Начало работы с XOps

В этой статье описаны передовые методы расследования угроз с помощью платформы Cato XOps.

Обзор

Платформа Cato XOps позволяет как командам операций по безопасности, так и командам сетевых операций использовать ИИ и автоматизацию для мониторинга сети организации как для угроз безопасности, так и проблем производительности сети. XOps преобразует неуправляемое количество сырых событий безопасности и сети в потребляемые, кросс-функциональные и практические истории.

В этой статье описаны лучшие практики для максимального использования XOps для значительного улучшения мониторинга безопасности и ремедиации угроз вашей организации. Сначала мы обсудим настройку интеграций для расширения возможностей XOps, а затем опишем сквозной рабочий процесс расследования истории в Рабочей области Историй, включая следующие шаги:

  1. Настроить интеграции для XOps
  2. Identifying the most important stories to focus on
  3. Шаги для начала расследования
  4. Setting a verdict and remediating the threat

Установлено интеграции для XOps

Для максимального использования платформы XOps мы рекомендуем настроить поддерживаемые интеграции, которые расширяют количество и типы производителей XOps историй. Мы рекомендуем настроить одну из следующих интеграций безопасности конечных точек, чтобы помочь вам получить более полное представление о потенциальных угрозах и провести расследования в единой платформе XOps, расширяющейся как на сети, так и на конечные точки. Для получения полного списка производителей XOps см. Добро пожаловать в сервис Cato XOps.

  • Microsoft Defender for Endpoint connector - Клиенты, использующие Defender for Endpoint, могут использовать Microsoft API для интеграции данных оповещений Defender и создания XOps историй для конечных устройств. Для получения дополнительной информации об этой интеграции, см. Microsoft Defender for Endpoint Alerts: Configuring the XOps Integration.

  • Оповещения SentinelOne - Клиенты, использующие SentinelOne, могут интегрировать данные из SentinelOne EDR для создания историй для конечных устройств. Производитель SentinelOne создает историю, сопоставляя инциденты SentinelOne EDR с использованием UUID агента (ID устройства) и хеша файла угрозы в течение 90 дней. Эти истории включают все относящиеся к делу доказательства по инцидентам, обнаруженным SentinelOne.

    Для получения дополнительной информации о интеграции оповещений SentinelOne см. SentinelOne EDR: Настройка интеграции XOps.

  • Оповещения CrowdStrike - Клиенты, которые используют CrowdStrike, могут интегрировать данные из выявлений CrowdStrike на основе ID инцидента. Эти истории включают все относящиеся к делу доказательства обнаружения, идентифицированного CrowdStrike.

    Для получения дополнительной информации о интеграции оповещений CrowdStrike см. CrowdStrike: Настройка интеграции XOps.

  • Защита конечных точек Cato - Решение Cato EPP изначально интегрируется с Cato XOps для создания историй для конечных устройств, без необходимости конфигурации коннектора. Для получения дополнительной информации об этой интеграции, см. Cato Endpoint Protection (EPP): Configuring the XOps Integration.

Идентификация самых важных историй

Выбор правильных историй для работы в Stories Workbench — это ключевой первый шаг для эффективного использования платформы XOps. Вы можете использовать инструменты и информацию, предоставляемую в Workbench для быстрого определения высокоприоритетных историй для расследования. Мы рекомендуем следующие шаги:

  1. Группировка историй - Опции Группировать по могут дать вам быстрое представление о различных типах историй в вашем аккаунте, а также указать на конкретные объекты интереса в сети, такие как источники или пользователи. Это примеры полезных опций Группировать по:

    • Источник и IP-адрес источника - быстро просмотрите пользователей, устройства и IP-адреса, участвующие в историях.
    • Производитель - Быстро просмотрите различные типы обнаруженных историй. Для получения дополнительной информации о различных типах производителей, см. Добро пожаловать в Cato XOps Service.
    • Признаки - Получите обзор специфических признаков обнаруженной атаки.

    Мы рекомендуем прокручивать различные опции Группировать по, чтобы получить быстрое представление о историях в вашей сети с различных перспектив, что может помочь вам выявить конкретные сферы интереса, на которые следует сосредоточиться при расследовании.

    Stories_Workbench_Grouping2.png
  2. Приоритизация по критичности - Начните с историй с самым высоким уровнем критичности. Это потенциальные угрозы, которые могут оказать наиболее значительное воздействие на вашу сеть. Вы можете щелкнуть по заголовку столбца Критичность, чтобы отсортировать истории по критичности или отфильтровать истории по специфическим уровням критичности. Кроме того, при использовании опций Группировать по каждая группа указывает количество историй с высокой критичностью для группы.

Начало расследования

После выбора истории для расследования, вы можете нажать на историю, чтобы углубиться в детали на странице Обзор истории в Детекции & Реакции Обзор истории. Мы рекомендуем предпринять следующие шаги, чтобы получить начальное понимание о происходящем в истории:

  1. Создайте ИИ-сводку - Виджет Детали включает инструмент, который позволяет создать описание истории на естественном языке, генерируемое ИИ, предоставляющее насыщенный контекст и помогающее быстро оценить историю. Создайте сводку, нажав на кнопку «Создать ИИ-сводку».

    XDR_Core_Story_Summary.png

  2. Проверьте, был ли заблокирован трафик - Таблица Целевые действия показывает события, связанные с каждой целью, участвующей в истории, включая то, применялось ли действие Блокировать к трафику одной из служб безопасности, таких как IPS. Если часть трафика на цели не была заблокирована, у истории более высокий уровень риска. Даже если весь трафик на цели был заблокирован, возможно, что этот трафик связан с продолжающейся угрозой, требующей дальнейшего расследования.

    XDR_Core_Target_Actions.png

  3. Оцените цели - Таблица Цели показывает данные о потенциально вредоносных источниках за пределами вашей сети, связанных с историей. Мы рекомендуем сосредоточиться на следующих столбцах, когда вы начинаете свое расследование:

    • Оценка вредоносности показывает вам вероятность того, что цель является вредоносной, согласно алгоритмам машинного обучения Cato Threat Intelligence. Оценки варьируются от 0 (безвредный) до 1 (вредоносный)
    • Ссылки на цель помогают понять репутацию цели, проверяя цель в различных внешних источниках угроз.
    XDR_Core_Targets_table.png
  4. Работа с XOps плейбуками безопасности - Плейбуки безопасности Cato XOps обеспечивают структурированный подход к расследованию специфических типов историй. Они проводят вас через процесс расследования и помогают определить действия. Для историй с соответствующим плейбуком вы можете найти ссылку на плейбук в виджете Подробности. Плейбуки безопасности XOps также доступны здесь.
  5. Используйте комментарии - Если расследование истории включает в себя сотрудничество между участниками команды, используйте Комментарии для документирования выполненной работы и предоставления важной информации и контекста для следующего аналитика, который изучит историю. Для получения дополнительной информации об использовании комментариев, см. Управление расследованиями историй XOps.

Установление вердикта и принятие мер для устранения

Панель Действия по истории позволяет выполнять важные действия и записывать важную информацию по мере завершения вашего расследования. Некоторые аналитики ошибаются, закрывая историю без установки вердикта, и теряют большую часть пользы от процесса расследования. Когда вы устанавливаете вердикт, вы записываете значимую информацию об истории для будущих ссылок и можете узнать о рекомендованных действиях для ремедиации. Это пример рабочего процесса для установки вердикта и выполнения основных шагов по ремедиации после того, как вы определили, что устройство было скомпрометировано попыткой эксплуатации известной уязвимости:

  1. Нажмите Действия > Управление историей, чтобы открыть панель действий по истории.

    XDR_Comment_buttons.png
  2. Установите Вердикт аналитика на Вредоносные.
  3. Определите Серьезность угрозы.

  4. Определите Тип как Попытка эксплуатации, и, если возможно, определите более специфическую Классификацию угрозы. Используйте поле Дополнительная информация для записи деталей о процессе расследования или результатах.

    XDR_Core_Example_Verdict.png

  5. Следуйте Рекомендованным действиям, включая:

    1. Создайте правила файервола для блокировки вредоносных целей и источников, которые вы нашли в истории.
    2. Обновите программное обеспечение устройства для устранения уязвимости и предотвращения атак в будущем.
  6. Если вы выявите скомпрометированного пользователя, вы можете отозвать удаленную сессию пользователя, чтобы предотвратить доступ к сети. Для получения дополнительной информации о том, как отозвать удаленную сессию, см. Отзыв удаленной сессии пользователя.
  7. Установите Статус истории на Закрыто.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев