Углубленный анализ историй безопасности XOps

Эта статья обсуждает, как вы можете использовать страницу Истории Обнаружения и Реакции, чтобы анализировать истории на предмет потенциальных угроз в вашей учетной записи.

Обзор

Вы можете кликнуть на историю в Рабочей области Историй, чтобы углубиться и изучить детали на странице Истории Обнаружения & Реакции. Эта страница содержит Обзор истории и сводку связанных историй. Обзор содержит ряд виджетов, которые помогают вам оценить потенциальную угрозу, выявленную движками XOps, а сводка связанных историй помогает разместить историю в более широкой контексте для анализа.

Создание сводок историй с помощью ИИ

Углубленный анализ в Рабочей области Историй включает инструмент, позволяющий создавать описания историй на естественном языке, генерируемые ИИ, которые предоставляют богатый контекст и помогают быстро оценить историю. Сводка истории создается динамически, чтобы отображать текущее состояние истории. Если история обновляется новой информацией, вы можете повторно сгенерировать сводку, чтобы отразить изменения.

  • Сводка ИИ истории создается только по требованию администратором

Защита конфиденциальных данных с помощью токенизации

Для надежной безопасности данных при передаче данных истории в сторонние ИИ-сервисы, Cato использует токенизацию, чтобы все конфиденциальные данные оставались в платформе Cato XOps. Это включает замену конфиденциальной информации уникальными идентификаторами или "токенами", делая данные бессмысленными для неавторизованных субъектов. Конфиденциальные данные никогда не раскрываются сторонним сервисам. Такой подход гарантирует конфиденциальность деталей истории, что соответствует нашему обязательству придерживаться надежных стандартов защиты и конфиденциальности данных.

Примечание

Примечание: Из-за ограничений генеративного ИИ, информация, предоставляемая в сводках историй, может иногда содержать неточности.

Углубленный анализ и анализ историй

История Обнаружения и Реакции включает виджеты для оценки выявленной угрозы. Внутри истории вы можете просмотреть соответствующие оповещения и подтверждающие доказательства, такие как процессы, файлы, значения реестра, запланированные задачи и сетевая активность. Эти доказательства представлены множеством объединенных данных:

  • Хронологическое древо процессов, представленное в контексте конкретного Оповещения. Это помогает понять последовательность событий, которые показались подозрительными и сгенерировали Оповещение.

    Примечание: Это может быть недоступно в некоторых историях из-за проблем с подключением к API.

  • Таблица Доказательства, предоставляющая обзор Доказательств для истории. Это помогает более широко оценить распространенность конкретных вредоносных или подозрительных действий на устройстве конечной точки.

Понимание виджетов обзора истории

Detection___Response_Story_Overview.png

Это виджеты Обзора истории:

Примечание

Примечание: Не каждый виджет включен в каждую историю. Виджеты в каждой истории зависят от типа истории и доступных данных.

Имя

Описание

Сводка истории

Обзор показывает сводку основной информации об истории, включая:

  • Индикация для обнаруженной атаки

  • Движок Обнаружения и Реакции, который создал историю

  • Степень серьезности угрозы, определенная аналитиком

  • Вердикт по угрозе, вынесенный аналитиком

  • Тип атаки (например, Расширение браузера, Родное приложение, Сканер, Веб-приложение)

  • Подробная классификация угрозы, определенная аналитиком (например, Сканирование порта, Недавно зарегистрированный домен, Сканирование SMB)

  • Количество скомпрометированных устройств

  • Количество сигналов (потоков трафика), связанных с атакой

  • Длительность истории с момента ее создания

  • Статус истории

    Используйте меню Действия и выберите Управлять историей, чтобы изменить настройки истории, такие как Вердикт аналитика, Серьезность аналитика, Статус и Классификация.

    Вкладка Связанные истории предоставляет контекст для истории, которую вы расследуете, позволяя вам быстро просмотреть истории с тем же источником и истории с похожими характеристиками, включающими разные источники в вашей сети.

    Хронология истории

    Показывает хронологию истории, такие как изменения, сделанные в вердикте и серьезности истории, и когда новые цели, связанные с историей, идентифицированы

    Подробности

    Ключевая информация для анализа истории, включая описание угрозы и техники MITRE ATT&CK® для угрозы.

    • Нажмите Сгенерировать Сводку ИИ для описания истории на естественном языке, которое предоставляет богатый контекст и помогает быстро оценить историю

    Другие детали включают:

    • Критичность - Общая оценка риска для истории, рассчитанная алгоритмом анализа рисков машинного обучения Cato (значения от 1 до 10)

      Эта модель машинного обучения, известная как случайный лес, рассчитывает критичность, анализируя специфические параметры из разведки угроз (TI) и данных, сгенерированных потоком сети и событиями.

      Случайный лес — это тип модели машинного обучения, который объединяет результаты множества маленьких «деревьев решений», чтобы повысить точность и надежность. Он особенно полезен для оценки сложных, многофакторных данных, таких как угрозы безопасности.

      Для оценки критичности модель учитывает важные факторы, такие как:

      • Тип ОС

      • Популярность домена внутри Cato

      • Классификация клиента

      • Тип движка безопасности, создающий события (если это актуально)

      • Совершенное действие (блок, мониторинг и т. д.)

      • Техники MITRE

      • Местоположение IP

      • Данные Whois

      Всего модель оценивает более 40 параметров, чтобы обеспечить всестороннюю и точную оценку критичности Истории.

    • Прогнозируемый вердикт и Предполагаемый тип основаны на прогнозах машинного обучения для вероятного вердикта и потенциального типа вредоносного ПО, которое вы можете идентифицировать. Алгоритмы машинного обучения анализируют окончательные вердикты схожих историй

    Для получения дополнительной информации о фреймворке MITRE ATT&CK®, см. Using the MITRE ATT&CK® Dashboard.

    • Щелкните технику MITRE ATT&CK®, чтобы прочитать её описание на сайте MITRE ATT&CK®

    Источник

    Основная информация о пользователе и устройствах в вашей сети, затронутых угрозой

    Оповещения/Инциденты/Обнаружения

    Показывает детали для Оповещений, связанных с историей.

    • Разверните Оповещение, чтобы показать хронологическое древо процессов для Доказательства, связанных с Оповещением, включая процессы, файлы и значения реестра

    • Щелкните элемент в древе процессов, чтобы углубиться дальше и показать детализированные данные о Доказательствах

    Это столбцы в таблице:

    • Активность, описывающая подозрительное действие

    • Критичность - Общая оценка риска для Оповещения, рассчитанная алгоритмом анализа рисков машинного обучения Cato (значения от 1 до 10)

    • Техники MITRE - техники MITRE ATT&CK®, идентифицированные для угрозы

      Для получения дополнительной информации о фреймворке MITRE ATT&CK®, см. Using the MITRE ATT&CK® Dashboard.

    • Статус - Показывает, является ли Оповещение Новым или уже было Решено

    • Дата первой активности - Дата первоначальной подозрительной активности, обнаруженной для Оповещения

    • Дата последней активности - Дата самой последней подозрительной активности, обнаруженной для Оповещения

    • Имя угрозы - Имя обнаруженной вредоносной программы. Например: Trojan: Win32/Startpage

    • Описание и рекомендуемые действия - Щелкните Просмотр для краткого описания Оповещения и рекомендуемых шагов для расследования и смягчения угрозы

    • Цель - URL, задействованный в Оповещении

    • IP-адрес назначения - удалённый IP-адрес, участвующий в истории

    Доказательства

    Агрегирует детали для всех Процессов, Файлов и значений Реестра, выявленных в доказательствах для различных Оповещений историй.

    Некоторые из столбцов в таблице Доказательства общие для всех типов Доказательств, а некоторые специфичны для каждого типа.

    Это столбцы, которые появляются для всех типов Доказательств:

    • Вердикт - Вердикт, сгенерированный Defender для доказательства (Вредоносный, Подозрительный или Угроз не найдено)

    • Статус устранения - Показывает, была ли угроза устранена

    • Создано - Дата и время, когда событие было записано

    Это конкретные столбцы для каждого типа Доказательства:

    • Процессы:

      • Имя процесса - Имя исполняемого файла для процесса

      • ID процесса - Номер ID, присвоенный Windows для процесса

      • Командная строка процесса - Аргументы, которые были переданы процессу в Windows. Это может раскрыть важный контекст выполнения подозрительного процесса

      • Путь к файлу - Местоположение исполняемого файла процесса на конечном устройстве

    • Файлы:

      • Путь к файлу - Местоположение файла на конечном устройстве

      • Имя файла - Имя файла, включая расширение

      • Размер файла - Размер файла в байтах, килобайтах или мегабайтах

    • Реестр:

      • Ключ реестра Имя

      • Тип значения реестра - Формат данных, хранящихся в значении реестра

      • Значение реестра - Значение записи реестра

    Геолокация атаки

    Показывает геолокацию для источников в вашей сети (оранжевые местоположения) и внешних источников (красные местоположения), связанных с угрозой. Стрелки, соединяющие источники, указывают направление трафика

    Действия по объекту

    События, связанные с каждой целью, включая следующую информацию:

    Столбец

    Описание

    Цель

    Домены или IP-адреса внешних источников, идентифицированные в потоках трафика, связанных с историей

    Тип

    Движок безопасности, который сгенерировал события, связанные с целью

    Действие

    Действие, предпринятое относительно трафика, связанного с целью

    Связанные события

    Показывает сигнатуры угроз, появляющиеся в событиях, связанных с целью.

    • Наведите курсор мыши на сигнатуру, чтобы показать журнал сводных событий

    • Кликните на сигнатуру, чтобы открыть страницу Событий, предварительно отфильтрованную по сигнатуре

    Распределение атак

    Распределение потоков, связанных с атакой, по времени.

    • Чтобы упростить чтение графика, в Цели кликните на цель, чтобы скрыть эти данные с графика

    • Чтобы показать детали атаки, наведите мышь на график

    Цели

    Показывает данные для потенциально вредоносных источников за пределами вашего сайта сети, связанных с историей.

    Столбец

    Описание

    Дата создания

    Дата регистрации целевого домена

    Цель

    Домены или IP-адреса внешних источников, идентифицированные в потоках трафика, связанных с историей

    Ссылки на цель

    Ссылки для поиска цели в различных внешних источниках разведки угроз.

    Для получения дополнительной информации кликните на иконку ВирусТотал или выберите другие ресурсы из выпадающего меню.

    Оценка вредоносности

    Оценка вредоносности цели по алгоритмам угроз Кейто. Оценки варьируются от 0 (безвредный) до 1 (вредоносный)

    Популярность

    Как часто цель встречается во внутренних источниках данных Кейто. Значения: Непопулярный, Низкий, Средний, Высокий

    Категории

    Категории Кейто для целевого домена

    Источники угроз

    Количество источников угроз Кейто, которые идентифицировали цель как вредоносную

    Движки

    Количество сторонних движков безопасности, которые идентифицировали цель как вредоносную

    Страна регистрации

    Страна, где зарегистрирован целевой домен

    Количество результатов поиска в Google

    Количество результатов поиска в Google для цели

    Потоки, связанные с атакой

    Показывает данные для репрезентативной выборки событий, связанных с атакой.

    Столбец

    Описание

    Цель

    Целевой домен или IP, связанный с соответствующим потоком связи

    Время начала

    Метка времени начала потока

    Направление

    Направление потока. Направления включают:

    • Входящий - Трафик к вашей сети, исходящий от внешнего источника

    • Исходящий - Трафик из вашей сети к внешнему источнику

    • WAN-направленный - Трафик из вашей сети на другой сайт вашей сети

    IP-адрес источника

    IP-адрес источника в вашей сети, отправляющий или принимающий поток

    Исходный порт

    Исходный порт в вашей сети, отправляющий или принимающий поток

    IP-адрес назначения

    IP-адрес внешней цели, отправляющей или принимающей поток

    Порт назначения

    Порт внешней цели, отправляющей или принимающей поток

    Метод

    HTTP-метод в потоке (GET, POST и так далее)

    Полный путь URL

    Полный URL внешнего ресурса в потоке

    Клиент

    Тип клиентских приложений, которые работают на операционной системе, создавшей этот сетевой поток (например, Chrome)

    Приложение Cato

    Приложение Cato, использованное в потоке

    Страна назначения

    Местоположение IP-адреса назначения в потоке

    IP-адрес, полученный в ответ на DNS-запрос

    IP-адрес, возвращенный поисковым запросом DNS

    События входа в систему

    (Этот виджет требует подключения Microsoft Entra ID)

    Графики с разбивкой данных из событий входа для пользователя за день оповещения плюс предыдущие 2 дня. Используйте выпадающее меню для выбора типа данных, отображаемых на графиках. Вот доступные параметры:

    • IP-адрес источника - IP-адрес источника, обнаруженный в событии входа

    • Местоположение входа - Геолокация, с которой был произведен вход

    • Классификация клиента - Тип клиента, использованного для входа (например, название и версия браузера)

    • Пользовательский агент - Пользовательский агент, использованный при входе, как указано в поле User Agent в HTTP-заголовке для трафика. Примеры значений пользовательского агента:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • Тип операционной системы - Тип операционной системы на устройстве, используемом для входа (например, Windows, macOS)

    • Версия операционной системы - Номер версии операционной системы на устройстве, используемом для входа

    События входа в систему на пользователе

    (Этот виджет требует коннектора Microsoft Entra ID)

    Показывает данные из событий входа пользователя за день оповещения и предыдущие 2 дня.

    Вот столбцы в таблице:

    • Время события входа

    • Имя пользователя для входа

    • IP-адрес источника - IP-адрес источника, обнаруженный в событии входа

    • Местоположение входа - Геолокация, с которой был произведен вход

    • Действие - Результат попытки входа (значения: Не удалось, Успешно, Доступ запрещен)

    • Причина отказа - Объяснение результатов входа Не удалось или Доступ запрещен

    • Приложение - Приложение, в которое пользователь попытался войти

    • Классификация клиента - Тип клиента, использованного для входа (например, название и версия браузера)

    • Тип операционной системы - Тип операционной системы на устройстве, используемом для входа (например, Windows, macOS)

    • Версия операционной системы - Номер версии операционной системы на устройстве, используемом для входа

    • Пользовательский агент - Пользовательский агент, использованный при входе, как указано в поле User Agent в HTTP-заголовке для трафика. Примеры значений пользовательского агента:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    Понимание сводки связанных историй

    XDR_Related_Stories.png

    Сводка Связанные Истории предоставляет контекст для истории, которую вы расследуете, позволяя вам быстро просмотреть истории с тем же источником и истории с похожими характеристиками, включающими разные источники в вашей сети. Сводка показывает ключевые детали для каждой связанной истории и позволяет легко открыть Рабочую область Историй с предустановленным фильтром для связанных историй или страницу Истории Обнаружения & Реакции для конкретной связанной истории.

    Вот таблицы в сводке Связанные Истории:

    • Таблица Топ похожих историй позволяет быстро увидеть, задействованы ли другие источники в вашей сети в историях с похожими характеристиками на эту историю, которую вы расследуете, такие как те же Индикация или Цель. Эта таблица показывает до 5 самых похожих историй в соответствии с баллом Сходства целей. Таблица не ограничена конкретным временным диапазоном.

    • Таблица Истории на источнике показывает все истории, сгенерированные источником в этой истории, в выбранном временном диапазоне. Временной диапазон по умолчанию - последние 2 недели. Это позволяет оценить более широкий контекст активности для этого источника. Например, это может помочь определить, является ли поведение в этой истории необычным или рутинным для этого конкретного источника.

    Следующие действия могут быть выполнены в обеих таблицах:

    • Нажмите Просмотреть в рабочей среде, чтобы открыть Рабочую область Историй с предустановленным фильтром для истории в таблице

    • Нажмите на строку истории, чтобы открыть страницу Истории Обнаружения & Реакции для этой истории

    Вот столбцы в таблицах Связанных Историй:

    • Время создания - Время, когда история была сгенерирована

    • Последнее обновление - Время последнего обновления истории, например новое назначение или измененный вердикт

    • Индикация - Индикатор атаки для истории. Подробнее об Индикациях смотрите в Использование Каталога Индикаций

      • Нажмите Open_in_New_Tab.png, чтобы открыть страницу История Обнаружения и Реакция для этой истории в новой вкладке

      • Нажмите Tooltip_icon.png для получения дополнительной информации об индикации

    • Источник - IP-адрес, название устройства или пользователь SDP в вашей сети, вовлеченный в историю

    • Сходство целей (только для Топ похожих историй) - Уровень сходства целей, общих с расследуемой историей, вычисленный с помощью модели машинного обучения (указанный в процентах)

    • Общие цели (только для Топ похожих историй) - URL или IP-адреса целей, общих с историей, которая расследуется

    • Критичность - Анализ риска от Cato по истории (значения варьируются от 1 (низкий риск) до 10 (высокий риск))

    • Статус истории - Включает значения:

      • Открытые - История была сгенерирована и не была решена

      • Ожидается от клиента - История была отправлена клиенту и ожидает его ответа

      • Ожидание аналитика - Ожидание дополнительной информации от аналитиков безопасности

      • Закрыто - Аналитики безопасности закрыли историю

      • Переоткрыто - Производители XOps обнаружили новый трафик, который соответствует закрытой истории, и автоматически переоткрыли историю, чтобы позволить дальнейшее рассмотрение. Истории переоткрываются для трафика, обнаруженного через 12 и более часов после того, как история была впервые закрыта. В течение 12 часов история не переоткрывается, чтобы позволить управление историей через смягчение или скрытие

    • Вердикт Аналитика - Вердикт, назначенный истории аналитиком

    • Классификация аналитика - Детализированная классификация типа угрозы, определенная аналитиком

    Была ли эта статья полезной?

    Пользователи, считающие этот материал полезным: 1 из 1

    0 комментариев