

  • Ação - Descrição da ação de mitigação

  • Assunto - O usuário em que a ação foi realizada

  • Status - Status da ação. Para a ação Adicionar Alvo à Lista de Bloqueio, esses são os valores de Status:

    • Sucesso - A solicitação para revogar a sessão foi enviada ao serviço de usuários da Cato

    • Falha - Houve um problema com a solicitação para revogar a sessão

  • Autor - Administrador que realizou a ação

  • Gatilho - O ID da História da história da qual a ação foi enviada. Clique para abrir a página Visão Geral da história

  • Nota - Nota opcional inserida pelo administrador

Limitações Conhecidas

  • A ação Revogar Sessão do Usuário está disponível apenas para usuários remotos conectando-se à rede com o Cato Client. Não é suportado para usuários atrás de um site

  • A ação Revogar Sessão do Usuário é suportada para histórias que identificaram um usuário e que são geradas por um dos seguintes produtores:

    • Prevenção de Ameaças

    • Caça a Ameaças

    • Eventos Anômalos

    • Anomalia de Uso

    • Alertas de Endpoint da Cato

  • Pode levar até 10 minutos para a sessão do usuário ser revogada

  • Pode haver um pequeno atraso entre adicionar um container a uma regra de firewall de bloqueio e o alvo ser bloqueado

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário