Revisando Histórias de Detecção e Resposta para Clientes MDR

Visão geral das Histórias de Detecção & Resposta

Detecção & Resposta da Cato é uma nova camada de segurança que cria histórias para ameaças. Quando os motores de correlação avançados da Cato analisam dados de tráfego e encontram uma correspondência para uma ameaça potencial, eles geram uma história. A história contém dados de fluxos de tráfego com propriedades comuns que se relacionam com a mesma ameaça. A Bancada de Trabalho de Histórias mostra os detalhes de cada história para ajudar você a entender e analisar as ameaças. Você pode classificar e filtrar as histórias para encontrar os ataques potenciais mais importantes e então aprofundar-se em uma história para investigar mais os detalhes.

Estes são exemplos de dados que uma história pode incluir:

Fontes na sua rede
Alvos externos do tráfego da rede
Identificação e descrição da ameaça
Geolocalizações relevantes
Aplicações relacionadas
Fluxos de tráfego relevantes
Popularidade do alvo de acordo com os dados internos da Cato
Pontuação de maliciosidade do alvo de acordo com os algoritmos de inteligência de ameaças da Cato

Pré-requisitos

Esta versão do recurso Detecção & Resposta está disponível apenas para clientes MDR da Cato. Para mais informações sobre a assinatura do serviço MDR, por favor, entre em contato com seu representante Cato.

Mostrando a Bancada de Trabalho de Histórias

A Bancada de Trabalho de Histórias mostra um resumo das histórias para as ameaças potenciais na sua conta.

Para mostrar a Bancada de Trabalho de Histórias:

No menu de navegação, clique em Inicial> Bancada de Trabalho de Histórias.

Compreendendo as Colunas de Histórias

Coluna	Descrição
ID	ID único da Cato para esta história
Criado	Data do primeiro fluxo de tráfego para a história
Atualizado	Data do fluxo de tráfego mais recente para a história
Pontuação de Risco	Análise de risco da Cato sobre a história (os valores variam de 1 a 10)
IoA	Indicador de Ataque para a história
Fonte	Endereço IP ou nome do dispositivo na sua rede impactado pela história
Tipo	Caça a Ameaças - Uma história onde os algoritmos da Cato e o aprendizado de máquina detectaram um incidente de segurança potencial Anomalia de Uso - Uma história onde uma aplicação mostrou comportamento incomum que indica um incidente de segurança potencial Eventos Anômalos - Uma história onde há um número incomum de eventos de segurança disparados por uma entidade na sua rede
Status	Pendente Cliente - História foi enviada ao cliente e está aguardando resposta dele Pendente Analista - Aguardando mais informações dos analistas de segurança da Cato Fechado - Os analistas de segurança da Cato encerraram o incidente

Agrupando as Histórias

Para fornecer contexto ao revisar as histórias, você pode mostrá-las em grupos definidos por detalhes, incluindo Fonte, Indicação, Status e Tipo. Por exemplo, você pode mostrá-las todas juntas, relacionadas a um endereço IP de origem específico ou todas as histórias de ciber-squatting. Isso lhe dá uma perspectiva mais ampla ao analisar as histórias e pode ajudá-lo a chegar a conclusões mais rápidas e precisas.

Cada grupo destaca os níveis de criticidade das histórias naquele grupo, incluindo o número de histórias de alta, média e baixa criticidade.

Para agrupar as histórias na Bancada de Trabalho de Histórias:

No menu de navegação, clique em Inicial > Bancada de Trabalho de Histórias.
No menu suspenso Agrupar Por, selecione o critério necessário.

As histórias são mostradas em grupos expansíveis.

Filtrando as Histórias

Existem duas maneiras de filtrar os dados na Bancada de Trabalho de Histórias: automaticamente atualizar o filtro com o item selecionado, ou configurar o filtro manualmente.

Filtragem Automática de um Item

Ao passar o cursor sobre um item ou campo onde uma opção de filtro está disponível, o botão aparece. Clique no ícone para mostrar as opções de filtro:

Adicionar ao Filtro - Adiciona o item ao filtro, e a Bancada de Trabalho de Histórias agora mostra apenas histórias que incluem este item. Por exemplo, se você filtrar por uma Pontuação de Risco específica, a tela apenas mostra histórias com essa Pontuação de Risco.
Excluir do Filtro - Atualiza o filtro para excluir este item, e a Bancada de Trabalho de Histórias agora mostra apenas histórias que NÃO incluem este item.

Você pode continuar a adicionar itens ao filtro, clique em novamente para atualizar o filtro e aprofundar ainda mais.

Selecionando o Intervalo de Tempo

O intervalo de tempo padrão para a Bancada de Trabalho de Histórias é os dois dias anteriores. Você pode selecionar um intervalo de tempo diferente para mostrar as histórias por um período de tempo mais longo ou mais curto. Para mais informações, veja Setting the Time Range Filter.

O intervalo máximo de datas para a Bancada de Trabalho de Histórias é de 90 dias.

Configurando Manualmente o Filtro

Você pode configurar manualmente o filtro de histórias para maior granularidade ao analisar as histórias. Após configurar o filtro, ele é adicionado à barra de filtro de histórias e a tela é atualizada automaticamente para mostrar as histórias que correspondem ao novo filtro.

Para criar um filtro:

Na barra de filtro, clique em .
Comece a digitar ou selecione o Campo.
Selecione o Operador, que determina a relação entre o Campo e o Valor que você está procurando.
Selecione o Valor.
Clique em Adicionar Filtro. O filtro é adicionado à barra de filtro e a Bancada de Trabalho de Histórias é atualizada para mostrar histórias baseadas nos filtros.

Limpando o Filtro

Você pode remover cada item do filtro separadamente ou limpar todo o filtro.

Para limpar os filtros para a Bancada de Trabalho de Histórias:

Para limpar um único filtro, clique em ao lado do filtro (item 1 acima).
Para limpar todos os filtros, clique em X no extremo direito da barra de filtro (item 2 acima).

Aprofundando e Analisando Histórias

Você pode clicar em uma história na Bancada de Trabalho de Histórias para aprofundar e investigar os detalhes em uma tela diferente. Esta tela contém uma série de widgets que ajudam você a avaliar a ameaça potencial. Existem widgets especializados para analisar dados de histórias de Caça a Ameaças ou Anomalia de Uso.

Entendendo os Widgets de Caça a Ameaças

Estes são os widgets para uma história de Caça a Ameaças:

Item

Nome

Descrição

Resumo da história

Um resumo de informações básicas sobre a história, incluindo:

Categoria de ameaça
Gravidade da ameaça conforme determinado pelos analistas
Número de sinais (fluxos de tráfego) associados ao ataque
Número de dispositivos comprometidos
Status da história

Linha do tempo da história

Mostra uma linha do tempo da história, como mudanças feitas no veredito e gravidade da história, e quando novos alvos relacionados à história são identificados

Detalhes

Informações chave para analisar a história, incluindo uma descrição de ameaça, assinaturas de ameaça da Cato detectadas no tráfego relevante e técnicas MITRE ATT&CK® identificadas para a ameaça.

Para mais informações sobre o framework MITRE ATT&CK®, veja Working with the MITRE ATT&CK® Dashboard.

Passe o mouse sobre uma assinatura para mostrar um log de eventos resumido
Clique na assinatura para abrir a tela de Eventos pré-filtrada para a assinatura
Clique em uma técnica MITRE ATT&CK® para ler sua descrição no site da MITRE ATT&CK®

Fonte

Informações básicas sobre os dispositivos na sua rede impactados pela ameaça

Geolocalização do Ataque

Mostra a geolocalização para fontes na sua rede (locais laranja) e fontes externas (locais vermelhos) relacionadas à ameaça. Setas conectando as fontes indicam a direção do tráfego

Distribuição de Ataques

Distribuição temporal dos fluxos relacionados ao ataque.

Para facilitar a leitura do gráfico, em Alvos, clique em um alvo para ocultar esses dados do gráfico
Para mostrar os detalhes do ataque, passe o mouse sobre o gráfico

Alvos

Mostra dados para as fontes potencialmente maliciosas fora do seu site de rede relacionadas à história.

Coluna	Descrição
Data de Criação	Data de registro do domínio alvo
Alvo	Domínios ou endereços IP de fontes externas identificadas em fluxos de tráfego relacionados à história
Links de Destino	Links para pesquisar o alvo em várias fontes de inteligência de ameaças. Para informações adicionais, clique no ícone do VirusTotal ou selecione outros recursos no menu suspenso.
Pontuação Maliciosa	A pontuação maliciosa do alvo de acordo com os algoritmos de inteligência de ameaças da Cato. As pontuações variam de 0 (benigno) a 1 (malicioso)
Popularidade	Com que frequência o alvo aparece nas fontes de dados internas da Cato. Os valores são: Impopular, Baixo, Médio, Alto
Categorias	Categorias Cato para o domínio alvo
Fontes de Inteligência de Ameaças	Número de fontes de inteligência de ameaças da Cato que detectaram o alvo como malicioso
Motores de Terceiros	Número de motores de segurança de terceiros que detectaram o alvo como malicioso
País	País onde o domínio alvo está registrado
Resultados de Pesquisa no Google	Número de resultados de pesquisa no Google para o alvo

Fluxos Relacionados ao Ataque

Mostra dados para uma amostra representativa de fluxos de tráfego relacionados ao ataque.

Coluna	Descrição
Alvo	Domínio ou IP do alvo do fluxo
Hora de Início	Timestamp para o início do fluxo
Direção	Direção do fluxo. As direções incluem: Entrada - Tráfego para sua rede originado em uma fonte externa Saída - Tráfego da sua rede para uma fonte externa Wanbound - Tráfego da sua rede para outro site na sua rede
IP de Origem	Endereço IP de origem na sua rede enviando ou recebendo o fluxo
Porta de Origem	Porta de origem na sua rede enviando ou recebendo o fluxo
IP de Destino	Endereço IP do alvo externo enviando ou recebendo o fluxo
Porta de Destino	A porta do alvo externo enviando ou recebendo o fluxo
Método	O método HTTP no fluxo (GET, POST, etc.)
URL Completo	O URL completo do recurso externo no fluxo
Código de Resposta HTTP	O código de status emitido pelo alvo em resposta à solicitação de navegador do cliente
Cliente	O tipo de cliente no fluxo
Aplicativo Cato	Aplicação da Cato usada no fluxo
Referenciador	O endereço para o website original, que contém o link para o recurso solicitado
Agente de Usuário	O agente (por exemplo, versão do navegador) identificado no campo Agente de Usuário no cabeçalho da requisição HTTP no fluxo
País de Destino	Localização do IP de Destino no fluxo

Entendendo os Widgets de Anomalia de Uso

Estes são os widgets para uma história de Anomalia de Uso:

Item	Nome	Descrição
1	Resumo de histórias	Fornece um resumo de informações básicas sobre a história, incluindo: Nome da Anomalia Gravidade O período de treinamento para o modelo de aprendizado de máquina determinar comportamento anômalo Status das Histórias
2	Detalhes	Informações chave para analisar a história, incluindo uma descrição da ameaça e resumo, e técnicas MITRE ATT&CK® identificadas para a ameaça. Para mais informações sobre a estrutura MITRE ATT&CK®, veja Trabalhando com o Painel MITRE ATT&CK®. Clique em uma técnica MITRE ATT&CK® para ler sua descrição no site da MITRE ATT&CK®
3	Distribuição de Anomalias	Gráfico do comportamento anômalo nos últimos 14 dias Para mostrar os detalhes da anomalia, passe o mouse sobre o gráfico Clique em Ver tudo para abrir a tela de Análise de Aplicações pré-filtrada para os aplicativos relacionados à anomalia
4	Principais Hosts	Principais hosts relacionados à anomalia, com detalhes relevantes. Por exemplo, um host para uma anomalia de largura de banda enviada aparece com o número de uploads do host Clique em Ver tudo para abrir a tela de Análise de Aplicações e mostrar os hosts pré-filtrados para os aplicativos relacionados à anomalia
5	Principais Aplicações	Principais aplicações relacionadas à anomalia, com detalhes relevantes. Por exemplo, um aplicativo para uma anomalia de largura de banda enviada aparece com o número de uploads do aplicativo Clique em Ver tudo para abrir a tela de Análise de Aplicações pré-filtrada para os aplicativos relacionados à anomalia
6	Principais Servidores/Destinos	Principais servidores e destinos relacionados à anomalia, com detalhes relevantes. Por exemplo, um servidor para uma anomalia de largura de banda enviada aparece com o número de uploads para o servidor Clique em Ver tudo para abrir a tela de Análise de Aplicações e mostrar os destinos pré-filtrados para os aplicativos relacionados à anomalia

Revisando Histórias Ticketadas

A equipe Cato MDR abre tickets para notificar você sobre histórias significativas. Quando você recebe um ticket, pode facilmente revisar a história na Bancada de Trabalho de Histórias clicando no link fornecido no ticket. Este é um ticket de exemplo: