深入分析与探讨XOps安全事件

本文讨论了如何使用检测&响应故事页面分析您帐户中的潜在威胁故事。

注意

注意: XOps 是Cato的面向安全和操作的统一分析层，提供见解和指导性补救措施。 XOps 已替代XDR，欲了解更多信息，请查看 XOps FAQ.

概况

您可以在事件工作台中点击一个事件，深入调查检测和响应事件页面上的详细信息。此页面包含故事的概述以及相关故事的摘要。概览包含多个组件，帮助您评估由 XOps 引擎识别的潜在威胁，而相关事件总结帮助您将事件置于更广泛的分析上下文中。

生成AI故事摘要

故事工作台深入钻取包括一个工具，允许您创建由AI生成的自然语言故事描述，提供丰富的背景，可帮助您快速评估故事。故事摘要动态生成，以反映故事的当前状态。如果故事更新了新信息，您可以重新生成摘要以反映变化。

AI故事摘要仅由管理员按需生成

使用代币化保护敏感数据

为了在将事件数据传输至第三方AI服务时保持强劲的数据安全性，Cato使用标记化来确保所有敏感数据仍然保留在Cato XOps 平台中。这涉及用唯一标识符或“令牌”替换敏感信息，使数据对未授权实体毫无意义。敏感数据从不暴露给第三方服务。这种方法确保了故事细节的机密性，与我们对强大数据隐私和安全标准的承诺一致。

注意

注意： 由于生成AI的限制，故事摘要中提供的信息可能偶尔包含不准确之处。

钻研和分析事件

检测和响应事件包括评估已识别威胁的小部件。在事件中，您可以查看相关警报和支持性证据，如进程、文件、注册表值、计划任务和网络活动。这些证据以以下方式呈现：

在特定警报上下文中呈现的时间顺序流程树。这有助于您了解看似可疑并生成警报的事件顺序。

注意：由于 API 连接问题，这在某些事件中可能不可用。
证据表提供了事件证据的概览。这有助于更广泛地评估端点设备上特定恶意或可疑活动的普遍性。

了解故事概况小部件

这些是故事概述小部件：

备注

备注：并非每个事件都包含每个小部件。每个事件中的小部件取决于事件类型和可用数据。

名称

描述

故事摘要

概览显示事件的基本信息摘要，包括：

检测到的攻击指示
创建事件的检测和响应引擎
分析员确定的威胁严重性
分析员确定的威胁判决
攻击类型(例如，浏览器扩展、本机应用程序、扫描器、Web应用程序)
分析师确定的威胁详细分类（例如，端口扫描，新注册域，SMB 扫描）
已受侵入的设备数量
与攻击相关的信号(流量流)数量
事件自创建以来的持续时间
故事状态

使用操作下拉菜单，选择管理事件更改事件设置，如分析师判定、分析师严重性、状态和分类。

相关事件选项卡通过让您快速查看具有相同来源的事件以及涉及网络上不同来源的类似特征的事件来提供上下文。

故事时间线

显示故事的时间线，例如对故事判决和严重性所做的更改，以及何时识别出与故事相关的新目标

详细信息

分析故事的关键信息，包括威胁描述和识别的MITRE ATT&CK®技术。

点击生成AI摘要以获取自然语言故事描述，提供丰富的背景，可帮助您快速评估故事

其他详细信息包括：

重要性 - Cato的机器学习风险分析算法计算的事件总体风险评分（值范围是从1到10）

这个机器学习模型，被称为随机森林，通过分析来自威胁情报（TI）和网络流及事件产生的数据的具体参数来计算重要性。

随机森林是一种机器学习模型，它通过结合许多较小的“决策树”的结果来提高准确性和可靠性。这对于评估复杂的多因素数据（如安全威胁）特别有用。

为了评估重要性，该模型会考虑诸如以下重要因素：
- 操作系统类型
- Cato中的域名受欢迎程度
- 客户分类
- 创建事件的安全引擎类型（如相关）
- 采取的措施（阻止、监控等）
- MITRE技术
- IP位置
- WHOIS数据
模型总共评估超过40个参数，以确保对故事重要性进行全面和准确的评估。
预测结论和预测类型基于机器学习预测可能的结论和您可能识别的潜在恶意软件类型。机器学习算法分析类似故事的最终判决

欲了解更多关于MITRE ATT&CK®框架的信息，请查看使用MITRE ATT&CK®仪表板。

点击MITRE ATT&CK®技术以在MITRE ATT&CK®网站上阅读其描述

来源

有关网络中受到威胁影响的用户和设备的基本信息

警报/事件/检测

显示与事件相关的警报详细信息。

展开警报以显示与警报相关的证据的时间顺序流程树，包括进程、文件和注册表值
单击流程树中的项目以进一步钻研并显示证据的详细数据

这些是表中的列：

描述可疑活动的内容
严重性 - 由 Cato 的机器学习风险分析算法计算的警报总体风险评分（值为 1 - 10）
MITRE 技术 - 为威胁识别的 MITRE ATT&CK® 技术

有关 MITRE ATT&CK® 框架的更多信息，请参见使用 MITRE ATT&CK® 仪表板。
状态 - 显示警报是否为新或已解决
首次活动日期 - 初次检测到警报可疑活动的日期
最后活动日期 - 最近一次检测到警报可疑活动的日期
威胁名称 - 检测到的恶意软件名称。例如：木马：Win32/Startpage
说明 & 推荐操作 - 单击查看以获取警报的简要描述和调查及缓解威胁的推荐步骤
目标 - 警报涉及的 URL
目标 IP - 事件中涉及的远程 IP 地址

证据

汇总了各种事件警报中的所有进程、文件和注册表值的详细信息。

证据表中的某些列是所有证据类型共享的，而某些列则是特定于每种类型的。

以下是各类证据的列：

判定结果 - Defender 对证据的判定结果（恶意、可疑或未发现威胁）
修复状态 - 显示威胁是否已修复
创建时间 - 记录事件的日期和时间

以下是每种证据类型的特定列：

进程：
- 进程名称 - 进程可执行文件的名称
- 进程 ID - Windows 分配的进程 ID 号
- 进程命令行 - 在 Windows 中传递给进程的参数。这可以揭示有关可疑进程执行的重要上下文
- 文件路径 - 端点设备上进程可执行文件的位置
文件：
- 文件路径 - 文件在端点设备上的位置
- 文件名称 - 包括扩展名的文件名
- 文件大小 - 文件的大小（字节、千字节或兆字节）
注册表：
- 注册表键名称
- 注册表值类型 - 存储在注册表值中的数据格式
- 注册表值 - 注册表项的值

攻击地理位置

显示网络中的来源地理位置（橙色位置）和与威胁相关的外部来源（红色位置）。连接源的箭头指示流量方向

目标操作

与每个目标相关的事件，包括以下信息：

列	描述
目标	故事相关流量中识别的外部来源的域或IP地址
类型	生成与目标相关事件的安全引擎
操作	对与目标相关流量的采取的操作
相关事件	显示与目标相关的事件中出现的威胁签名。将鼠标悬停在签名上以显示摘要事件日志点击签名以打开为该签名预过滤的事件页面

攻击分布

攻击相关流量的时间分布。

为方便阅读图表，在目标中，点击目标以隐藏图表中的数据
要显示攻击细节，请将鼠标悬停在图表上

目标

显示与本故事相关的网络站点外的潜在恶意来源的数据。

列	描述
创建日期	目标域的注册日期
目标	与本故事相关流量中识别的外部来源的域名或IP地址
目标链接	用于在各种外部威胁情报来源中查找目标的链接。如需更多信息，请点击VirusTotal图标，或从下拉菜单中选择其他资源。
恶意分数	根据Cato威胁情报算法，目标的恶意评分。评分范围从0（良性）到1（恶意）
流行度	目标在Cato内部数据源中出现的频率。取值为：不受欢迎、低、中、高
类别	目标域的Cato类别
威胁源	检测到目标为恶意的Cato威胁情报源数量
引擎	检测到目标为恶意的第三方安全引擎数量
注册国	目标域注册所在国家
Google搜索结果	目标的Google搜索结果数量

攻击相关流

显示与攻击相关的事件的代表性样本数据。

列	描述
目标	相关通信流的目标域或IP
开始时间	流开始的时间戳
方向	流的方向。方向包括：入站 - 从外部来源进入网络的流量出站 - 从您的网络到外部来源的流量 WAN 出站 - 从您的网络到您网络中的另一个站点的流量
源IP	在网络中发送或接收流的源IP地址
源端口	在网络中发送或接收流的源端口
目标IP	发送或接收流的外部目标的IP地址
目标端口	发送或接收流的外部目标的端口
方法	流中的HTTP方法(GET、POST等)
完整路径URL	流中的外部资源的完整URL
客户端	在创建此网络流的操作系统上运行的客户端应用程序类型(例如，Chrome)
Cato应用	在流中使用的Cato应用
目标国家	目标IP在流中的位置
DNS回应IP	由DNS查询返回的IP地址

登录事件

（此小部件需要 Microsoft Entra ID 连接器）

显示用户从警报当天到前 2 天的登录事件数据的图表。使用下拉菜单选择图表上显示的数据类型。以下是选项：

来源 IP - 登录事件中检测到的来源 IP 地址
登录位置 - 执行登录的地理位置
客户端分类 - 用于登录的客户端类型（例如，浏览器名称和版本）
用户代理 - 登录中使用的用户代理，如 HTTP 标头中的用户代理字段中的显示。以下是用户代理值的示例：
- Chrome/90.0.4430.212
- Safari/537.36
- Mozilla/5.0 (Windows NT 10.0; Win64; x64)
操作系统类型 - 用于登录的设备上使用的操作系统类型（例如，Windows，macOS）
操作系统版本 - 用于登录的设备上操作系统的版本号

用户上的登录事件

（此小部件需要 Microsoft Entra ID 连接器）

显示用户从警报当天及之前的 2 天的登录事件数据。

以下是表中的列：

时间 - 登录事件的时间
用户名 - 登录的用户名
来源 IP - 登录事件中检测到的来源 IP 地址
登录位置 - 执行登录的地理位置
操作 - 登录尝试的结果（值：失败、成功、拒绝访问）
失败原因 - 对失败或拒绝访问的登录结果的说明
应用程序 - 用户尝试登录的应用程序
客户端分类 - 用于登录的客户端类型（例如，浏览器名称和版本）
操作系统类型 - 用于登录的设备上的操作系统类型（例如，Windows，macOS）
操作系统版本 - 用于登录的设备上操作系统的版本号
用户代理 - 在登入时使用的用户代理，如同在流量的HTTP头中的用户代理字段中显示的一样。以下是用户代理值的示例：
- Chrome/90.0.4430.212
- Safari/537.36
- Mozilla/5.0 (Windows NT 10.0; Win64; x64)

理解相关故事摘要

相关故事摘要为您正在调查的故事提供上下文，使您可以快速查看具有相同来源和不同来源但具有相似特征的故事，所有这些都在您的网络上。该摘要显示每个相关故事的关键信息，并允许您轻松打开预过滤的Stories Workbench以显示相关故事，或者打开特定相关故事的检测与响应故事页面。

以下是相关故事摘要中的表格：

最相似的故事表格使您能够快速了解网络中是否有其他来源参与了与正在调查的故事类似特征的故事，例如相同的指示或目标。该表显示依据目标相似性评分的前5个相似故事。该表不限于特定的时间范围。
故事来源表显示了在选定的时间范围内，此故事中源产生的所有故事。默认时间范围是最近的2周。这让您可以评估此次资的更广泛的活动背景。例如，这可以帮助确定该故事中的行为对特定来源而言是否不寻常或是常规操作。

在这两个表中可以执行以下操作：

单击 在Workbench中查看 以打开预过滤的Stories Workbench来显示表中的故事。
点击故事行以打开该故事的检测与响应故事页面。

这些是相关故事表中的列：

创建时间 - 故事生成的时间
最新更新 - 故事最新更新的时间，例如新的目标或更改的判决。
迹象 - 故事的攻击指示。欲了解更多指示信息，请查看使用指示目录
- 点击以在新标签页中打开此事件的检测 & 反应页面
- 点击以获取关于该提示的更多信息
来源 - 网络中参与该故事的IP地址、设备名称或SDP用户
目标相似性（仅针对最相似的故事）- 与被调查的故事中的共同目标相似性级别，由机器学习模型计算（以百分比表示）
共同目标（仅针对最相似的故事）- 与正在调查的故事共有的目标URL或IP地址
紧迫性 - Cato对该故事的风险分析（值从1（低风险）到10（高风险））
故事状态 - 包含的值：
- 打开 - 故事已生成但未解决
- 等待客户 - 故事已发送至客户，正在等待他们的回复
- 等待分析员 - 等待来自安全分析员的更多信息
- 已关闭 - 安全分析员关闭了该故事
- 重新打开 - XOps 生产者检测到与已关闭事件相符的新下载量，自动重新打开事件以进行进一步审核。故事会在首次关闭12小时或更长时间后重新打开以检测流量。在12小时内不会重新打开故事，以允许通过缓解或静音来处理故事
分析员判决 - 分析员对故事的判决
分析员分类 - 由分析员定义的详细威胁类型分类