Углубленный анализ и изучение историй безопасности XOps

В этой статье обсуждается, как можно использовать страницу Истории Обнаружения & Реакции для анализа историй на предмет потенциальных угроз в вашем аккаунте.

Примечание

Примечание: XOps — объединенный аналитический слой Cato для безопасности и операций, предлагающий идеи и направляемую коррекцию. XOps заменил XDR, для получения дополнительной информации см. Часто задаваемые вопросы о XOps.

Обзор

Вы можете нажать на историю в Рабочей среде историй, чтобы углубиться в детали на странице Истории Обнаружения и Реакции. Эта страница содержит Обзор истории и сводку Связанных историй. Обзор содержит несколько виджетов, которые помогают вам оценить потенциальную угрозу, идентифицированную движками XOps, а сводка связанных историй помогает вам сделать историю частью более широкой картины для анализа.

Генерация AI-кратких обзоров истории

Рабочая область Историй предоставляет инструмент, который позволяет создать описание истории на естественном языке, сгенерированное ИИ, что обеспечивает богатый контекст и помогает быстро оценить историю. Сводка истории генерируется динамически, чтобы отразить текущее состояние истории. Если история обновляется с новой информацией, вы можете пересоздать сводку, чтобы отразить изменения.

  • Сводка истории ИИ генерируется только по запросу администратором

Защита конфиденциальных данных с помощью токенизации

Для обеспечения надежной защиты данных при передаче данных истории сторонним AI-сервисам Cato использует токенизацию, чтобы все конфиденциальные данные оставались на платформе Cato XOps. Это включает в себя замену конфиденциальной информации уникальными идентификаторами или "токенами", делая данные бессмысленными для неавторизованных лиц. Конфиденциальные данные никогда не раскрываются сторонним сервисам. Этот подход обеспечивает конфиденциальность деталей истории, в соответствии с нашей приверженностью к высоким стандартам конфиденциальности и безопасности данных.

Примечание

Примечание: Из-за ограничений генеративного ИИ, предоставленная в сводках историй информация может иногда содержать неточности.

Подробный анализ историй

История обнаружения и реагирования включает виджеты для оценки выявленной угрозы. Внутри Истории вы можете просмотреть соответствующие предупреждения и вспомогательные данные, такие как процессы, файлы, значения реестра, запланированные задачи и сетевая активность. Эти данные представлены в одном из следующих видов:

  • Хронологическое дерево процессов, представленное в контексте конкретного предупреждения. Это помогает понять последовательность событий, которые вызывали подозрение и создавшие предупреждение.

    Примечание: Это может быть недоступно в некоторых историях из-за проблем с подключением к API.

  • Таблица Доказательства, предоставляющая обзор доказательств для истории. Это помогает более широко оценить распространенность конкретной вредоносной или подозрительной деятельности на конечном устройстве.

Понимание виджетов обзора истории

Detection___Response_Story_Overview.png

Это виджеты Обзора истории:

Примечание

Примечание: Не каждый виджет включен в каждую историю. Виджеты в каждой истории зависят от типа истории и доступных данных.

Имя

Описание

Сводка историй

Обзор показывает краткую информацию о истории, включая:

  • Указание на обнаруженную атаку

  • Модуль обнаружения и реагирования, создавший историю

  • Серьезность угрозы, определенная аналитиком

  • Вердикт для угрозы, определенный аналитиком

  • Тип атаки (например, Расширение браузера, Общее приложение, Сканер, Веб-приложение)

  • Подробная классификация угрозы, определенная аналитиком (например, сканирование портов, недавно зарегистрированный домен, сканирование SMB)

  • Количество скомпрометированных устройств

  • Количество сигналов (потоков трафика), связанных с атакой

  • Продолжительность истории с момента её создания

  • Статус истории

    Используйте раскрывающееся меню Действия и выберите Управлять историей, чтобы изменить настройки истории, такие как Вердикт аналитика, Степень серьёзности аналитика, Статус и Классификация.

    Вкладка Related Stories предоставляет контекст для истории, которую вы исследуете, позволяя вам быстро просматривать истории с тем же источником и истории с аналогичными характеристиками, затрагивающие разные источники в вашей сети.

    Временная шкала истории

    Отображает временную шкалу истории, такую как изменения, сделанные в вердикте и серьезности истории, и когда определяются новые цели, связанные с историей

    Подробности

    Ключевая информация для анализа истории, включая описание угрозы, и техники MITRE ATT&CK®, идентифицированные для угрозы.

    • Нажмите Сгенерировать Сводку ИИ для получения описания истории на естественном языке, которое обеспечивает богатый контекст и помогает быстро оценить историю

    Другие детали включают:

    • Критичность — общий риск для истории по расчетам алгоритма анализа рисков машинного обучения Cato (значения от 1 до 10).

      Эта модель машинного обучения, известная как случайный лес, вычисляет критичность, анализируя конкретные параметры из разведки угроз (TI) и данные, сгенерированные из сетевых потоков и событий.

      Случайный лес — это тип модели ML, который объединяет результаты множества меньших «деревьев решений» для повышения точности и надежности. Это особенно полезно для оценки сложных, многофакторных данных, таких как угрозы безопасности.

      Для оценки критичности модель учитывает важные факторы, такие как:

      • Тип ОС

      • Популярность домена внутри Cato

      • Классификация клиента

      • Тип двигателя безопасности, создающий события (если применимо)

      • Принятые меры (блокировка, мониторинг и т.д.)

      • Техники MITRE

      • Расположение IP

      • Данные WHOIS

      В общей сложности модель оценивает более 40 параметров, чтобы обеспечить комплексную и точную оценку критичности истории.

    • Прогнозируемый вердикт и Предполагаемый тип на основе прогнозов машинного обучения для вероятного вердикта и потенциального типа Вредоносное ПО, которое вы можете идентифицировать. Алгоритмы машинного обучения анализируют окончательные вердикты аналогичных историй

    Для получения дополнительной информации о фреймворке MITRE ATT&CK® см. Использование панели мониторинга MITRE ATT&CK®.

    • Щелкните на технику MITRE ATT&CK®, чтобы прочитать её описание на веб-сайте MITRE ATT&CK®

    Источник

    Основная информация о пользователе и устройствах в вашей сети, пострадавших от угрозы

    Предупреждения/Инциденты/Обнаружения

    Показывает подробности для предупреждений, связанных с историей.

    • Разверните предупреждение, чтобы показать хронологическое дерево процессов для доказательства, связанного с предупреждением, включая процессы, файлы и значения реестра

    • Щелкните элемент в дереве процессов, чтобы углубиться дальше и показать детальные данные о доказательстве

    Это колонки в таблице:

    • Объяснение подозрительной деятельности

    • Критичность - Общая оценка риска для предупреждения, рассчитанная алгоритмом машинного обучения Cato (значения от 1 до 10)

    • Техники MITRE - Методики MITRE ATT&CK®, идентифицированные для угрозы

      Подробнее о фреймворке MITRE ATT&CK® см. в Использование панели управления MITRE ATT&CK®.

    • Статус - Показывает, является ли предупреждение Новым или уже Разрешённым

    • Дата первого обнаружения активности - Дата первоначальной подозрительной активности, обнаруженной для предупреждения

    • Дата последней активности - Дата последней обнаруженной подозрительной активности для предупреждения

    • Имя угрозы - Название обнаруженного вредоносного ПО. Например: Trojan:Win32/Startpage

    • Описание и рекомендуемые действия - Щелкните Просмотр для краткого описания предупреждения и рекомендованных шагов для расследования и снижения угрозы

    • Цель - URL, связанный с предупреждением

    • Назначение IP - Удалённый IP-адрес, участвующий в истории

    Доказательства

    Агрегирует детали для всех Процессов, Файлов и значений Реестра, определённых в доказательствах для различных предупреждений истории.

    Некоторые из колонок в таблице Доказательства общие для всех типов доказательств, а некоторые специфичны для каждого типа.

    Это колонки, которые отображаются для всех типов доказательств:

    • Вердикт - Вердикт, сгенерированный Defender для доказательства (Вредоносное, Подозрительное или Угроз не выявлено)

    • Статус исправления - Показывает, была ли устранена угроза

    • Создано - Дата и время записи события

    Это специфические колонки для каждого типа доказательств:

    • Процессы:

      • Имя процесса - Имя исполняемого файла процесса

      • ID процесса - ID номер, назначенный процессу в Windows

      • Командная строка процесса - Аргументы, переданные процессу в Windows. Это может раскрыть важный контекст выполнения подозрительного процесса

      • Путь к файлу - Расположение исполняемого файла процесса на конечном устройстве

    • Файлы:

      • Путь к файлу - Расположение файла на конечном устройстве

      • Имя файла - Имя файла с расширением

      • Размер файла - Размер файла в байтах, килобайтах или мегабайтах

    • Реестр:

      • Имя ключа реестра Имя

      • Тип значения реестра - Формат данных, хранящихся в значении реестра

      • Значение реестра - Значение записи реестра

    Геолокация атаки

    Показывает геолокацию источников в вашей сети (оранжевые точки) и внешних источников (красные точки), связанных с угрозой. Стрелки, соединяющие источники, указывают направление трафика

    Действия по объекту

    События, связанные с каждой целью, включают в себя следующую информацию:

    Столбец

    Описание

    Цель

    Домены или IP-адреса внешних источников, идентифицированные в потоках трафика, связанных с историей

    Тип

    Движок безопасности, который сгенерировал события, связанные с целью

    Действие

    Действие, принятое в отношении трафика, связанного с целью

    Связанные события

    Показывает сигнатуры угроз, появляющиеся в событиях, связанных с целью.

    • Наведите курсор на сигнатуру, чтобы увидеть сводку журнала событий

    • Щелкните на сигнатуре, чтобы открыть страницу событий с предварительно установленными фильтрами для этой сигнатуры

    Распределение атак

    Временное распределение потоков, связанных с атакой.

    • Чтобы упростить чтение графика, в Цели нажмите на цель, чтобы скрыть эти данные из графика

    • Чтобы показать детали атаки, наведите курсор на график

    Цели

    Показывает данные о потенциально вредоносных источниках за пределами вашей сетевой площадки, связанных с историей.

    Колонка

    Описание

    Дата создания

    Дата регистрации целевого домена

    Цель

    Домены или IP-адреса внешних источников, найденные в потоках трафика, связанных с историей

    Ссылки на цель

    Ссылки для поиска цели в различных внешних источниках разведки угроз.

    Для получения дополнительной информации нажмите на значок ВирусТотал или выберите другие ресурсы из выпадающего меню.

    Оценка вредоносности

    Оценка вредоносности цели согласно алгоритмам разведки угроз Cato. Оценка варьируется от 0 (безвредный) до 1 (вредоносный)

    Популярность

    Частота появления цели во внутренних источниках данных Cato. Значения: Непопулярный, Низкий, Средний, Высокий

    Категории

    Категории Cato для целевого домена

    Источники угроз

    Количество источников разведки угроз Cato, которые определили цель как вредоносную

    Движки

    Количество сторонних движков безопасности, которые определили цель как вредоносную

    Страна регистрации

    Страна, где зарегистрирован целевой домен

    Количество результатов поиска в Google

    Количество результатов поиска в Google для цели

    Связанные с атакой потоки

    Показывает данные для репрезентативной выборки событий, связанных с атакой.

    Колонка

    Описание

    Цель

    Целевой домен или IP-адрес соответствующего потока связи

    Время начала

    Метка времени начала потока

    Направление

    Направление потока. Направления включают:

    • Входящий - Трафик в вашу сеть, исходящий из внешнего источника

    • Исходящий - Трафик из вашей сети к внешнему источнику

    • WAN-направленный - Трафик из вашей сети на другой сайт в вашей сети

    IP-адрес источника

    IP-адрес источника в вашей сети, отправляющий или получающий поток

    Исходный порт

    Исходный порт в вашей сети, отправляющий или получающий поток

    IP-адрес назначения

    IP-адрес внешней цели, отправляющей или получающей поток

    Порт назначения

    Порт внешней цели, отправляющей или получающей поток

    Метод

    HTTP-метод в потоке (GET, POST и так далее)

    Полный путь URL

    Полный URL внешнего ресурса в потоке

    Клиент

    Тип клиентских приложений, работающих на операционной системе, которая создала этот сетевой поток (например, Chrome)

    Приложение Cato

    Приложение Cato, используемое в потоке

    Страна назначения

    Местоположение IP-адреса назначения в потоке

    IP-адрес, полученный в ответ на DNS-запрос

    IP-адрес, возвращаемый DNS-запросом

    События входа

    (Этот виджет требует подключения Microsoft Entra ID)

    Графики с разбивкой данных из событий входа пользователя за день предупреждения и предыдущие 2 дня. Используйте раскрывающееся меню для выбора типа данных, отображаемых на графиках. Это варианты выбора:

    • Источник IP - IP-адрес источника, обнаруженного в событии входа

    • Местоположение входа - Геолокация, откуда был выполнен вход

    • Классификация клиента - Тип клиента, использованного для входа (например, название и версия браузера)

    • Пользовательский агент - Пользовательский агент, использованный при входе, как он отображается в поле User Agent заголовка HTTP для трафика. Это примеры значений пользовательских агентов:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    • Тип ОС - Тип операционной системы на устройстве, использованном для входа (например, Windows, macOS)

    • Версия ОС - Номер версии операционной системы на устройстве, использованном для входа

    События входа пользователя

    (Этот виджет требует подключения Microsoft Entra ID)

    Показывает данные из событий входа пользователя за день предупреждения и предыдущие 2 дня.

    Это колонки в таблице:

    • Время события входа

    • Имя пользователя для входа

    • Источник IP - IP-адрес источника, обнаруженного в событии входа

    • Местоположение входа - Геолокация, откуда был выполнен вход

    • Действие - Результат попытки входа (значения: Неудачно, Успешно, Доступ запрещён)

    • Причина неудачи - Объяснение результата входа Неудачно или Доступ запрещён

    • Приложение - Приложение, в которое пользователь попытался войти

    • Классификация клиента - Тип клиента, использованный для входа (например, название и версия браузера)

    • Тип ОС - Тип операционной системы на устройстве, использованном для входа (например, Windows, macOS)

    • Версия ОС - Номер версии операционной системы на устройстве, использованном для входа

    • Пользовательский агент - Пользовательский агент, использованный при входе, как он отображается в поле Пользовательский агент в HTTP-заголовке для данного трафика. Это примеры значений пользовательских агентов:

      • Chrome/90.0.4430.212

      • Safari/537.36

      • Mozilla/5.0 (Windows NT 10.0; Win64; x64)

    Понимание сводки связанных историй

    XDR_Связанные_истории.png

    Сводка связанных историй предоставляет контекст для исследуемой вами истории, позволяя быстро рассматривать истории с тем же источником и истории с аналогичными характеристиками, вовлекающими различные источники в вашей сети. Сводка показывает ключевые детали для каждой связанной истории, и позволяет легко открыть Рабочую область Историй с предварительным фильтром для связанных историй или страницу истории Обнаружения & Реакция для конкретной связанной истории.

    В сводке связанных историй представлены следующие таблицы:

    • Таблица Топ похожих историй позволяет быстро увидеть, участвуют ли другие источники в вашей сети в историях с аналогичными характеристиками, как у истории, находящейся в расследовании, например той же Индикацией или Целью. Эта таблица показывает до 5 похожих историй в соответствии с оценкой Сходства целей. Таблица не ограничена конкретным диапазоном времени.

    • Таблица Истории на источнике показывает все истории, сгенерированные источником в данной истории, в выбранном диапазоне времени. Диапазон времени по умолчанию - последние 2 недели. Это позволяет оценить более широкий контекст активности для этого источника. Например, это может помочь определить, является ли поведение в этой истории необычным или рутинным для этого конкретного источника.

    Следующие действия могут быть выполнены в обеих таблицах:

    • Щелкните Просмотреть в рабочей среде для открытия Рабочей области Историй с предварительным фильтром для отображения историй в таблице

    • Щёлкните по строке истории, чтобы открыть страницу История Обнаружения и Реакция для этой истории

    Это столбцы в таблицах Связанных Историй:

    • Время создания - Время генерации истории

    • Последнее Обновление - Время последнего обновления истории, например, новая цель или изменённый вердикт

    • Индикация - Индикатор атаки для истории. Для получения дополнительной информации об индикаторах см. Использование каталога индикаторов

      • Нажмите Open_in_New_Tab.png, чтобы открыть страницу Истории Выявления и Реагирования для этой истории в новой вкладке

      • Нажмите Tooltip_icon.png, чтобы получить больше информации об указателе

    • Источник - IP-адрес, имя устройства или пользователь SDP в вашей сети, участвующий в истории

    • Сходство целей (только для Топ похожих историй) - Уровень схожести целей в сравнении с исследуемой историей, вычисленный моделью машинного обучения (указан в процентах)

    • Общие цели (только для Топ похожих историй) - URL или IP-адреса целей, общих с исследуемой историей

    • Критичность - Анализ риска Cato для истории (значения от 1 (низкий риск) до 10 (высокий риск))

    • История Статус - Включает значения:

      • Открытые - История сгенерирована и не решена

      • Ожидает клиента - История отправлена клиенту и ожидает его ответа

      • Ожидает аналитика - Ожидается больше информации от аналитиков по безопасности

      • Закрыто - Аналитики по безопасности закрыли историю

      • Повторно открыт — производители XOps обнаружили новый трафик, соответствующий закрытой истории, и автоматически повторно открыли историю для дальнейшего рассмотрения. Истории переоткрываются для трафика, обнаруженного через 12 и более часов после первоначального закрытия истории. В течение 12 часов история не переоткрывается, чтобы позволить её регулирование через смягчение последствий или заглушение

    • Вердикт Аналитика - Вердикт, присвоенный истории аналитиком

    • Классификация аналитика - Подробная классификация типа угрозы, определённая аналитиком

    Была ли эта статья полезной?

    Пользователи, считающие этот материал полезным: 1 из 1

    0 комментариев