Анализирование историй XOps UEBA для выявления аномалий использования и событий

Эта статья объясняет, как использовать рабочую панель и страницу детализации историй XOps для анализа историй XOps на наличие аномального поведения, обнаруженного двигателями аномалий использования и событий.

Для получения дополнительной информации о том, как использовать рабочую панель историй, см. Просмотр историй обнаружения и реагирования XOps в рабочей панели историй.

Примечание

Примечание: XOps - это унифицированный аналитический слой Cato для безопасности и операций, предлагающий инсайты и направленное исправление. XOps заменил XDR, для получения дополнительной информации см. XOps FAQ.

Обзор

Сервис Cato XOps (ранее XDR) обнаруживает аномальные активности, основываясь на анализе поведения пользователей и объектов (UEBA), которые могут указывать на угрозу безопасности. Движки Аномалии Использования и Аномалии Событий контролируют и анализируют сетевой трафик для выявления необычного поведения, которое может быть признаком компрометированных учетных записей, внутренних угроз и продвинутых атак. Эти движки используют методы машинного обучения и статистического моделирования с обучением на сетевом трафике для построения базовых моделей поведения пользователей и сущностей в вашей учетной записи. На основе этих моделей движки могут идентифицировать различные типы аномалий.

Это краткие описания двигателей аномалий XOps UEBA и типов аномалий, которые они выявляют:

  • Аномалия Использования - Идентифицирует аномалии, связанные с необычным использованием в приложениях. Например, пользователь загружает в приложение больше данных, чем обычно

  • События Аномалии - Обнаруживает аномалии, при которых сущность в сети вызывает необычное количество событий безопасности. Например, сайт в сети вызывает значительно больше событий блокировки межсетевого экрана Интернета, чем обычно

Когда двигатели аномалий XOps UEBA генерируют историю, вы можете просмотреть её в рабочей панели историй и углубиться для дальнейшего анализа данных истории.

Предварительные условия

  • Истории аномалий использования и событий доступны только клиентам XOps и MDR. Для получения дополнительной информации о покупке XOps или подписке на сервис MDR, пожалуйста, свяжитесь с вашим представителем Cato.

Проникновение в глубину и анализ истории аномалий UEBA

Вы можете щелкнуть на историю Аномалии Использования или События Аномалии в Рабочей области Историй, чтобы углубиться и исследовать детали на другой странице. Эта страница содержит ряд виджетов, которые помогают оценить потенциальную угрозу.

Показ истории безопасности

Нажмите на историю безопасности на странице Рабочей области Историй, чтобы показать детали истории UEBA.

Чтобы посмотреть страницу Рабочая область Историй:

  • В меню навигации нажмите Домашняя > Рабочая область Историй.

Генерация анонсов AI Story

Углубленный анализ Рабочей области Историй включает инструмент, который позволяет создать описание истории на естественном языке, сгенерированное ИИ, что предоставляет богатый контекст и помогает быстро оценить историю. Сводка истории генерируется динамически, чтобы отразить текущее состояние истории. Если история обновляется с новой информацией, вы можете повторно сгенерировать сводку, чтобы отразить изменения.

  • AI сводка истории генерируется только по требованию администратором

Защита конфиденциальных данных с помощью токенизации

Для обеспечения надежной защиты данных во время передачи данных истории сторонним AI-сервисам Cato использует токенизацию, чтобы все чувствительные данные оставались в платформе XOps. Это включает замену чувствительной информации уникальными идентификаторами или «токенами», что делает данные бесполезными для несанкционированных сущностей. Чувствительные данные никогда не передаются сторонним сервисам. Этот подход обеспечивает конфиденциальность деталей истории, соответствуя нашему обязательству придерживаться строгих стандартов конфиденциальности и безопасности данных.

Примечание

Примечание: Из-за ограничений генеративного ИИ информация в сводках историй может иногда содержать неточности.

Понимание виджетов аномалий UEBA

ueba_story_original.png

Это виджеты для истории Аномалии Использования или События Аномалии:

Элемент

Имя

Описание

1

Сводка истории

Сводка основной информации о истории, включая:

  • Имя аномалии

  • Индикатор для Обнаружена атака

  • Движок Обнаружение & Реакция (Производитель), который сгенерировал историю

  • Степень серьезности по оценке аналитика - Степень серьезности угрозы

  • Вердикт Аналитика для угрозы

  • Тип угрозы

  • Детальная классификация угрозы, определенная аналитиком

  • Статус истории

2

Хронология истории

Показывает хронологию истории, такие как изменения в вердикте и степени серьезности истории, и когда обновляется статус

3

Подробности

Основные подробности об истории, включая

  • Описание угрозы и краткое изложение

    • Нажмите Сгенерировать Сводку ИИ для получения описания истории на естественном языке, которое предоставляет богатый контекст и помогает быстро оценить историю

  • Первый сигнал - Время первого сигнала (потока трафика), связанного с аномалией

  • Дата Создания - Время, когда история была сгенерирована

  • Последнее обновление - Время последнего обновления истории, например, новый целевой объект или измененный вердикт

  • Критичность - Общая оценка риска для истории, вычисленная алгоритмом анализа риска машинного обучения Cato (значения от 1 (наименее критичный) до 10 (наиболее критичный))

  • Период Обучения - Период обучения для модели машинного обучения для определения аномального поведения

  • ID индикации - Идентификатор индикации, используемой двигателями XOps. Вы можете использовать ID для поиска индикации в Каталоге Индикаций

  • Теги MITRE - Определенные техники MITRE ATT&CK® для угрозы.

    Для получения дополнительной информации о фреймворке MITRE ATT&CK® см. Использование панели управления MITRE ATT&CK®.

    • Нажмите на технику MITRE ATT&CK®, чтобы прочитать её описание на сайте MITRE ATT&CK®

  • Прогнозируемый вердикт и Предполагаемый тип на основе предсказаний машинного обучения для вероятного вердикта и потенциального типа вредоносного ПО, который вы можете идентифицировать. Алгоритмы машинного обучения анализируют окончательные вердикты аналогичных историй

  • Похожие инциденты - Показывать истории с аналогичными целями. Подробности, показываемые для каждой истории, включают: Тип угрозы истории, Вердикт истории (если доступно), и уровень схожести, вычисленный Моделью машинного обучения (указан в процентах). Наведите курсор на историю, чтобы показать более детальную классификацию угрозы

4

Распределение аномалий

График аномального поведения за последние 14 дней. Для историй об аномалиях в использовании график показывает данные для связанных приложений. Для историй о событиях аномалий график показывает данные по соответствующим событиям.

  • Чтобы показать подробности аномалии, наведите мышь на график

  • Чтобы более детально исследовать различные приложения или события, обнаруженные в аномалии, щелкните кнопку переключения приложения или события, чтобы включить или выключить его график.

  • Нажмите Посмотреть Все, чтобы открыть экран Аналитики приложений, предварительно отфильтрованный по приложениям, связанным с аномалией

5

Источник

Основная информация об устройстве в вашей сети, связанном с аномалией

6

Топ Приложений

Топ приложений, связанных с аномалией, с соответствующими подробностями. Например, приложение для аномалии исходящего трафика отображает общий объем загрузки из приложения

  • Нажмите Посмотреть Все, чтобы открыть экран "Аналитика приложений", предфильтрованный для приложений, связанных с аномалией

7

Топ Серверов/Назначений

Топ серверов и назначений, участвующих в аномалии, с соответствующими подробностями. Например, сервер для аномалии исходящего трафика отображает общий объем загрузок на сервер

  • Нажмите Посмотреть Все, чтобы открыть экран "Аналитика приложений" и показать назначения, предфильтрованные для приложений, связанных с аномалией

8

Основные хосты

Основные хосты, связанные с аномалией, с соответствующими подробностями. Например:

  • Хост для аномалии исходящего трафика отображает количество загрузок с хоста

  • Хосты для аномалии в поведении пользователя отображают IP-адреса пользователя в соединениях, связанных с аномалией

Нажмите Посмотреть Все, чтобы открыть экран "Аналитика приложений" и показать хосты, предфильтрованные для приложений, связанных с аномалией

9

Цели

Показывает данные для потенциально вредоносных источников за пределами сети, связанных с историей.

Это описания столбцов таблицы целей:

  • Цель - Домены или IP-адреса внешних источников, выявленных в потоках трафика, связанных с историей

  • Дата создания - Дата регистрации целевого домена

  • Ссылки на цель - Ссылки для поиска цели в различных внешних источниках информации об угрозах. Для получения дополнительной информации нажмите на иконку VirusTotal или выберите другие ресурсы из выпадающего меню.

  • Оценка вредоносности - Оценка злонамеренности цели согласно алгоритмам Cato threat intelligence. Оценки варьируются от 0 (безвредный) до 1 (вредоносный)

  • Популярность - Как часто цель встречается в внутренних источниках данных Cato. Значения: Низкий, Средний, Аутентифицированный

  • Категории - Категории Cato для целевого домена

  • Источники угроз – Число источников угроз Cato, обнаруживших цель как вредоносную

  • Двигатели - количество сторонних двигателей безопасности, которые выявили цель как вредоносную

  • Страна регистрации - Страна, в которой зарегистрирован целевой домен

  • Количество результатов поиска в Google - Число результатов поиска Google для цели

10

Топ Соединений

Данные для топ соединений, связанных с аномалией. Например, для аномалии пропускной способности исходящего трафика пользователя SDP, соединения с наибольшим использованием пропускной способности загрузки.

Это описания столбцов таблицы:

  • Приложение – Приложение, обнаруженное в потоке данных для соединения

  • IP-адрес источника – IP-адрес источника в вашей сети, который отправляет или получает поток

  • Назначение – IP-адрес или домен внешней цели, отправляющий или получающий поток

  • Потоки – Количество потоков, связанных с соединением

  • Загрузка – Использование пропускной способности загрузки

  • Загрузка – Использование пропускной способности отправки

  • Использование – Общие использование пропускной способности

Требования к историям аномалий UEBA

Некоторые признаки, обнаруженные механизмом обнаружения аномалий, требуют настройки коннектора, определённой лицензии или обоих. Эта таблица перечисляет предварительные условия для этих признаков. Если признак не указан в таблице, дополнительных условий нет.

Индикация

Предварительные условия

Аномалия неудачного входа пользователя

Лицензия CASB и хотя бы один из этих коннекторов:

  • Salesforce

  • GitHub

  • Azure ID

Массовая загрузка (Аномалия событий загрузки пользователя)

Лицензия CASB

Массовая загрузка (Аномалия событий загрузки сайта)

Лицензия CASB

Массовая отправка (Аномалия событий загрузки пользователя)

Лицензия CASB

Массовая отправка (Аномалия событий загрузки сайта)

Лицензия CASB

Массовое удаление (Необычная активность удаления - Пользователь)

Лицензия CASB

Массовое удаление (Необычная активность удаления - Сайт)

Лицензия CASB

Массовое создание (Необычная активность создания файла - Пользователь)

Лицензия CASB

Впервые обнаружено использование устаревших или неавторизованных протоколов - Сайт

Лицензия на предотвращение угроз

Впервые обнаружено использование устаревших или неавторизованных протоколов - Пользователь

Лицензия на предотвращение угроз

Аномалия трафика C&C - Пользователь

Лицензия на предотвращение угроз

Аномалия трафика C&C - Впервые в сочетании с загрузкой на Bucket S3 - Сайт

Лицензия на предотвращение угроз

Впервые в сочетании с загрузкой на Bucket S3

Лицензия CASB и Антивирус

Аномалия удаления почты

Лицензия CASB и эти коннекторы

  • M365-Exchange

  • Аудиторские действия Microsoft Exchange

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев