Смягчение угроз в историях XOps

Эта статья обсуждает, как уменьшить угрозу в истории XOps.

Обзор

Истории XOps часто связаны с подозрительной активностью, исходящей либо от конкретного пользователя, либо от Цели (например, IP-адрес или FQDN). Например, история может указывать на то, что удаленная сессия пользователя была скомпрометирована, или что устройство связывается с подозреваемым фишинговым доменом. Страница Обзора истории в Рабочей панели историй позволяет вам эффективно смягчить оба типа угроз, выбрав один из способов:

  • Отзыв сессии пользователя: Вы можете отозвать сессию пользователя непосредственно из истории. Это вылогинивает пользователя и запрашивает повторную аутентификацию через экран входа Клиента, обеспечивая доступ только законным пользователям. Если пользователь не подключен в момент смягчения, то его токен аутентификации аннулируется, и ему потребуется повторная аутентификация при переподключении.

  • Добавить Цель в блок-лист: Вы можете добавить подозрительные Цели в Контейнер, который можно включить в ваши политики блокировки. Это гарантирует, что никакие пользователи, подключенные к Cato, не смогут получить доступ к Цели.

    Контейнеры — это категории, определяемые пользователем, которые помогают вам управлять группами объектов, таких как IP-адреса или полные доменные имена (FQDN). После создания Контейнера его можно добавить в правило Брандмауэра с действием Блокировка. Подозрительные Цели блокируются только после того, как Контейнер включен в правило брандмауэра. Когда вы смягчаете угрозу из истории XOps, вы можете добавить Цель в существующий контейнер или создать новый. Пользователи все еще могут получить доступ к Целям, которые добавлены в Контейнер, но не включены в правило брандмауэра.

Сценарий использования - Необычная активность пользователя

Аналитики в компании Example Corp. исследовали историю XOps на странице Обзора и выявили, что пользователь загружает большой объем данных в приложение для обмена файлами. Они не уверены, что активность загрузки является законной или нет. Аналитики отмечают, что агент пользователя, используемый для этой загрузки, является аномальным для этого пользователя, что указывает на возможный случай кражи учетных данных злоумышленником. Поэтому они решают отозвать сессию пользователя, чтобы принудительно потребовать повторную аутентификацию на устройстве. Аналитики могут продолжить расследование, зная, что только законно аутентифицированный пользователь подключен к сети.

Сценарий использования - Атака вредоносного ПО

Аналитик безопасности исследует историю XOps на странице Обзора и выявляет IP-адрес, связанный с вредоносным ПО. После дополнительного расследования аналитик подтверждает, что это атака, исходящая от известного вредоносного актора.

Аналитик добавляет Цель в контейнер подозрительных IP-адресов компании, который включен в правило Интернет-брандмауэра с действием Блокировка.

Угроза локализована, так как никакие другие пользователи не могут получить доступ к IP-адресу.

Снижение угроз в истории XOps

На странице Обзора истории смягчите угрозы из меню Действия.

Placeholder.png

Для смягчения угроз:

  1. На странице Обзора истории нажмите кнопку Действия.

  2. Выберите действие по смягчению, которое вы хотите предпринять:

    • Чтобы отозвать пользователя, нажмите Отозвать сессию пользователя. Открывается панель Отзыва сессии пользователя. Выберите пользователя, сессию которого вы хотите отозвать. Панель автоматически отображает пользователя, указанного в истории.

    • Чтобы добавить Цель в заблокированный список, нажмите Добавить цель в заблокированный список. Выберите Цель для смягчения и либо выберите существующий Контейнер, в который хотите ее добавить, либо нажмите Создать новый, чтобы создать новый Контейнер. Убедитесь, что Контейнер включен в правило брандмауэра.

  3. (Опционально) Добавьте примечание.

  4. Подтвердите ваше действие.

Просмотр действий по снижению угроз в Центре действий

На вкладке Центра действий на странице Домашняя > Политика обнаружения и реагирования вы можете просмотреть действия по смягчению XOps, предпринятые в вашей учетной записи.

XDR_Action_Center.png

Центр действий показывает следующую информацию для каждого действия по смягчению:

  • Время - Временная метка отправки действия по смягчению

  • Действие - Описание действия по смягчению

  • Тема - Пользователь, на котором было выполнено действие

  • Статус - Статус действия. Для действия Добавить Цель в блок-лист доступны следующие значения Статуса:

    • Успех - Запрос на отзыв сессии был отправлен в пользовательскую службу Cato

    • Неудача - Произошла проблема с запросом на отзыв сессии

  • Автор - Администратор, выполнивший действие

  • Триггер - ID истории для истории, из которой было отправлено действие. Нажмите, чтобы открыть страницу Обзора истории

  • Примечание - Опциональное примечание, добавленное администратором

Известные ограничения

  • Действие Отменить сеанс пользователя доступно только для удаленных пользователей, подключающихся к сети через клиент Cato. Это не поддерживается для пользователей за сайтом

  • Действие Отзыв сессии пользователя поддерживается для историй, в которых идентифицирован пользователь и которые созданы одним из следующих производителей:

    • Предотвращение угроз

    • Охота на угрозы

    • Аномалия событий

    • Аномалия использования

    • Оповещения конечных точек Cato

  • Отзыв сессии пользователя может занять до 10 минут

  • Может быть небольшая задержка между добавлением контейнера в правило блокировки брандмауэра и блокировкой цели

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев