在 XOps 故事中缓解威胁

本文讨论了如何在一个XOps事件中减轻威胁。

概述

XOps 故事通常涉及从特定用户或目标(如 IP 地址或 FQDN)发起的可疑活动。 例如,一个故事可能指示某个用户的远程会话被入侵,或者设备正在与一个可疑的网络钓鱼域通信。 故事概览页在故事工作台中让您可以通过以下方式有效缓解这两种威胁:

  • 撤销用户会话:您可以直接从故事中撤销用户会话。 这将用户注销并提示其通过客户端登录界面重新进行身份验证,确保只有合法用户才能重新获得访问权限。 如果用户在缓解时未连接,其身份验证令牌将被撤销,重新连接时需要重新进行身份验证。

  • 将目标添加到阻止列表:您可以将可疑目标添加到您可以纳入阻止列表策略的容器中。 这确保任何连接到 Cato 的用户都无法访问该目标。

    容器是用户定义的类别,帮助您管理项目群组,例如IP地址或完全限定域名(FQDN)。 一旦创建容器,它就可以添加到带有阻止操作的防火墙规则中。 只有当容器包含在防火墙规则中时,可疑目标才会被阻止。 当您从 XOps 故事中缓解威胁时,可以将目标添加到现有容器或创建新容器。 用户仍可以访问未包含在防火墙规则中的容器中的目标。

用例 - 不寻常的用户活动

示例公司的分析师在概览页面中调查一个 XOps 故事,发现有用户正在向文件共享应用上传大量数据。 他们不确定上传活动是否是正当的。 分析师进一步注意到,此次上传活动使用的用户代理对于该用户来说是异常的,表明可能存在对手窃取凭证的情况。 因此,他们决定撤销用户会话以强制设备重新进行身份验证。 分析师可以在确认只有合法认证用户连接到网络后继续进行调查。

用例 - 恶意软件攻击

某位安全分析师在概览页面中调查了一则 XOps 故事,并识别出一个与恶意软件相关联的 IP 地址。 经过进一步调查,分析师确认这是已知恶意行为者发起的攻击。

分析师将目标添加到公司包含在互联网防火墙规则中的可疑 IP 地址容器中,并使用阻止操作。

该威胁得到遏制,因为没有其他用户能够访问该 IP 地址。

缓解 XOps 故事中的威胁

在故事概览页面中,从 操作 菜单中缓解威胁。

Placeholder.png

要缓解威胁:

  1. 在故事概览中,点击操作按钮。

  2. 选择要采取的缓解操作:

    • 要撤销用户,请点击撤销用户会话撤销用户会话面板将打开。 选择您想要撤销活动会话的用户。 面板将自动显示故事中标识的用户。

    • 要将目标添加到阻止列表,请单击添加目标到阻止列表. 选择要缓解的目标,然后选择要将其添加到的现有容器,或点击创建新容器以创建新容器。 确保容器包含在防火墙规则中。

  3. (可选)添加备注。

  4. 确认您的操作。

在操作中心审查缓解措施

主页 > 检测和响应策略页面上的操作中心选项卡让您可以审查您的账户中进行的XOps缓解操作。

XDR_Action_Center.png

操作中心显示每个缓解操作的以下信息:

  • 时间 - 缓解操作发送的时间戳

  • 操作 - 缓解操作的描述

  • 主题 - 用户执行该操作

  • 状态 - 操作的状态。 对于将目标添加到阻止列表操作,这些是状态值:

    • 成功 - 撤销会话的请求已发送到 Cato 用户服务

    • 失败 - 撤销会话请求时出现问题

  • 作者 - 执行该操作的管理员

  • 触发器 - 发送操作的故事的故事ID。 点击以打开故事的概览页面

  • 备注 - 管理员输入的可选备注

已知限制

  • 撤销用户会话 操作仅适用于使用Cato客户端连接到网络的远程用户。 不支持站点后面的用户

  • 撤销用户会话操作对于识别用户的故事有效,这些故事由以下生产者之一生成:

    • 威胁预防

    • 威胁猎取

    • 事件异常

    • 使用异常

    • Cato 终端警报

  • 用户会话的撤销可能需要长达 10 分钟

  • 在将容器添加到阻止防火墙规则和目标被阻止之间可能会有短暂的延迟

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论