分析XOps UEBA故事的使用和事件异常

本文解释了如何使用XOps故事工作台和故事深入分析页面，分析由使用异常和事件异常引擎检测到的异常行为的XOps故事。

有关如何使用故事工作台的更多信息，请参见在故事工作台中查看检测与响应XOps故事。

概述

Cato的XOps服务根据用户和实体行为分析(UEBA)检测异常活动，这可能指示安全威胁。使用异常和事件异常引擎监控分析网络流量，识别可能表明账户被攻破、内部威胁和高级攻击的异常行为。这些引擎结合机器学习和统计建模技术，在网络流量上进行培训，为您的帐户中的用户和实体构建基线行为模型。根据这些模型，引擎可以识别出多种类型的异常。

以下是对XOps UEBA异常引擎及其识别的异常类型的简要描述：

使用异常 - 识别与应用程序中异常使用相关的异常。例如，用户上传到应用程序的数据量比平常多
事件异常 - 检测涉及网络实体触发异常数量安全事件的异常。例如，网络站点触发的互联网防火墙阻止事件明显多于平常

当XOps UEBA异常引擎生成一个故事时，您可以在故事工作台中查看它，并深入分析故事数据进行进一步分析。

先决条件

使用异常和事件异常故事仅适用于XOps和MDR客户。有关购买XOps或订阅MDR服务的更多信息，请联系您的Cato代表。

钻取和分析UEBA异常故事

您可以在故事工作台中单击使用异常或事件异常故事，以钻取并在不同的页面中调查详细信息。此页面包含多个小工具，帮助您评估潜在威胁。

显示安全故事

在故事工作台页面中单击一个安全故事，显示UEBA故事的详细信息。

要查看故事工作台页面：

从导航菜单中，单击主页 > 故事工作台。

生成AI故事摘要

故事工作台钻取功能包含一个工具，允许您创建由AI生成的自然语言故事描述，提供丰富的上下文，帮助您快速评估故事。故事摘要是动态生成的，以反映故事的当前状态。如果故事更新了新信息，您可以重新生成摘要以反映更改。

仅在管理员要求下生成AI故事摘要

使用令牌化保护敏感数据

为了在将故事数据传输到第三方AI服务时提供可靠的数据安全性，Cato使用令牌化技术以确保所有敏感数据保持在CatoXOps平台内。这涉及将敏感信息替换为唯一标识符，或“令牌”，使数据对未经授权的实体来说没有意义。敏感数据绝不会暴露给第三方服务。这种方法确保了故事细节的保密性，符合我们对强大数据隐私和安全标准的承诺。

注意

注意：由于生成式AI的局限性，故事摘要中提供的信息可能偶尔包含不准确之处。

了解UEBA异常小部件

这是使用异常或事件异常故事的小部件：

项目	名称	描述
1	故事概要	关于故事的基本信息摘要，包括：异常名称攻击检测的指示生成故事的检测与响应生产者（引擎）分析员严重性 - 威胁的严重性威胁的分析员裁定攻击类型分析员确定的威胁的详细分类故事状态
2	故事时间线	显示故事的时间线，例如对故事裁定和严重性进行的更改，以及何时更新状态
3	详细信息	关于故事的基本详细信息，包括威胁描述和摘要单击生成AI摘要以获取自然语言故事描述，提供丰富的上下文并帮助您快速评估故事第一个信号 - 与异常关联的第一个信号（流量流）的时间创建日期 - 故事生成的时间上次更新 - 最新的故事更新时间，例如新目标或更改后的裁定关键性 - 根据Cato的机器学习风险分析算法计算的故事整体风险分数（值从1（最低）到10（最高））训练周期 - 机器学习模型确定异常行为的训练周期指示ID - XOps引擎使用的指示标识符。您可以使用该ID在指示目录中查找指示 MITRE标签 - 为威胁识别的MITRE ATT&CK®技术。有关MITRE ATT&CK®框架的更多信息，请参见使用MITRE ATT&CK®仪表板。单击MITRE ATT&CK®技术以在MITRE ATT&CK®网站上阅读其描述基于机器学习预测的预测裁定和预测类型，用于可能裁定和潜在恶意软件类型的预测。机器学习算法分析类似故事的最终裁定相似故事 - 显示具有相似目标的故事。为每个故事显示的详细信息包括：故事威胁类型、故事裁定（如果可用）以及机器学习模型计算的相似度等级（以百分比表示）。将鼠标悬停在故事上以显示威胁的更详细分类
4	异常分布	过去14天异常行为的图表。对于使用异常故事，图表显示相关应用程序的数据。对于事件异常故事，图表显示相关事件的数据。要显示异常详情，将鼠标悬停在图表上要更深入地调查异常中检测到的不同应用程序或事件，请单击应用程序或事件的切换按钮以打开或关闭其图表。单击查看全部以打开应用程序分析屏幕，该屏幕已预先过滤与异常相关的应用程序
5	来源	关于网络中与异常相关的设备的基本信息
6	热门应用程序	与异常相关的热门应用程序，附有相关详细信息。例如，与上行带宽异常相关的应用程序显示应用程序的总上传量单击查看全部以打开应用程序分析屏幕，该屏幕已预先过滤与异常相关的应用程序
7	顶部服务器/目的地	异常涉及的热门服务器和目的地，附有相关详细信息。例如，与上行带宽异常相关的服务器显示到服务器的总上传量单击查看全部以打开应用程序分析屏幕，并显示已经预先过滤与异常相关的目的地
8	热门主机	与异常相关的热门主机，附有相关详细信息。例如：与上行带宽异常相关的主机显示来自主机的上传数量用户行为异常中的主机显示用户在与异常相关的连接中的IP地址单击查看全部以打开应用程序分析屏幕，并显示已经预先过滤与异常相关的主机
9	目标	显示与故事相关的网络站点以外的潜在恶意来源的数据。以下是目标表列的描述：目标 - 在与故事相关的流量中识别的外部来源的域名或IP地址创建日期 - 目标域名的注册日期目标链接 - 查阅各个外部威胁情报来源中的目标链接。如需更多信息，请点击VirusTotal图标或从下拉菜单中选择其他资源。风险分数 - 根据Cato威胁情报算法，评估目标的风险分数。分数范围从0（良性）到1（恶意）流行度 - 目标在Cato内部数据源中出现的频率。值为：不流行、低、中、高类别 - 目标域的Cato类别威胁源 - 被Cato威胁情报源检测为恶意目标的数量引擎 - 检测目标为恶意的第三方安全引擎数量注册国家 - 目标域名注册的国家谷歌搜索结果 - 目标的谷歌搜索结果数量
10	顶级连接	与异常相关的顶级连接数据。例如，对于SDP用户上行带宽异常，使用上传带宽最多的连接。以下是表格列的描述：应用程序 - 在连接流量中检测到的应用程序源IP - 网络中发送或接收流的源IP地址目标 - 发送或接收流的外部目标的IP地址或域名流量 - 与连接相关的流数量下载 - 下载带宽使用量上传 - 上传带宽使用量使用量 - 总带宽使用量

UEBA异常故事的前提条件

异常检测引擎检测到的一些指示需要配置连接器、特定许可证或两者。该表列出了这些指示的前提条件。如果表中没有列出某个指示，则没有额外的前提条件。

指示	前提条件
用户登录失败异常	CASB许可证和至少以下连接器之一： Salesforce GitHub Azure ID
批量下载（用户下载事件异常）	CASB许可证
批量下载（站点下载事件异常）	CASB许可证
批量上传（用户上传事件异常）	CASB许可证
批量上传（站点上传事件异常）	CASB许可证
批量删除（不寻常删除活动-用户）	CASB许可证
批量删除（不寻常删除活动-站点）	CASB许可证
批量创建（不寻常文件创建活动-用户）	CASB许可证
首次使用已弃用或未经授权的协议-站点	威胁预防许可证
首次使用已弃用或未经授权的协议-用户	威胁预防许可证
C&C流量异常-用户	威胁预防许可证
C&C首次上传至S3存储桶流量异常-站点	威胁预防许可证
首次上传到S3存储桶	CASB和反恶意软件许可证
邮件删除异常	CASB许可和这些连接器 M365-Exchange Microsoft Exchange审核活动