本文讨论了如何使用指示目录以获取关于由卡托检测与响应安全层识别的潜在恶意活动的更多信息。
有关检测和响应的更多信息,请参阅审查故事工作台中的检测和响应XOps故事。
指示目录包含对由检测&响应第三方引擎识别的数百个指示(攻击指示器)的解释和参考信息。 一个指示是一组可能表明攻击意图的动作和行为,即使尚未识别出实际的安全漏洞。 例如,产生具有C&C特性的流量的主机可能表明恶意软件攻击。 当引擎分析流量数据并识别到指示的匹配项时,它们会在故事工作台页面上创建一个安全故事,包括该故事的指示及其他数据,以帮助调查威胁。 指示目录为所有指示提供完整描述。
您可以轻松搜索和过滤目录以查找指示,并查看哪些指示与特定的攻击策略相关。 目录还允许您查找特定指示,以查看其是否被检测&响应第三方引擎覆盖,显示最新指示,并查看与指示相关的事件日志。
指示目录包含由不同的检测&响应第三方引擎检测到的威胁类型的信息。 以下是一些不同引擎及其识别的指示类型的简要描述,完整列表请参阅欢迎使用 Cato XOps 服务。
-
威胁防护 - 在IPS事件中检测一组特定的攻击行为
-
站点操作 - 识别网络问题,如连接性下降
-
威胁搜寻 - 在事件和更丰富的流量数据中识别一个扩展的攻击行为集
-
使用异常 - 识别与应用程序表现出异常使用相关的指示。 例如,应用程序使用的上行带宽比平常多
-
事件异常 - 检测涉及网络上的某个实体触发异常数量安全事件的指示
-
体验异常 - 检测应用程序或网络性能对应用程序的体验发生显著变化
您的检测和响应许可证决定了为您的账户启用的指示类型。 指示目录显示您的当前许可证,以及某个特定指示是否可用于该许可证。 当某指示不可用于您的许可证时,不会基于该指示创建并显示在故事工作台中的故事。 有关 XOps 许可证层的信息,请参阅欢迎使用 Cato XOps 服务。
要显示指示目录:
-
从导航菜单中,单击资源 > 指示目录。
-
ID - 检测&响应第三方引擎使用的指示标识符
-
指示 - 指示类别的名称。 一个类别可以包括多个具有类似行为的不同指示
-
描述指示的可疑动作和行为
-
账户中可用 - 基于检测&响应许可证级别,指示是否已为账户启用。
有关指示可用性的更多信息,请参阅指示类型和许可。
-
MITRE 参考 - 显示与指示相关的 MITRE ATT&CK® 框架威胁技术。 有关 MITRE ATT&CK® 框架的更多信息,请参阅使用 MITRE ATT&CK® 仪表板
-
点击参考以打开为 MITRE ATT&CK® 技术预过滤的事件页面
-
-
类型 - 显示检测&响应第三方引擎检测到的指示
设置以下过滤器以轻松找到相关指示:
-
ID - 选择一个指示ID以显示指示
-
您可以使用状态下拉菜单过滤目录,只显示新增指示。
指示如果最近添加到目录中,并带有标签新增,则被认为是新增。 该标签不指示特定时间范围
-
指示 - 选择一个指示类别以过滤目录,显示该类别中的指示
-
在描述字段中搜索相关指示。
-
账户中可用 - 过滤目录以仅显示对账户可用或不可用的指示。
关于指示可用性的更多信息,请参阅指示类型和许可。
-
MITRE 技术 - 选择MITRE ATT&CK®框架中定义的攻击技术以显示与该技术相关的指示
-
类型 - 选择检测和响应引擎以过滤目录,显示引擎检测到的指示
0 条评论
请登录写评论。