本文讨论了如何使用故事工作台来审查您账户中的潜在威胁故事。
Cato 检测与响应是一个额外的安全层,用于为威胁创建故事。 当 Cato 的高级关联引擎分析流量数据,并发现潜在威胁的匹配项时,它们会生成一个故事。 该故事包含与相同威胁相关的具有共同属性的数据流。 故事工作台页面显示每个故事的详细信息,以帮助您理解和分析威胁。 您可以对故事进行排序和过滤以找到最重要的潜在攻击,然后深入研究某个故事以进一步调查详情。
这些是故事可以包含的数据示例:
-
您网络中的来源
-
网络流量的外部目标
-
威胁的识别和描述
-
相关的地理位置
-
相关的应用程序
-
相关事件
-
根据 Cato 内部数据的目标流行度
-
根据 Cato 机器学习模型的目标恶意分数
-
可能需要额外的许可证。 有关详细信息,请参阅Cato XDR 入门。
故事工作台页面显示您账户中潜在威胁的故事摘要。
列 |
描述 |
---|---|
ID |
此故事的独特 Cato ID |
创建 |
故事的第一次流量的日期 |
更新 |
故事的最新流量的日期 |
重要性 |
Cato 对故事的风险分析(值为 1 - 10) |
指示 |
故事的攻击指示。 For more about indications, see Using the Indications Catalog |
来源 |
网络中涉及该故事的 IP 地址、设备名称或 SDP 用户 |
引擎类型 |
创建故事的安全引擎。 |
状态 |
|
为便于在审查故事时提供背景,您可以将故事按不同细节分组显示,包括 来源,指示,状态 和 类型。 例如,您可以一起显示所有与特定源 IP 地址相关的故事或所有恶意利用故事。 这可以在分析故事时给您更广阔的视角,并可帮助您更快、更准确地得出结论。
每个组都突出显示该组中故事的重要性级别,包括高、中和低重要性的故事数量。
在故事工作台中,有三种方式可以过滤数据:
-
选择预设过滤器
-
自动使用所选项目更新过滤器
-
手动配置过滤器
您可以选择预设过滤器专注于 网络操作 或 安全操作 故事。 当您选择预设过滤器时,与该类型故事最相关的列会默认显示。
当您将鼠标悬停在项目或字段可用过滤器选项的位置时,会出现按钮。 单击图标以显示过滤选项:
-
添加到过滤器 - 将项目添加到过滤器中,现在故事工作台仅显示包含此项目的故事。 例如,如果您按特定重要性得分过滤,页面仅显示具有该重要性的故事。
-
从过滤器中排除 - 更新过滤器以排除此项目,现在故事工作台仅显示不包含此项目的故事。
您可以继续向过滤器添加项目,再次点击按钮以更新过滤器并进一步深入。
您可以手动配置故事过滤器,以获得更大的粒度来分析故事。 配置过滤器后,它会被添加到故事过滤器栏中,页面会自动更新以显示符合新过滤器的故事。
您可以点击故事工作台中的一个故事,深入分析和调查详细信息的页面。 本页面包含多个小工具,帮助您评估威胁预防引擎识别的潜在威胁。
故事工作台的深入分析包括一个工具,可让您创建由AI生成的自然语言故事描述,提供丰富的背景并帮助您快速评估故事。 故事摘要是动态生成的,以反映故事的当前状态。 如果故事更新为包含新信息,您可以重新生成摘要以反映更改。
-
AI故事摘要仅由管理员按需生成
这些是故事细分小工具:
项目 |
名称 |
描述 |
||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 |
故事摘要 |
有关该故事的基本信息的摘要,包括:
点击 |
||||||||||||||||||||||||||||
2 |
显示故事的时间线,例如对故事判决和严重性所做的更改,以及识别与故事相关的新目标时 |
|||||||||||||||||||||||||||||
3 |
详细信息 |
分析故事的关键信息,包括威胁描述和识别的MITRE ATT&CK® 技术。 其他细节包括:
有关 MITRE ATT&CK® 框架的更多信息,请参见与 MITRE ATT&CK® 仪表板配合使用。
|
||||||||||||||||||||||||||||
4 |
来源 |
受威胁影响的网络设备的基本信息 |
||||||||||||||||||||||||||||
5 |
攻击地理定位 |
显示与威胁相关的网络内部来源(橙色位置)和外部来源(红色位置)的地理位置。 连接来源的箭头指示流量方向 |
||||||||||||||||||||||||||||
6 |
目标动作 |
与每个目标相关的事件,包括以下信息: |
||||||||||||||||||||||||||||
7 |
攻击分布 |
攻击相关流量的时间分布。
|
||||||||||||||||||||||||||||
8 |
目标 |
显示与故事相关的网络站点之外的潜在恶意来源的数据。
|
||||||||||||||||||||||||||||
9 |
攻击相关事件 |
显示与攻击相关事件的代表性样本的数据。
|
0 条评论
请登录写评论。