深入分析 XOps 安全故事

本文讨论了如何使用检测和响应故事页面分析您账户中的潜在威胁故事。

概览

您可以在故事工作台中点击一个故事，深入并在检测和响应故事页面中调查详细信息。此页面包含故事的概述和相关故事的摘要。概述包含多个小组件，帮助您评估XOps 引擎识别的潜在威胁，而相关故事摘要可以帮助您更广泛地分析故事的背景。

正在生成 AI 事件摘要

故事工作台深入分析工具包括一个工具，允许您创建由 AI 生成的自然语言故事描述，提供丰富的上下文并帮助您快速评估故事。故事摘要是动态生成的，反映故事的当前状态。如果故事更新了新信息，您可以重新生成摘要以反映变化。

AI 事件摘要由管理员按需生成

使用令牌化保护敏感数据

为了在传输故事数据到第三方 AI 服务期间实现强大的数据安全性，Cato 使用代币化确保所有敏感数据仍然保留在 Cato XOps 平台中。这涉及用唯一标识或“代币”替换敏感信息，使数据对未经授权的实体无意义。敏感数据永远不会暴露给第三方服务。这种方法确保了故事细节的机密性，符合我们对强大数据隐私和安全标准的承诺。

注意

注意： 由于生成式 AI 的限制，故事摘要中提供的信息可能偶尔会有不准确之处。

深入分析事件

一个检测和响应故事包含用于评估识别的威胁的小组件。在故事中，您可以查看相关警报和支持证据，如进程、文件、注册表值、计划任务和网络活动。这些证据以两种形式展示：

一个按特定警报上下文展示的时间顺序进程树。这帮助您理解可疑事件的顺序，并生成警报。

注意： 由于 API 连接问题，这在某些故事中可能不可用。
证据表格提供故事证据的概览。这有助于更广泛地评估特定恶意或可疑活动在端点设备上的普遍性。

了解故事概览组件

这些是故事概述小组件：

注意

注意： 并不是每个故事中都包含每个小组件。每个故事中的小组件取决于故事类型和可用数据。

名称

描述

故事摘要

概览显示有关故事的基本信息摘要，包括：

已检测攻击的指示
创建故事的检测和响应引擎
分析师确定的威胁严重程度
分析师确定的威胁判定
攻击类型（例如，浏览器扩展、本地应用程序、扫描器、Web应用）
分析师确定的威胁详细分类（例如，端口扫描、新注册域名、SMB扫描）
受损设备数量
与攻击相关的信号（流量路径）数量
自故事创建以来的持续时间
故事状态

使用操作下拉菜单并选择管理故事更改故事设置，如分析师判定、分析师严重程度、状态和分类。

相关事件标签页提供您正在调查的故事的背景，让您快速查看具有相同来源的事件以及在您的网络中涉及不同来源的相似特征事件。

事件时间线

展示事件的时间线，例如对事件判定和严重程度的变更，以及识别与事件相关的新目标时的时间。

详细信息

分析事件的关键信息，包括威胁描述和识别出的MITRE ATT&CK®技术。

点击生成AI摘要获取自然语言事件描述，提供丰富背景并帮助您快速评估事件。

其他详细信息包括：

严重性 - 根据Cato的机器学习风险分析算法计算的总风险评分（取值范围为1-10）。

这种机器学习模型，被称为随机森林，通过分析来自威胁情报（TI）及网络流和事件生成的数据中的特定参数来计算严重性。

随机森林是一种机器学习模型，通过结合许多较小的“决策树”的结果来提高准确性和可靠性。它在评估复杂的多因素数据如安全威胁时尤其有用。

为了评估严重性，模型考虑了重要因素，例如：
- 操作系统类型
- 在Cato中域名的受欢迎程度
- 客户端分类
- 创建事件的安全引擎类型（如相关）
- 采取的行动（阻止、监控等）
- Mitre 攻击技术
- IP位置
- WHOIS数据
总的来说，模型评估了超过40个参数，以确保对事件严重性的全面和准确评估。
预测判定和预测类型基于机器学习对可能判定及潜在恶意软件类型的预测。机器学习算法分析相似事件的最终判定。

有关MITRE ATT&CK®框架的更多信息，请参阅使用MITRE ATT&CK®仪表板。

点击MITRE ATT&CK®技术以在MITRE ATT&CK®网站上阅读其描述。

实体

事件发生的实体。这些可以是用户、站点、数据存储、应用程序等。

警报/事件/检测

显示与故事相关的警报的详细信息。

展开警报以显示证据的时间顺序进程树，包括进程、文件和注册表值
点击进程树中的项目可进一步深入并显示关于证据的细粒度数据

表格中的列包括：

描述可疑活动的条件
重要性 - Cato 的机器学习风险分析算法计算的警报总体风险分数（1 - 10）
MITRE 技术 - 威胁中识别出的 MITRE ATT&CK® 技术

有关 MITRE ATT&CK® 框架的更多信息，请参见使用 MITRE ATT&CK® 控制面板。
状态 - 显示警报是否新还是已解决
首次活动日期 - 检测到警报的初始可疑活动日期
最后活动日期 - 检测到的警报的最新可疑活动日期
威胁名称 - 检测到的恶意软件名称。例如：特洛伊木马:Win32/Startpage
描述和推荐操作 - 点击查看以获取简要警报描述以及调查和减轻威胁的推荐步骤
目标 - 警报中涉及的 URL
目标 IP - 故事中涉及的远程 IP 地址

证据

汇总故事各个警报中的所有进程、文件和注册表值的详细信息。

证据表格中的一些列适用于所有类型的证据，一些列特定于每种类型。

以下为所有类型证据显示的列：

判定 - Defender 为这条证据生成的判定（恶意、可疑或未发现威胁）
补救状态 - 显示威胁是否已得到补救
创建时间 - 记录事件的日期和时间

这些是每种证据类型的特定列：

进程:
- 进程名称 - 进程的可执行文件名称
- 进程ID - Windows分配的进程ID号
- 进程命令行 - 在Windows中传递给进程的参数。这可以揭示可疑进程执行的重要上下文
- 文件路径 - 进程可执行文件在端点设备上的位置
文件:
- 文件路径 - 文件在端点设备上的位置
- 文件名 - 包含扩展名的文件名称
- 文件大小 - 文件的大小，以字节、千字节或兆字节为单位
注册表:
- 注册表键名称
- 注册表值类型 - 注册表值中存储的数据格式
- 注册表值 - 注册表项的值

攻击地理位置

显示与威胁相关的网络中来源的地理位置（橙色位置）和外部来源（红色位置）。连接源的箭头表示交通流量的方向

目标动作

与每个目标相关的事件，包括以下信息：

列	描述
目标	在与故事相关的流量中识别的外部来源的域名或IP地址
类型	生成与目标相关事件的安全引擎
动作	对与目标相关的流量采取的动作
相关事件	显示在与目标相关的事件中出现的威胁签名。将鼠标悬停在签名上以显示事件日志摘要点击签名以打开预先筛选的事件页面

攻击分布

与攻击相关流量的时间分布。

为了更容易读取图形，在目标中，单击一个目标以从图形中隐藏该数据
要显示攻击详情，将鼠标悬停在图形上

目标

显示与故事相关的在您的网络站点之外潜在恶意来源的数据。

列	描述
创建日期	目标域名的注册日期
目标	在与故事相关的流量中识别的外部来源的域名或IP地址
目标链接	链接到各种外部威胁情报来源来查询目标。如需更多信息，请点击VirusTotal图标，或从下拉菜单中选择其他资源。
恶意评分	根据Cato威胁情报算法的目标恶意评分。评分范围从0（良性）到1（恶意）
受欢迎度	目标在Cato内部数据来源中出现的频率。值为：不受欢迎、低、中、高
类别	目标域名的Cato分类
威胁源	检测目标为恶意的Cato威胁情报来源数量
引擎	检测目标为恶意的第三方安全引擎数量
注册国家	目标域名注册的国家
Google搜索命中	目标的Google搜索结果数量

与攻击相关的流量

显示与攻击相关的代表性事件样本的数据。

列	描述
目标	相关通信流的目标域名或IP地址
开始时间	流开始的时间戳
方向	流的方向。方向包括：入站 - 网络流量从外部来源进入您的网络出站 - 网络流量从您的网络到外部来源 WAN 出站 - 网络流量从您的网络到您网络中的另一个站点
源IP	在您的网络中发送或接收流的源IP地址
源端口	在您的网络中发送或接收流的源端口
目标IP	发送或接收流的外部目标的IP地址
目标端口	发送或接收流的外部目标的端口
方法	流中的HTTP方法（GET，POST等）
完整路径URL	流中外部资源的完整URL
客户端	在创建该网络流的操作系统上运行的客户端应用程序类型（例如，Chrome）
Cato应用	流中使用的Cato应用程序
目标国家	流中目标IP的位置
DNS响应IP	DNS查询返回的IP地址

登录事件

（此小部件需要Microsoft入口ID连接器）

用户从警报当天起加上前2天的登录事件数据细分图表。使用下拉菜单选择图表上显示的数据类型。这些是选项：

源 IP - 记录在登录事件中的源 IP地址。
登录位置 - 执行登录的地理位置。
客户端分类 - 用于登录的客户端类型（例如浏览器名称和版本）。
用户代理 - 登录过程中使用的用户代理，如 HTTP 头中的用户代理字段所示。以下是用户代理值的示例：
- Chrome/90.0.4430.212
- Safari/537.36
- Mozilla/5.0 (Windows NT 10.0; Win64; x64)
操作系统类型 - 用于登录的设备上的操作系统类型（例如 Windows、macOS）。
操作系统版本 - 用于登录的设备上的操作系统版本号。

用户的登录事件

（此小部件需要 Microsoft Entra ID 连接器）

显示来自用户的登录事件的数据，从警报当天及前2天的数据。

这些是表格中的列：

时间 - 登录事件的时间
用户名 - 登录的用户名
源 IP - 记录在登录事件中的源 IP地址。
登录位置 - 执行登录的地理位置。
操作 - 登录尝试的结果（值：失败、成功、访问被拒绝）
失败原因 - 对于失败或访问被拒绝登录结果的解释。
应用程序 - 用户尝试登录的应用程序
客户端分类 - 用于登录的客户端类型（例如浏览器名称和版本）。
操作系统类型 - 用于登录的设备上的操作系统类型（例如 Windows、macOS）。
操作系统版本 - 用于登录的设备上的操作系统版本号。
用户代理 - 登录过程中使用的用户代理，如 HTTP 头中的用户代理字段所示。以下是用户代理值的示例：
- Chrome/90.0.4430.212
- Safari/537.36
- Mozilla/5.0 (Windows NT 10.0; Win64; x64)

理解相关故事摘要

相关故事摘要为您正在调查的故事提供上下文信息，让您快速查看具有相同来源和类似特征的故事，这些特征涉及您网络上的不同来源。摘要显示每个相关故事的关键细节，您可以轻松打开故事工作台，预过滤至相关故事，或打开特定相关故事的检测和响应故事页面。

这些是相关故事摘要中的表格：

最相似故事表让您快速查看网络中其他来源是否参与了具有与正在调查的故事相似特征的故事，例如相同的标示或目标。此表根据目标相似性评分显示最多前5个相似故事。该表不限于特定时间范围。
来源故事表显示本故事中的来源在选定时间范围内生成的所有故事。默认时间范围为过去2周。这样您可以评估该来源活动的更广泛背景。例如，这可以帮助您确定该故事中的行为是否异常或对该特定来源来说是例行的。

在两个表格中都可以执行以下操作：

单击在工作台查看以打开故事工作台，预过滤以显示表格中的故事
单击故事行以打开该故事的检测和响应故事页面

以下是相关故事表格中的列：

创建时间 - 故事生成的时间
最后更新 - 最新故事更新的时间，例如新的目标或更改的结论
标示 - 故事的攻击指标。有关标示的更多信息，请参见使用标示目录
- 点击以在新标签页中打开该事件的检测和响应事件页面。
- 点击以获取关于指示的更多信息。
来源 - 故事中涉及的网络中的 IP 地址、设备名称或 SDP 用户。
目标相似性（仅限最相似故事） - 通过机器学习模型计算的与调查故事的目标相似度（用百分比表示）
共同目标（仅限最相似故事） - 与正在调查的故事共同的目标的 URL 或 IP 地址
关键性 - 卡托对故事的风险分析（值范围从 1（低风险）到 10（高风险））
故事状态 - 值包括：
- 开放 - 故事已生成且未解决
- 待客户回复 - 故事已发送给客户，等待他们回复
- 待分析师 - 等待安全分析师获取更多信息
- 已关闭 - 安全分析师已关闭该故事
- 重新打开 - XOps 生产者检测到与已关闭故事相匹配的新流量，并自动重新打开该故事以供进一步审查。如果在故事首次关闭后检测到交通超过12小时，则重新打开故事。在12小时内，故事不会重新打开，以允许通过缓解或静音处理故事
分析师结论 - 分析师对故事做出的结论
分析师分类 - 分析师定义的威胁类型的详细分类