在Stories Workbench中审查检测与响应（安全XDR）事件

本文讨论了如何使用故事工作台来审查您账户中的潜在威胁故事。

检测与响应事件概览

Cato 检测与响应是一个额外的安全层，用于为威胁创建故事。当 Cato 的高级关联引擎分析流量数据，并发现潜在威胁的匹配项时，它们会生成一个故事。该故事包含与相同威胁相关的具有共同属性的数据流。故事工作台页面显示每个故事的详细信息，以帮助您理解和分析威胁。您可以对故事进行排序和过滤以找到最重要的潜在攻击，然后深入研究某个故事以进一步调查详情。

这些是故事可以包含的数据示例：

您网络中的来源
网络流量的外部目标
威胁的识别和描述
相关的地理位置
相关的应用程序
相关事件
根据 Cato 内部数据的目标流行度
根据 Cato 机器学习模型的目标恶意分数

所需许可证

可能需要额外的许可证。有关详细信息，请参阅Cato XDR 入门。

显示故事工作台页面

故事工作台页面显示您账户中潜在威胁的故事摘要。

要显示故事工作台页面：

在导航菜单中，单击 Home > Stories Workbench。

理解故事列

列	描述
ID	此故事的独特 Cato ID
创建	故事的第一次流量的日期
更新	故事的最新流量的日期
重要性	Cato 对故事的风险分析（值为 1 - 10）
指示	故事的攻击指示。 For more about indications, see Using the Indications Catalog
来源	网络中涉及该故事的 IP 地址、设备名称或 SDP 用户
引擎类型	创建故事的安全引擎。
状态	客户待定 - 故事已发送给客户，正在等待他们的回复分析师待定 - 等待来自安全分析师的更多信息已关闭 - 安全分析师关闭了故事

对故事进行分组

为便于在审查故事时提供背景，您可以将故事按不同细节分组显示，包括来源，指示，状态和类型。例如，您可以一起显示所有与特定源 IP 地址相关的故事或所有恶意利用故事。这可以在分析故事时给您更广阔的视角，并可帮助您更快、更准确地得出结论。

每个组都突出显示该组中故事的重要性级别，包括高、中和低重要性的故事数量。

要在故事工作台中对故事进行分组：

在导航菜单中，单击 Home > Stories Workbench。
从 分组依据 下拉菜单中，选择所需的标准。

故事显示在可展开的组中。

过滤故事

在故事工作台中，有三种方式可以过滤数据：

选择预设过滤器
自动使用所选项目更新过滤器
手动配置过滤器

预设过滤器

您可以选择预设过滤器专注于 网络操作 或 安全操作 故事。当您选择预设过滤器时，与该类型故事最相关的列会默认显示。

选择预设过滤器：

在过滤器栏中，单击 选择预设 下拉菜单。
选择预设。故事工作台更新以显示与预设匹配的故事。

自动过滤项目

当您将鼠标悬停在项目或字段可用过滤器选项的位置时，会出现按钮。单击图标以显示过滤选项：

添加到过滤器 - 将项目添加到过滤器中，现在故事工作台仅显示包含此项目的故事。例如，如果您按特定重要性得分过滤，页面仅显示具有该重要性的故事。
从过滤器中排除 - 更新过滤器以排除此项目，现在故事工作台仅显示不包含此项目的故事。

您可以继续向过滤器添加项目，再次点击按钮以更新过滤器并进一步深入。

选择时间范围

故事工作台的默认时间范围为前两天。您可以选择不同的时间范围，以显示更长或更短的时间段。有关详细信息，请参阅设置时间范围过滤器。

故事工作台的最大日期范围为90天。

手动配置过滤器

您可以手动配置故事过滤器，以获得更大的粒度来分析故事。配置过滤器后，它会被添加到故事过滤器栏中，页面会自动更新以显示符合新过滤器的故事。

创建过滤器：

在过滤器栏中，点击。
开始输入或选择字段。
选择运算符，以确定字段与您正在查找的值之间的关系。
选择值。
点击添加过滤器。将过滤器添加到过滤器栏，并更新故事工作台以根据过滤器显示故事。

清除过滤器

您可以分别移除过滤器中的每个项目，或清除整个过滤器。

清除故事工作台页面的过滤器：

要清除单个过滤器，在过滤器旁（上面的项目1）点击。
要清除所有过滤器，请点击过滤器栏右端的X（如上项目2）。

深入分析和分析故事

您可以点击故事工作台中的一个故事，深入分析和调查详细信息的页面。本页面包含多个小工具，帮助您评估威胁预防引擎识别的潜在威胁。

生成AI故事摘要

故事工作台的深入分析包括一个工具，可让您创建由AI生成的自然语言故事描述，提供丰富的背景并帮助您快速评估故事。故事摘要是动态生成的，以反映故事的当前状态。如果故事更新为包含新信息，您可以重新生成摘要以反映更改。

AI故事摘要仅由管理员按需生成

通过标记保护敏感数据

为了在将故事数据传输到第三方AI服务期间实现强大的数据安全性，Cato使用标记化来确保所有敏感数据保持在Cato XDR平台中。这涉及用唯一标识符或“标记”替换敏感信息，使未经授权的实体无法理解这些数据。敏感数据永远不会暴露给第三方服务。这种方法确保了故事细节的机密性，与我们对强大数据隐私和安全标准的承诺一致。

注意

注意：由于生成AI的限制，故事摘要中提供的信息可能偶尔包含不准确性。

了解故事细分小工具

这些是故事细分小工具：

项目

名称

描述

故事摘要

有关该故事的基本信息的摘要，包括：

威胁类别
分析员确定的威胁严重性
分析员确定的威胁判决
攻击类型（例如，浏览器扩展，原生应用，扫描器，Web应用）
妥协设备的数量
与攻击相关的信号（流量流）的数量
故事状态

点击以打开事件操作面板，并更改如分析师判定和状态等事件设置。

故事时间线

显示故事的时间线，例如对故事判决和严重性所做的更改，以及识别与故事相关的新目标时

详细信息

分析故事的关键信息，包括威胁描述和识别的MITRE ATT&CK® 技术。

点击生成AI摘要以获得自然语言故事描述，提供丰富的上下文并帮助您快速评估故事

其他细节包括：

ML风险 - 由Cato的机器学习风险分析算法计算的故事整体风险评分（值为1-10）
预测判决和预测类型基于机器学习预测的可能判决和您可能识别的潜在恶意软件类型。机器学习算法分析相似故事的最终判决
相似故事 - 显示有相同指示或目标的故事。每个故事显示的详细信息包括：故事威胁类型、故事判决（如果有），以及由机器学习模型计算的相似度水平（以百分比表示）。将鼠标悬停在故事上以显示更详细的威胁分类

有关 MITRE ATT&CK® 框架的更多信息，请参见与 MITRE ATT&CK® 仪表板配合使用。

点击 MITRE ATT&CK® 技术以在 MITRE ATT&CK® 网站上阅读其描述

来源

受威胁影响的网络设备的基本信息

攻击地理定位

显示与威胁相关的网络内部来源（橙色位置）和外部来源（红色位置）的地理位置。连接来源的箭头指示流量方向

目标动作

与每个目标相关的事件，包括以下信息：

列	描述
目标	与故事相关的流量中识别出的外部来源的域名或IP地址
类型	生成与目标相关事件的安全引擎
动作	在与目标相关的流量上采取的行动
相关事件	显示出现在与目标相关事件中的威胁签名。将鼠标悬停于签名上以显示汇总事件日志点击签名以打开签名预过滤的事件页面

攻击分布

攻击相关流量的时间分布。

为便于读取图表，在目标中，点击目标以隐藏该数据。
要显示攻击详情，请将鼠标悬停在图表上

目标

显示与故事相关的网络站点之外的潜在恶意来源的数据。

列	描述
创建日期	目标域的注册日期
目标	与故事相关的流量中识别出的外部来源的域名或IP地址
目标链接	在各种外部威胁情报来源中查找目标的链接。欲获取额外信息，请点击 VirusTotal 图标，或从下拉菜单中选择其他资源。
恶意评分	根据 Cato 威胁情报算法，目标的恶意评分。评分范围从0（良性）到1（恶意）
流行度	目标出现于 Cato 内部数据来源的频率。取值范围：不流行，低，中，高
类别	Cato 的目标域类别
威胁信息源	检测到目标为恶意的 Cato 威胁情报来源数量
引擎	检测到目标为恶意的第三方安全引擎数量
注册人国家	目标域注册的国家
Google 搜索命中数	目标的 Google 搜索结果数量

攻击相关事件

显示与攻击相关事件的代表性样本的数据。

列	描述
目标	相关通信流的目标域或IP
开始时间	流程开始的时间戳
方向	流程的方向。方向包括：入站 - 从外部来源到您网络的流量出站 - 从您网络到外部来源的流量 WAN方向 - 从您网络到您网络的另一个站点的流量
源IP	发送或接收流程的源IP地址
源端口	发送或接收流程的源端口
目标IP	发送或接收流程的外部目标IP地址
目标端口	发送或接收流程的外部目标端口
方法	流程中的HTTP方法（GET, POST，等等）
完整路径URL	流程中外部资源的完整URL
客户端	流程中的客户端类型
Cato应用	流程中使用的Cato应用
目标国家	流程中目标IP的位置
DNS响应IP	DNS查找返回的IP地址