Использование Каталога Индикаций

В этой статье обсуждается, как использовать Каталог Индикаций для получения дополнительной информации о потенциально вредоносной деятельности, идентифицированной уровнем безопасности Кейто Detection & Response.

Для получения дополнительной информации о Detection & Response см. "Обзор XOps Stories в рабочем столе Stories".

Обзор Каталога Индикаций

Каталог Индикаций содержит объяснения и справочную информацию по сотням индикаций (индикаторов атаки), которые идентифицируются уровнями безопасности Detection & Response. Индикация — это набор действий и поведения, которые могут указывать на намерение осуществить атаку, даже если пока не было идентифицировано фактическое нарушение безопасности. Например, хост, генерирующий трафик, демонстрирующий характеристики C&C, может указывать на атаку с использованием вредоносных программ. Когда движки анализируют данные трафика и идентифицируют совпадение с индикацией, они создают историю безопасности, которая отображается на странице Stories Workbench, включая индикацию для истории и другие данные для помощи в расследовании угрозы. Каталог Индикаций предоставляет полное описание всех индикаций.

Вы можете легко искать и фильтровать каталог, чтобы найти индикации, и проверить, какие индикации связаны с определённой тактикой атаки. Каталог также позволяет узнать конкретную индикацию, чтобы выяснить, покрывается ли она движками Detection & Response, показать самые новые индикации и просмотреть журналы событий, относящиеся к индикации.

Понимание Типов Индикаций

Каталог Индикаций включает информацию для ряда Типов индикаций угроз, выявляемых различными уровнями безопасности Detection & Response. Это краткие описания некоторых из различных движков и типов индикаций, которые они идентифицируют. Для полного списка см. "Добро пожаловать в службу Cato XOps".

  • Предотвращение угроз - Выявляет конкретный набор атакующих действий в событиях IPS

  • Операции сайта - Определяет проблемы сети, такие как ухудшение связности.

  • Поиск угроз - Идентифицирует расширенный набор атакующих действий в событиях и более богатых данных трафика

  • Аномалии использования - Идентифицирует индикации, связанные с приложениями, демонстрирующими необычное использование. Например, приложение, использующее больше исходящего трафика, чем обычно

  • Аномалии событий - Обнаруживает индикации, которые предполагают, что сущность в сети вызывает необычно большое количество событий безопасности

  • Аномалия опыта - Обнаруживает значительные изменения в качестве работы приложения или производительности сети по отношению к приложению

Типы Индикаций и Лицензирование

Ваша лицензия Detection & Response определяет Типы индикаций, доступных для вашего аккаунта. Каталог индикаций показывает текущую лицензию и доступно ли конкретное указание для этой лицензии. Когда индикация недоступна для вашей лицензии, истории на основе этой индикации не будут создаваться и отображаться в Stories Workbench. Для получения дополнительной информации об уровнях лицензии XOps см. "Добро пожаловать в службу Cato XOps".

Известные Ограничения

  • Индикации, недавно добавленные в движки Detection & Response, могут не сразу появиться в каталоге.

Начало работы с Каталогом Индикаций

Indications_Catalog.png

Чтобы показать Каталог Индикаций:

  • В меню навигации выберите Ресурсы > Каталог Индикаций.

Каталог Индикаций содержит следующие колонки:

  • ID - Идентификатор для индикации, используемой движком Обнаружения и Реакции

  • Индикация - Название категории индикации. Категория может включать несколько различных индикаций с похожими поведениями

  • Описание подозрительных действий и поведений индикации

  • Доступно в учетной записи - Включена ли индикация для учетной записи, исходя из уровня лицензии Обнаружения и Реакции.

    Для получения дополнительной информации о доступности индикаций см. Типы индикаций и лицензирование.

  • Ссылка на MITRE - Показаны связанные техники угроз в фреймворке MITRE ATT&CK® для данной индикации. Для получения дополнительной информации о фреймворке MITRE ATT&CK® см. "Использование панели управления MITRE ATT&CK®"

    • Нажмите ссылку, чтобы открыть страницу События, предварительно отфильтрованную по технике MITRE ATT&CK®

  • Тип - Показано, какой движок Обнаружения и Реакции выявляет индикацию

Настройка фильтров для поиска релевантных индикаций

Установите следующие фильтры, чтобы легко находить релевантные индикации:

  • ID - Выберите ID Индикации, чтобы показать индикацию

  • Вы можете использовать раскрывающееся меню Статус, чтобы отфильтровать каталог и показать только Новые индикации.

    Индикации считаются новыми, если они недавно добавлены в каталог и отображаются с меткой Новый. Метка не указывает на конкретный временной интервал

  • Индикация - Выберите категорию индикации, чтобы отфильтровать каталог и показать индикации в этой категории

  • Поиск в поле Описание для релевантных индикаций.

  • Доступно в учетной записи - Отфильтруйте каталог, чтобы показать только индикации, которые Доступны или Недоступны для учетной записи.

    Для получения дополнительной информации о доступности индикаций см. Типы индикаций и лицензирование.

  • Техника MITRE - Выберите технику атаки, как определено в фреймворке MITRE ATT&CK®, чтобы показать индикации, связанные с техникой

  • Тип - Выберите движок Обнаружения и Реакции, чтобы отфильтровать каталог и показать индикации, которые обнаруживает движок

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев