Использование Каталога Индикаций

В этой статье обсуждается, как использовать Каталог Индикаций для получения дополнительной информации о потенциально вредоносной деятельности, идентифицированной уровнем безопасности Кейто Detection & Response.

Чтобы узнать больше о Detection & Response, см. Обзор Историй Detection & Response (XDR) в Рабочей Области Историй.

Обзор Каталога Индикаций

Каталог Индикаций содержит объяснения и справочную информацию по сотням индикаций (индикаторов атаки), которые идентифицируются уровнями безопасности Detection & Response. Индикация — это набор действий и поведения, которые могут указывать на намерение осуществить атаку, даже если пока не было идентифицировано фактическое нарушение безопасности. Например, хост, генерирующий трафик, демонстрирующий характеристики C&C, может указывать на атаку с использованием вредоносных программ. Когда движки анализируют данные о трафике и идентифицируют совпадение для индикации, они создают историю безопасности, которая отображается на странице Рабочая область Историй, включая индикацию для истории и другие данные, чтобы помочь расследовать угрозу. Каталог Индикаций предоставляет полное описание всех индикаций.

Вы можете легко искать и фильтровать каталог, чтобы найти индикации, и проверить, какие индикации связаны с определённой тактикой атаки. Каталог также позволяет узнать конкретную индикацию, чтобы выяснить, покрывается ли она движками Detection & Response, показать самые новые индикации и просмотреть журналы событий, относящиеся к индикации.

Понимание Типов Индикаций

Каталог Индикаций включает информацию для ряда Типов индикаций угроз, выявляемых различными уровнями безопасности Detection & Response. Это краткие описания различных движков и типов индикаций, которые они идентифицируют:

  • Предотвращение угроз - Выявляет конкретный набор атакующих действий в событиях IPS

  • Сетевой XDR - Определяет сетевые проблемы, такие как ухудшенное соединение

  • Поиск угроз - Идентифицирует расширенный набор атакующих действий в событиях и более богатых данных трафика

  • Аномалии использования - Идентифицирует индикации, связанные с приложениями, демонстрирующими необычное использование. Например, приложение, использующее больше исходящего трафика, чем обычно

  • Аномалии событий - Обнаруживает индикации, которые предполагают, что сущность в сети вызывает необычно большое количество событий безопасности

  • Аномалия опыта - Обнаруживает значительные изменения в качестве работы приложения или производительности сети по отношению к приложению

Типы Индикаций и Лицензирование

Ваша лицензия на Detection & Response определяет Типы индикаций, включённых для вашей учётной записи. Каталог Индикаций показывает вашу текущую лицензию и доступна ли для этой лицензии конкретная индикация. Когда индикация недоступна для вашей лицензии, истории на её основе не будут созданы и показаны в Рабочей Области Историй. Это лицензии и Типы индикаций, включённые для каждой из них:

Лицензия

Доступные Типы Индикаций

XDR Core

  • Предотвращение угроз

  • Сетевой XDR

XDR Pro и MXDR

  • Предотвращение угроз

  • Поиск угроз

  • Аномалии использования

  • Аномалии событий

  • Аномалия опыта

Для получения дополнительной информации о сервисе Кейто MXDR см.  Управляемые услуги Кейто.

Известные Ограничения

  • Индикации, недавно добавленные в движки Detection & Response, могут не сразу появиться в каталоге.

Начало работы с Каталогом Индикаций

Indications_Catalog.png

Чтобы показать Каталог Индикаций:

  • В меню навигации выберите Ресурсы > Каталог Индикаций.

Каталог Индикаций содержит следующие колонки:

  • ID - Идентификатор для индикации, используемой движком Обнаружения и Реакции

  • Индикация - Название категории индикации. Категория может включать несколько различных индикаций с похожими поведениями

  • Описание подозрительных действий и поведений индикации

  • Доступно в учетной записи - Включена ли индикация для учетной записи, исходя из уровня лицензии Обнаружения и Реакции.

    Для получения дополнительной информации о доступности индикаций см. Типы индикаций и лицензирование.

  • Ссылка на MITRE - Показаны связанные техники угроз в фреймворке MITRE ATT&CK® для данной индикации. Для получения дополнительной информации о фреймворке MITRE ATT&CK® см. Работа с панелью управления MITRE ATT&CK®

    • Нажмите ссылку, чтобы открыть страницу События, предварительно отфильтрованную по технике MITRE ATT&CK®

  • Тип - Показано, какой движок Обнаружения и Реакции выявляет индикацию

Настройка фильтров для поиска релевантных индикаций

Установите следующие фильтры, чтобы легко находить релевантные индикации:

  • ID - Выберите ID Индикации, чтобы показать индикацию

  • Вы можете использовать раскрывающееся меню Статус, чтобы отфильтровать каталог и показать только Новые индикации.

    Индикации считаются новыми, если они недавно добавлены в каталог и отображаются с меткой Новый. Метка не указывает на конкретный временной интервал

  • Индикация - Выберите категорию индикации, чтобы отфильтровать каталог и показать индикации в этой категории

  • Поиск в поле Описание для релевантных индикаций.

  • Доступно в учетной записи - Отфильтруйте каталог, чтобы показать только индикации, которые Доступны или Недоступны для учетной записи.

    Для получения дополнительной информации о доступности индикаций см. Типы индикаций и лицензирование.

  • Техника MITRE - Выберите технику атаки, как определено в фреймворке MITRE ATT&CK®, чтобы показать индикации, связанные с техникой

  • Тип - Выберите движок Обнаружения и Реакции, чтобы отфильтровать каталог и показать индикации, которые обнаруживает движок

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев