入门 XOps

本文描述了使用 Cato XOps 平台调查威胁的最佳实践。

概述

Cato XOps平台使安全运营和网络运维团队能够利用AI和自动化来监控组织的网络,以应对安全威胁和网络性能问题。 XOps 将无法管理的大量原始安全和网络事件转变为可消费的、跨职能的和可操作的故事。

本文介绍了如何充分利用 XOps 的最佳实践,以显著增强组织的安全监控和威胁修复能力。 首先,我们讨论如何配置集成以扩展XOps功能,然后我们描述如何在故事工作台中调查一个事件的端到端工作流程,包括以下步骤:

  1. 配置XOps集成
  2. 识别最重要的事件以专注
  3. 开始调查的步骤
  4. 设定判定并修正威胁

XOps设置集成

为最大化 XOps 平台的效用,我们建议配置支持的集成,以扩大 XOps 故事的生产者数量和类型。 我们建议设置以下一种端点安全集成,帮助您更完整地了解潜在威胁,并在统一的XOps 平台上进行网络和端点的调查。 有关XOps生产者的完整列表,请参见欢迎使用Cato XOps服务

  • Microsoft Defender for Endpoint连接器 - 使用Defender for Endpoint的客户可以利用Microsoft API集成Defender警报数据并为端点设备生成XOps事件。 有关此集成的更多信息,请参见Microsoft Defender for Endpoint Alerts: Configuring theXOps Integration

  • SentinelOne警报 - 使用SentinelOne的客户可以集成来自SentinelOne EDR的数据,为端点设备生成事件。 SentinelOne 生产者通过在 90 天内根据代理 UUID(设备 ID)和威胁文件哈希关联 SentinelOne EDR 事件创建故事。 这些故事包括 SentinelOne检测到的事件的所有相关证据。

    有关集成SentinelOne警报的更多信息,请参见SentinelOne EDR:配置XOps集成

  • CrowdStrike 警报 - 使用 CrowdStrike 的客户可以根据事件 ID 集成来自 CrowdStrike 检测的数据。 这些故事包括 CrowdStrike 确定的检测的所有相关证据。

    有关集成CrowdStrike警报的更多信息,请参见CrowdStrike:配置XOps集成

  • Cato端点保护 - Cato EPP解决方案与CatoXOps本地集成以生成端点设备事件,无需配置连接器。 有关此集成的更多信息,请参见Cato端点保护 (EPP): 配置XOps集成

识别最重要的事件

在故事工作平台上选择合适的故事进行研究是有效使用 XOps 平台的关键第一步。 您可以使用工作台中提供的工具和信息快速识别需要调查的最高优先级故事。 我们建议采取以下步骤:

  1. 分组故事 - 按组选项可以让您快速了解帐户中的不同类型的故事,并指示网络上的特定感兴趣的项目,如来源或用户。 以下是有用的 按组 选项示例:

    • 来源来源IP - 快速查看事件中的用户、设备和IP地址
    • 生产者 - 快速查看检测到的事件类型。 有关不同类型生产者的更多信息,请参见欢迎使用CatoXOps服务
    • 指示 - 获取已检测攻击的特定指示的概览

    我们建议循环浏览不同的 按组 选项,以从不同角度快速了解网络上的故事,帮助您识别需要关注的特定调查区域。

    Stories_Workbench_Grouping2.png
  2. 按严重程度优先排序 - 先关注严重程度评分最高的事件。 这些是可能对您的网络产生最显著影响的潜在威胁。 您可以点击严重程度列标题按严重程度排序事件,也可以筛选特定严重程度级别的事件。 另外,当使用按组分组选项时,每个组都会显示该组的高严重程度事件数量。

开始调查

选择要调查的事件后,您可以单击事件进入检测和响应事件概述页面深入查看详细信息。 我们建议采取以下步骤以初步了解故事中发生的情况:

  1. 生成 AI 摘要 - 详细信息 小部件包含一个工具,您可以使用它创建由 AI 生成的自然语言故事描述,提供丰富的上下文并帮助您快速评估故事。 通过点击生成 AI 摘要按钮生成摘要。

    XDR_Core_Story_Summary.png

  2. 检查流量是否被阻止 - 目标操作 表格显示与故事中涉及的每个目标相关的事件,包括是否由 IPS 等安全服务对流量采取了 阻止 操作。 如果对目标的部分流量未被阻止,那么故事的风险等级会更高。 即使目标的所有流量都被阻止,也可能与正在进行的威胁有关,这需要进一步调查。

    XDR_Core_Target_Actions.png

  3. 评估目标 - 目标 表格显示与故事相关的您网络站点之外的潜在恶意来源的数据。 我们建议在您开始调查时关注以下列:

    • 恶意分数告诉您目标是否恶意的可能性,依据Cato威胁情报的机器学习算法。 分数范围从0(良性)到1(恶意)
    • 目标链接通过查询各种外部威胁情报来源帮助您了解目标声誉
    XDR_Core_Targets_table.png
  4. 使用 XOps 办法 - Cato XOps安全办法提供了一种结构化的方法来调查特定类型的事件。 它们会引导您完成调查过程,并帮助您识别操作项目。 对于具有相关办法的事件,您可以在详细信息微件中找到办法链接。 XOps安全办法也可以在这里查看
  5. 使用评论 - 如果事件调查包括团队成员之间的合作,请使用评论来记录已完成的工作,并为下一位研究事件的分析师提供重要信息和背景。 有关使用评论的更多信息,请参阅管理XOps事件调查

设定判定并采取修正步骤

故事动作 面板允许您在调查结束时执行关键动作并记录重要信息。 一些分析师在没有设置结论的情况下关闭故事,这是一个错误,它失去了调查过程的许多好处。 当您设置结论时,您会记录有关故事的有意义的信息供将来参考,并可以了解修复的推荐动作。 这是在您确定设备已被已知漏洞的利用尝试攻陷后的设置结论与进行基本修复步骤的示例工作流程:

  1. 点击 动作 > 管理故事 打开故事动作面板。

    XDR_Comment_buttons.png
  2. 分析师判定设为恶意
  3. 定义威胁的严重程度

  4. 定义威胁的 类型利用尝试,如果可能,还需定义威胁的更具体的 分类。 使用 附加信息 字段记录有关调查过程或结果的详细信息。

    XDR_Core_Example_Verdict.png

  5. 遵循 推荐操作,包括:

    1. 创建防火墙规则以阻止您在事件中识别的恶意目标和来源。
    2. 更新设备软件以修补漏洞并避免未来的攻击。
  6. 如果识别到被泄露的用户,您可以撤销用户的远程会话以防止访问网络。 有关撤销远程会话的更多信息,请参阅撤销远程用户会话
  7. 将事件的状态设为已关闭

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论