Анализ <span class="phrase">XOps</span> UEBA Статьи на использование и аномалии событий

Эта статья объясняет, как использовать XOps Рабочая область историй и страница детального просмотра истории для анализа XOps историй на аномальное поведение, обнаруженное механизмами Usage Anomaly и Events Anomaly.

Для получения дополнительной информации о использовании Рабочей области историй, см. Reviewing Detection & Response XOps Stories in the Stories Workbench.

Обзор

Сервис Cato XOps обнаруживает аномальные активности на основе анализа поведения пользователя и сущности (UEBA), что может указывать на угрозу безопасности. Механизмы Usage Anomaly и Events Anomaly мониторят и анализируют сетевой трафик для выявления необычного поведения, которое может быть признаком компрометированных учетных записей, внутренних угроз и продвинутых атак. Эти механизмы используют методы машинного обучения и статистического моделирования с обучением на сетевом трафике для создания моделей базового поведения для пользователей и сущностей в вашей учетной записи. На основе этих моделей механизмы могут выявлять разные типы аномалий.

Это краткие описания XOps UEBA аномальных механизмов и типов аномалий, которые они выявляют:

  • Usage Anomaly - Выявляет аномалии, связанные с необычным использованием в приложениях. Например, пользователь загружает больше данных в приложение, чем обычно

  • Events Anomaly - Обнаруживает аномалии, которые включают сущность в сети, вызывающую необычное количество событий безопасности. Например, сайт в сети вызывает значительно больше событий блокировки Интернет Межсетевым Экраном, чем обычно

Когда аномальные механизмы XOps UEBA создают историю, вы можете рассмотреть её в Рабочей области историй и углубиться для более детального анализа данных истории.

Требования

  • Истории Usage Anomaly и Events Anomaly доступны только для клиентов XOps и MDR. Для получения дополнительной информации о покупке XOps или подписке на сервис MDR свяжитесь с вашим представителем Cato.

Углубление и анализ истории аномалий UEBA

Вы можете щелкнуть на историю Usage Anomaly или Events Anomaly в Рабочей области историй, чтобы углубиться и исследовать детали на другой странице. На этой странице содержится несколько виджетов, которые помогают оценить потенциальную угрозу.

Отображение истории безопасности

Щелкните историю безопасности на странице Рабочая область историй, чтобы отобразить подробности по истории UEBA.

Чтобы просмотреть страницу Рабочей области историй:

  • В навигационном меню щелкните Главная > Рабочая область историй.

Генерация AI-резюме истории

Углубленная область Рабочая области историй включает инструмент, который позволяет создавать текстовое описание истории, генерируемое AI, которое предоставляет обширный контекст и помогает быстро оценить историю. Резюме истории генерируется динамически, чтобы отразить текущее состояние истории. Если в истории появляются новые данные, вы можете снова сгенерировать резюме, чтобы отразить изменения.

  • AI-резюме истории генерируется только по запросу администратором

Защита чувствительных данных с помощью токенизации

Для надежной защиты данных во время передачи данных истории в сторонние AI-сервисы, Cato использует токенизацию для обеспечения того, чтобы все чувствительные данные оставались в платформе Cato XOps. Это подразумевает замену чувствительной информации уникальными идентификаторами или "токенами", что делает данные бессмысленными для неавторизованных сущностей. Чувствительные данные никогда не подвергаются воздействию сторонних сервисов. Этот подход обеспечивает конфиденциальность деталей истории, соответствуя нашему обязательству соблюдать строгие стандарты конфиденциальности и безопасности данных.

Примечание

Примечание: Из-за ограничений генеративного AI, информация в резюме истории может содержать неточности.

Понимание виджетов аномалий UEBA

ueba_story_original.png

Это виджеты для истории Usage Anomaly или Events Anomaly:

Элемент

Имя

Описание

1

Резюме истории

Краткое описание основной информации о истории, включая:

  • Название аномалии

  • Указание на Обнаружение атаки

  • Механизм Создатель (engine), который сгенерировал историю

  • Аналитическая важность - Важность угрозы

  • Вердикт аналитика для угрозы

  • Тип атаки

  • Детальная классификация угрозы, определенная аналитиком

  • Статус истории

2

Хронология истории

Отображает временную линию истории, такие как изменения, внесенные в вердикт истории и её важность, а также когда обновляется статус

3

Детали

Основные детали о истории, включая

  • Описание и резюме угрозы

    • Щелкните Генерировать AI-резюме для текстового описания истории, которое предоставляет обширный контекст и помогает быстро оценить историю

  • Первый сигнал - Время первого сигнала (поток трафика), связанного с аномалией

  • Дата создания - Время, когда была сгенерирована история

  • Последнее обновление - Время последнего обновления истории, например, новая цель или измененный вердикт

  • Критичность - Общий балл риска для истории, рассчитываемый алгоритмом анализа риска на базе машинного обучения от Cato (значения от 1 (наименее критичное) до 10 (наиболее критичное))

  • Период обучения - Период обучения для модели машинного обучения для определения аномального поведения

  • ID указания - Идентификатор для указания, используемого двигателями XOps. Вы можете использовать ID для поиска указания в Каталог указаний

  • Теги MITRE - Техники MITRE ATT&CK®, идентифицированные для угрозы.

    Для получения дополнительной информации о фреймворке MITRE ATT&CK®, см. Использование панели управления MITRE ATT&CK®.

    • Щелкните на технику MITRE ATT&CK®, чтобы прочесть её описание на сайте MITRE ATT&CK®

  • Предсказанный вердикт и Предсказанный тип на основе предсказаний машинного обучения для вероятного вердикта и потенциального типа вредоносного ПО, который вы можете определить. Алгоритмы машинного обучения анализируют окончательные вердикты аналогичных историй

  • Подобные истории - Показывает истории с подобными целями. Детали, показанные для каждой истории, включают: тип угрозы истории, вердикт истории (если доступен) и уровень схожести, рассчитанный моделью машинного обучения (указан процент). Наведите курсор мыши на историю, чтобы показать более детальную классификацию угрозы

4

Распределение аномалий

График аномального поведения за последние 14 дней. Для историй Usage Anomaly график показывает данные для соответствующих приложений. Для историй Events Anomaly график показывает данные для соответствующих событий.

  • Чтобы показать детали аномалии, наведите курсор мыши на график

  • Чтобы подробнее исследовать разные приложения или события, обнаруженные в аномалии, нажмите кнопку включения приложения или события, чтобы включить или отключить его график.

  • Щелкните Просмотреть все, чтобы открыть экран аналитики приложений, предварительно отфильтрованный по приложениям, связанным с аномалией

5

Источник

Основная информация об устройстве в вашей сети, связанная с аномалией

6

Лучшие приложения

Найдено лучших приложений, связанных с аномалией, с соответствующими подробностями. Например, приложение для аномалии восходящей пропускной способности появляется с общим объемом загрузки из приложения

  • Щелкните Просмотреть все, чтобы открыть экран аналитики приложений, предварительно отфильтрованный по приложениям, связанным с аномалией

7

Лучшие серверы/назначения

Лучшие серверы и назначения, участвующие в аномалии, с соответствующими деталями. Например, сервер для аномалии восходящей пропускной способности появляется с общим объемом загрузки на сервер

  • Щелкните Просмотреть все, чтобы открыть экран аналитики приложений и показать назначения, предварительно отфильтрованные по приложениям, связанным с аномалией

8

Лучшие хосты

Лучшие хосты, связанные с аномалией, с соответствующими деталями. Например:

  • Хост для аномалии восходящей пропускной способности появляется с количеством загрузок с хоста

  • Хосты для аномалии в поведении пользователя показывают IP-адреса пользователя в подключениях, связанных с аномалией

Щелкните Просмотреть все, чтобы открыть экран аналитики приложений и показать хосты, предварительно отфильтрованные по приложениям, связанным с аномалией

9

Цели

Показывает данные для потенциально вредоносных источников вне вашего сетевого участка, связанных с историей.

Это описания столбцов целевой таблицы:

  • Цель - Домены или IP-адреса внешних источников, обнаруженные в потоках трафика, связанных с историей

  • Дата создания - Дата регистрации целевого домена

  • Целевые ссылки - Ссылки для поиска цели в различных внешних источниках разведки угроз. Для дополнительной информации нажмите на иконку VirusTotal или выберите другие ресурсы из выпадающего меню.

  • Зловредная оценка - Оценка зловредности цели по алгоритмам разведки угроз Cato. Оценки варьируются от 0 (безвредно) до 1 (вредоносно)

  • Популярность - Как часто цель появляется во внутренних источниках данных Cato. Значения: Непопулярно, Низко, Средне, Высоко

  • Категории - Категории Cato для целевого домена

  • Ленты угроз - Количество источников разведки угроз Cato, которые обнаружили цель как вредоносную

  • Движки - Количество сторонних систем безопасности, которые обнаружили цель как вредоносную

  • Страна регистратора - Страна, где зарегистрирован целевой домен

  • Попадания в Google Search - Количество результатов поиска Google для целевой цели

10

Лучшие соединения

Данные по лучшим соединениям, связанным с аномалией. Например, для аномалии Upstream Bandwidth пользователя SDP, соединения с наиболее используемой пропускной способностью загрузки.

Это описания столбцов таблицы:

  • Приложение - Приложение, обнаруженное в потоке трафика для соединения

  • Источник IP - IP-адрес источника в вашей сети, отправляющий или получающий поток

  • Назначение - IP-адрес или домен внешней цели, отправляющий или получающий поток

  • Потоки - Количество потоков, связанных с соединением

  • Скачивание - Использование пропускной способности для загрузки

  • Загрузка - Использование пропускной способности для загрузки

  • Использование - Общее использование пропускной способности

Предварительные условия для историй аномалий UEBA

Некоторые индикаторы, обнаруженные механизмом обнаружения аномалий, требуют настройки коннектора, определенной лицензии или обоих. Эта таблица перечисляет предварительные условия для этих индикаторов. Если индикатор не указан в таблице, дополнительных предварительных условий нет.

Индикатор

Предварительные условия

Аномалия неудачных попыток входа пользователя

Лицензия CASB и хотя бы один из этих коннекторов:

  • Salesforce

  • GitHub

  • Azure ID

Массовая загрузка (Аномалия событий загрузки пользователя)

Лицензия CASB

Массовая загрузка (Аномалия событий загрузки сайта)

Лицензия CASB

Массовая загрузка (Аномалия событий загрузки пользователя)

Лицензия CASB

Массовая загрузка (Аномалия событий загрузки сайта)

Лицензия CASB

Массовое удаление (Необычная активность удаления - пользователь)

Лицензия CASB

Массовое удаление (Необычная активность удаления - сайт)

Лицензия CASB

Массовое создание (Необычная активность создания файлов - пользователь)

Лицензия CASB

Первое использование устаревших или неавторизованных протоколов - сайт

Лицензия на предотвращение угроз

Первое использование устаревших или неавторизованных протоколов - пользователь

Лицензия на предотвращение угроз

Аномалия C&C трафика - пользователь

Лицензия на предотвращение угроз

Первичная загрузка в корзину S3C C&C трафика - сайт

Лицензия на предотвращение угроз

Первичная загрузка в корзину S3

Лицензия CASB и Антивирусная лицензия

Аномалия удаления почты

Лицензия CASB и эти коннекторы

  • M365-Exchange

  • Аудит активности Microsoft Exchange

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев