分析 XOps UEBA 故事的使用和事件异常

本文说明如何使用XOps故事工作台和故事深入分析页面来分析XOps故事，以检测使用异常与事件异常引擎发现的异常行为。

注意

注意：XOps是Cato的安全和运营统一分析层，提供洞见和指导的补救措施。 XOps已取代XDR，更多信息请参阅XOps 常见问题。

概述

Cato的XOps（前称 XDR）服务基于用户和实体行为分析（UEBA）检测可能表明安全威胁的异常活动。使用异常和事件异常引擎监视和分析网络流量，以识别可能表明账户被盗、内部威胁和高级攻击的异常行为。这些引擎结合机器学习和统计建模技术，并通过网络流量训练，为您账户中的用户和实体建立基线行为模型。基于这些模型，引擎可以识别各种类型的异常。

以下是XOps UEBA 异常引擎及其识别的异常类型的简要描述：

使用异常 - 识别与应用程序中的异常使用有关的异常。例如，用户上传的数据比平时多
事件异常 - 检测网络上实体触发异常数量安全事件的异常。例如，网络上的站点触发的网络防火墙阻止事件比平时多得多

当XOps UEBA 异常引擎生成一个故事时，您可以在故事工作台中审查并深入分析故事数据。

先决条件

使用异常和事件异常故事仅适用于XOps和MDR客户。有关购买XOps或订阅MDR服务的更多信息，请联系您的Cato代表。

深入分析UEBA异常故事

您可以在故事工作台中单击使用异常或事件异常故事，以便深入分析并在不同页面中查看详细信息。此页面包含一些小组件，帮助您评估潜在威胁。

显示安全性故事

在故事工作台页面中单击一个安全故事，以显示 UEBA 故事的详细信息。

要查看XDR发现事件页面：

在导航菜单中，单击 主页 > 故事工作台。

生成AI故事摘要

故事工作台的深度分析包括一个工具，允许您创建由AI生成的自然语言故事描述，提供丰富的上下文，帮助您快速评估故事。故事摘要是动态生成的，以反映故事的当前状态。如果故事更新了新信息，您可以重新生成摘要以反映更改。

AI故事摘要仅由管理员按需生成

通过标记保护敏感数据

为了在将故事数据传输到第三方AI服务时确保数据安全，Cato使用令牌化确保所有敏感数据都保留在Cato XOps平台上。这涉及将敏感信息替换为唯一标识符或“标记”，使数据对未经授权的实体毫无意义。敏感数据从未向第三方服务公开。这种方法确保了故事细节的机密性，与我们对强大数据隐私和安全标准的承诺一致。

注意

注意： 由于生成AI的局限性，故事摘要中提供的信息可能偶尔包含不准确之处。

理解UEBA异常小部件

以下是使用异常或事件异常故事的小组件：

项目	名称	描述
1	故事摘要	关于故事的基本信息摘要，包括：异常名称攻击检测的指示生成故事的Detection & Response Producer（引擎）分析师严重性 - 威胁严重性分析师判决 - 对于威胁的判断攻击类型分析员确定的威胁详细分类故事状态
2	故事时间线	显示故事的时间线，例如对故事判决和严重性的更改，以及状态何时更新
3	详细信息	关于故事的基本详细信息，包括威胁的描述和摘要单击生成 AI 摘要，生成一个自然语言故事描述，提供丰富的上下文并帮助您快速评估故事 First Signal - 与异常相关的第一个信号（流量）的时间创建日期 - 故事生成的时间上次更新 - 故事的最新更新时间，例如新目标或更改判决 Criticality - 故事的总体风险评分，由Cato的机器学习风险分析算法计算（值为1（最不重要）到10（最重要））训练期 - 机器学习模型确定异常行为的训练期指示 ID - XOps引擎使用的指示标识符。您可以使用该 ID 在指示目录中查找指示。 MITRE 标签 - 已识别的威胁 MITRE ATT&CK® 技术。有关MITRE ATT&CK®框架的更多信息，请参阅使用MITRE ATT&CK®仪表板。点击 MITRE ATT&CK® 技术以在 MITRE ATT&CK® 网站上阅读其描述。预测结论和预测类型基于机器学习预测，用于可能的结论和潜在的恶意软件类型识别。机器学习算法分析相似故事的最终结论。相似故事 - 显示具有关联目标的故事。每个故事展示的详情包括：故事威胁类型、故事结论（如果可用），以及由机器学习模型计算出的相似度等级（以百分比表示）。将鼠标悬停在故事上以显示对威胁的更详细分类
4	异常分布	过去 14 天的异常行为图表。对于使用异常故事，图中显示了相关应用程序的数据。对于事件异常故事，图中显示了相关事件的数据。将鼠标悬停在图表上以显示异常详情。要更仔细地调查异常中检测到的不同应用程序或事件，请单击应用程序或事件的切换按钮以打开或关闭其图表。点击查看全部打开应用程序分析屏幕，预先筛选与异常相关的应用程序。
5	来源	与异常关联的网络设备的基本信息。
6	顶级应用程序	与异常相关的顶级应用程序，包括相关详情。例如，上游带宽异常的应用程序将显示该应用的总上传量。点击查看全部打开应用程序分析屏幕，预先筛选与异常相关的应用程序。
7	顶级服务器/目的地	与异常相关的顶级服务器和目的地，包括相关详情。例如，针对上游带宽异常的服务器将显示上传到服务器的总量。点击查看全部打开应用程序分析屏幕，显示为与异常相关的应用程序预先筛选过的目的地。
8	顶级主机	与异常相关的顶级主机，包括相关详情。例如：上游带宽异常的主机显示该主机的上传数。用户行为异常的主机显示与异常连接相关的用户 IP 地址。点击查看全部打开应用程序分析屏幕，显示为与异常相关的应用程序预先筛选出的主机。
9	目标	显示与故事相关的潜在恶意的外部来源的数据。这是目标表格列的描述：目标 - 流量中识别出的外部来源的域或 IP 地址。创建日期 - 目标域的注册日期。目标链接 - 前往多个外部威胁情报来源以查找目标的链接。如需更多信息，请点击VirusTotal图标或从下拉菜单中选择其他资源。恶意评分 - 根据 Cato 威胁情报算法对目标的恶意评分。评分范围从 0（良性）到 1（恶意）。受欢迎度 - 目标在 Cato 内部数据源中出现的频率。值为：不受欢迎、低、中、高。类别 - Cato 对目标域的分类。威胁源 - 被发现目标为恶意的 Cato 威胁情报源的数量。引擎 - 检测目标为恶意的第三方安全引擎数量注册国 - 目标域的注册国家。谷歌搜索点击量 - 目标的谷歌搜索结果数。
10	顶级连接	与异常相关的顶级连接的数据。例如，针对 SDP 用户上游带宽异常，显示使用最多上传带宽的连接。这是表格列的描述：应用程序 - 在连接的流量中检测到的应用程序源IP - 在您的网络中发送或接收流量的源IP地址目的地 - 发送或接收流量的外部目标的IP地址或域名流 - 与连接相关的流的数量下载 - 下载带宽使用上传 - 上传带宽使用使用情况 - 总带宽使用情况

UEBA异常故事的先决条件

异常检测引擎检测到的一些指示需要配置连接器、特定的许可证或两者兼而有之。此表列出了这些指示的前提条件。如果指示未在表中列出，则没有其他前提条件。

指示	前提条件
用户登录失败异常	CASB许可证和下面至少一个连接器：销售云 GitHub Azure ID
批量下载（用户下载事件异常）	CASB许可证
批量下载（站点下载事件异常）	CASB许可证
批量上传（用户上传事件异常）	CASB许可证
批量上传（站点上传事件异常）	CASB许可证
批量删除（异常删除活动 - 用户）	CASB许可证
批量删除（异常删除活动 - 站点）	CASB许可证
批量创建（异常文件创建活动 - 用户）	CASB许可证
首次发现使用已弃用或未经授权的协议 - 站点	威胁防护许可证
首次发现使用已弃用或未经授权的协议 - 用户	威胁防护许可证
C&C流量异常 - 用户	威胁防护许可证
C&C首次上传到S3存储桶流量异常 - 站点	威胁防护许可证
首次上传到S3存储桶	CASB和反恶意软件许可证
邮件删除异常	CASB许可证和这些连接器 M365-Exchange Microsoft Exchange审计活动