Рецензирование Историй обнаружения и реагирования для клиентов MDR

Обзор Историй обнаружения и & Реакции

Cato Обнаружение и & Реакция – это новый уровень Безопасности, который создает Истории для Угроз. Когда продвинутые корреляционные движки Cato анализируют данные трафика и находят совпадение с потенциальной угрозой, они генерируют историю. История содержит данные из потоков трафика с общими свойствами, которые относятся к одной и той же угрозе. Рабочая область Историй показывает детали каждой истории, чтобы помочь вам понять и проанализировать угрозы. Вы можете сортировать и фильтровать истории, чтобы найти самые важные потенциальные атаки, а затем углубиться в историю для дальнейшего исследования деталей.

Примеры данных, которые может включать история:

Источники в вашей сети
Внешние цели сетевого трафика
Индикация и описание угрозы
Соответствующие геолокации
Связанные приложения
Соответствующие потоки трафика
Популярность цели согласно внутренним данным Cato
Оценка злонамеренности цели согласно алгоритмам анализа угроз Cato

Предварительные условия

Эта Версия функции Обнаружение и & Реакция доступна только для Клиентов Cato MDR. Для получения дополнительной информации о подписке на услугу MDR, пожалуйста, свяжитесь с вашим представителем Cato.

Показ Рабочей области Историй

Рабочая область Историй показывает сводку историй для потенциальных угроз в вашем аккаунте.

Чтобы показать Рабочую область Историй:

В меню навигации нажмите Домашняя> Рабочая область Историй.

Понимание столбцов Историй

Столбец	Описание
ID	Уникальный ID Cato для этой истории
Создано	Дата первого потока трафика для истории
Обновлено	Дата самого последнего потока трафика для истории
Оценка риска	Анализ риска Cato для истории (значения в диапазоне от 1 до 10)
IoA	Индикатор атаки для истории
Источник	IP-адрес или имя устройства в вашей сети, на которые повлияла история
Тип	Поиск угроз - История, где алгоритмы и машинное обучение Cato обнаружили потенциальный инцидент безопасности Аномалии использования - История, где приложение показало необычное поведение, указывающее на потенциальный инцидент безопасности События аномалий - История, в которой наблюдается необычное количество событий безопасности, сгенерированных сущностью в вашей сети
Статус	Ожидание клиента - История отправлена клиенту и ожидает его ответа Ожидание аналитика - Ожидается дополнительная информация от аналитиков безопасности Cato Закрыто - Аналитики безопасности Cato закрыли инцидент

Группирование Историй

Чтобы предоставить контекст при просмотре историй, вы можете показать истории в группах, определяемых подробностями, включая Источник, Индикация, Статус и Тип. Например, вы можете показать все истории, связанные с определенным IP-адресом источника, или все истории о киберсквоттинге. Это дает вам более широкую перспективу при анализе историй и может помочь быстрее и точнее прийти к заключениям.

Каждая группа выделяет уровни критичности для историй в этой группе, включая количество историй с высокой, средней и низкой критичностью.

Для группировки историй в Рабочей области Историй:

В меню навигации нажмите Домашняя > Рабочая область Историй.
В выпадающем меню Группировать по выберите нужный критерий.

Истории отображаются в развертываемых группах.

Фильтрация Историй

Существует два способа фильтрации данных в рабочей области Историй: автоматически обновлять фильтр с выбранным элементом или настроить фильтр вручную.

Автоматическая фильтрация элемента

Когда вы наводите курсор на элемент или поле, где доступна опция фильтра, появляется кнопка . Нажмите значок, чтобы показать параметры фильтра:

Добавить в фильтр - добавляет элемент в фильтр, и рабочая область Историй теперь показывает только истории, которые включают этот элемент. Например, если вы фильтруете по конкретному уровню риска, на экране показываются только истории с этим уровнем риска.
Исключить из фильтра - обновляет фильтр, чтобы исключить этот элемент, и рабочая область Историй теперь показывает только истории, которые НЕ включают этот элемент.

Вы можете продолжать добавлять элементы в фильтр, нажмите ещё раз, чтобы обновить фильтр и углубить анализ.

Выбор диапазона времени

Диапазон времени по умолчанию для рабочей области Историй — это предыдущие два дня. Вы можете выбрать другой диапазон времени, чтобы показать истории за более длинный или более короткий период. Для получения дополнительной информации см. Установка фильтра диапазона времени.

Максимальный диапазон дат для рабочей области Историй составляет 90 дней.

Ручная настройка фильтра

Вы можете вручную настроить фильтр историй для более детального анализа. После настройки фильтр добавляется в панель фильтров историй и экран автоматически обновляется, чтобы показать истории, соответствующие новому фильтру.

Чтобы создать фильтр:

В панели фильтров нажмите .
Начните ввод или выберите Поле.
Выберите Оператор, который определяет отношение между Полем и Значением которого вы ищете.
Выберите Значение.
Нажмите Добавить фильтр. Фильтр добавляется в панель фильтров, и Рабочая область Историй обновляется для отображения историй на основе фильтров.

Очистка фильтра

Вы можете удалить каждый элемент в фильтре отдельно или очистить весь фильтр.

Чтобы очистить фильтры для Рабочей области Историй:

Чтобы очистить один фильтр, нажмите рядом с фильтром (элемент 1 выше).
Чтобы очистить все фильтры, нажмите X в правом конце панели фильтров (элемент 2 выше).

Углубление и анализ историй

Вы можете нажать на историю в Рабочей области Историй, чтобы углубиться и исследовать детали на другом экране. Этот экран содержит несколько виджетов, которые помогают вам оценить потенциальную угрозу. Существуют специализированные виджеты для анализа данных для историй Поиска угроз или Аномалий использования.

Понимание виджетов Поиска угроз

Это виджеты для истории Поиска угроз:

Элемент

Имя

Описание

Сводка историй

Сводка основной информации о истории, включая:

Категория угрозы
Серьезность угрозы, определенная аналитиками
Количество сигналов (трафиков), связанных с атакой
Количество скомпрометированных устройств
Статус историй

Хронология историй

Отображает хронологию истории, такую как изменения в вердикте и степени серьезности истории, а также когда идентифицируются новые цели, связанные с историей

Подробности

Ключевая информация для анализа истории, включая описание угрозы, сигнатуры угроз Кейто, обнаруженные в соответствующем трафике, и техники MITRE ATT&CK®, идентифицированные для этой угрозы.

Для получения дополнительной информации о фреймворке MITRE ATT&CK®, см. Работа с панелью управления MITRE ATT&CK®.

Наведите указатель мыши на сигнатуру, чтобы показать сводку журнала событий
Кликните на сигнатуру, чтобы открыть экран Событий, отфильтрованный по сигнатуре
Кликните на технику MITRE ATT&CK®, чтобы прочитать ее описание на сайте MITRE ATT&CK®

Источник

Основная информация об устройствах в вашей сети, подвергнутых угрозе

Геолокация атаки

Показывает геолокацию источников в вашей сети (оранжевые местоположения) и внешних источников (красные местоположения), связанных с угрозой. Стрелки, соединяющие источники, указывают направление трафика

Распределение атак

Временное распределение потоков, связанных с атакой.

Чтобы упростить чтение графика, в Цели нажмите на цель, чтобы скрыть данные с графика
Чтобы показать детали атаки, наведите указатель мыши на график

Цели

Показывает данные для потенциально вредоносных источников за пределами вашего сайта сети, связанных с историей.

Колонка	Описание
Дата создания	Дата регистрации целевого домена
Цель	Домены или IP-адреса внешних источников, идентифицированных в потоках трафика, связанных с историей
Ссылки на цель	Ссылки для поиска цели в различных источниках разведки угроз. Для дополнительной информации кликните на значок ВирусТотал или выберите другие ресурсы из выпадающего меню.
Оценка вредоносности	Оценка вредоносности цели по версиям алгоритмов разведки угроз Кейто. Оценки варьируются от 0 (безвредный) до 1 (вредоносный)
Популярность	Частота появления цели во внутренних источниках данных Кейто. Значения: Непопулярный, Низкий, Средний, Высокий
Категории	Категории Кейто для целевого домена
Источники угроз	Количество источников разведки угроз Кейто, которые обнаружили цель как вредоносную
Движки	Количество сторонних движков безопасности, которые обнаружили цель как вредоносную
Страна	Страна, в которой зарегистрирован целевой домен
Количество результатов поиска в Google	Количество результатов поиска в Google для цели

Потоки, связанные с атакой

Показывает данные для репрезентативной выборки потоков трафика, связанных с атакой.

Колонка	Описание
Цель	Целевой домен или IP потока
Время начала	Метка времени начала потока
Направление	Направление потока. Включает направления: Входящий - Трафик в вашу сеть, исходящий из внешнего источника Исходящий - Трафик из вашей сети к внешнему источнику WAN-направленный - Трафик из вашей сети на другой сайт в вашей сети
IP-адрес источника	IP-адрес источника в вашей сети, отправляющий или принимающий поток
Исходный порт	Исходный порт в вашей сети, отправляющий или принимающий поток
IP-адрес назначения	IP-адрес внешнего адресата, отправляющего или принимающего поток
Порт назначения	Порт внешнего адресата, отправляющего или принимающего поток
Метод	HTTP-метод в потоке (GET, POST и так далее)
Полный путь URL	Полный URL внешнего ресурса в потоке
Код HTTP-ответа	Код состояния, выданный адресатом в ответ на запрос со стороны браузера от клиента
Клиент	Тип клиента в потоке
Приложение Cato	Приложение Cato, используемое в потоке
Реферер	Адрес оригинального веб-сайта, содержащего ссылку на запрашиваемый ресурс
Агент пользователя	Агент (например, версия браузера), идентифицированный в поле Агент пользователя в заголовке HTTP-запроса в потоке
Страна назначения	Местоположение IP-адреса назначения в потоке

Понимание виджетов аномальной активности использования

Это виджеты для истории об аномальной активности использования:

Элемент	Имя	Описание
1	Сводка историй	Предоставляет сводку основной информации о истории, включая: Имя аномальной активности Серьезность Период обучения модели машинного обучения для определения аномального поведения Статус историй
2	Подробности	Ключевая информация для анализа истории, в том числе описание угрозы и сводка, а также идентифицированные техники MITRE ATT&CK® для данной угрозы. Для получения дополнительной информации о фреймворке MITRE ATT&CK®, см. Работа с панелью MITRE ATT&CK®. Нажмите на технику MITRE ATT&CK®, чтобы прочитать её описание на сайте MITRE ATT&CK®
3	Распределение аномалии	График аномального поведения за последние 14 дней Чтобы показать подробности аномалии, наведите курсор на график Нажмите Просмотреть все, чтобы открыть экран аналитики приложений с предварительно отфильтрованными приложениями, связанными с аномалией
4	Основные хосты	Основные хосты, связанные с аномалией, с соответствующими деталями. Например, хост для аномалии в исходящем трафике отображается с количеством загрузок с него Кликните Посмотреть Все, чтобы открыть экран Аналитики Приложений и показать хосты, отфильтрованные для приложений, связанных с аномалией
5	Основные приложения	Основные приложения, связанные с аномалией, с соответствующими деталями. Например, приложение для аномалии в исходящем трафике отображается с количеством загрузок из приложения Кликните Посмотреть Все, чтобы открыть экран Аналитики Приложений, отфильтрованный для приложений, связанных с аномалией
6	Основные Серверы/Назначения	Основные серверы и назначения, связанные с аномалией, с соответствующими деталями. Например, сервер для аномалии в исходящем трафике отображается с количеством загрузок на сервер Кликните Посмотреть Все, чтобы открыть экран Аналитики Приложений и показать назначения, отфильтрованные для приложений, связанных с аномалией

Просмотр тикированных историй

Команда Cato MDR открывает заявки, чтобы уведомить вас о значительных историях. Когда вы получаете заявку, вы можете легко просмотреть историю в Рабочей области Историй, кликнув на предоставленную ссылку в заявке. Это образец заявки: