إخفاء قصص الكشف والاستجابة (XDR)

تتناول هذه المقالة كيفية إنشاء قاعدة تخفي قصص الاكتشاف والاستجابة (XDR) بحيث لا تظهر في مساحة العمل الخاصة بالقصص.

نظرة عامة

تحلل محركات ربط الاكتشاف والاستجابة بيانات المرور للعثور على تطابقات للتهديدات المحتملة أو تدهور الشبكة. إذا تم تحديد تطابق، يتم إنشاء قصة في ورشة عمل القصص لمساعدتك في فهم وتحليل القضية. إذا كنت لا تريد إنشاء قصة، يمكنك تكوين قاعدة إخفاء القصص. هذا يقلل من توليد القصص الإيجابية الكاذبة ويساعدك في التركيز على تحليل التهديدات المحتملة الحقيقية أو مشاكل الشبكة. يمكن إخفاء القصص لفترة زمنية محددة أو غير محدودة

يمكنك إخفاء القصص التي تم إنشاؤها بواسطة هذه المحركات:

  • منع التهديدات

  • صيد التهديدات

  • XDR الشبكة

  • شذوذ الاستخدام

  • شذوذ الأحداث

لكتم القصة، يجب أن تحتوي على تطابق تام أو تحتوي على الشروط المدرجة في قاعدة كتم القصص. على سبيل المثال، إذا كانت القاعدة تحتوي على ٣ نطاقات ولكن القصة تحتوي على ٢ فقط، يتم كتم القصة. إذا كانت القاعدة تحتوي على ٢ نطاق والقصة تحتوي على ٣، فلن يتم كتمها.

ملاحظة

ملاحظة: يمكن لعملاء MDR إنشاء وتعديل قواعد كتم القصص لمحرك Network XDR. إذا كنت ترغب في تعريف قصص مكتومة لمحركات أخرى، يرجى الاتصال بـmdr@catonetworks.com.

كتم قصص الحماية من التهديدات والبحث عنها

يمكنك تعريف المرور من مورد موثوق لا يُدرج في القصة. على سبيل المثال، يتم توليد قصص XDR للكشف عن محاولات المسح الضوئي المحتملة، ولكن مصدر المسح معروف بأنه اختبار اختراق غير ضار. بعد إنشاء قاعدة إخفاء القصص لحركة مرور اختبار الاختراق، لم تعد تُولّد مزيد من القصص لها.

هناك طريقتان لإضافة قواعد إخفاء القصص لقصص منع التهديدات وصيد التهديدات:

  • إنشاء قاعدة في صفحة الكشف والاستجابة

  • إنشاء قاعدة من القصة في قصص العمل. هذه الطريقة مفيدة عندما تلاحظ مرور محدد في القصة تعرف أنه غير ضار

كتم قصص استخدام الأحداث الشاذة وقصص الأحداث الشاذة

هناك طريقتان لإضافة قواعد إخفاء القصص لقصص شذوذ الاستخدام و شذوذ الأحداث:

  • إنشاء قاعدة في صفحة الكشف والاستجابة

  • إنشاء قاعدة من القصة في قصص العمل. هذه الطريقة مفيدة عندما تلاحظ مرور محدد في القصة تعرف أنه غير ضار

الأقسام التالية تشرح الإعدادات المفيدة المتاحة لقواعد إخفاء القصص لشذوذ الاستخدام و شذوذ الأحداث.

فهم إعدادات كتم القصص للاستخدام الشاذ

محرك شذوذ الاستخدام XDR يحدد الشذوذات المتعلقة بالاستخدام غير المعتاد في التطبيقات، ويولد قصة عند اكتشاف الشذوذ. سياسة إخفاء القصص تتيح لك تكوين قاعدة لقصة شذوذ الاستخدام بتحديد التطبيقات أو فئات التطبيقات التي يستثنيها محركات XDR. على سبيل المثال، إذا كنت تعرف أن مستخدمًا محددًا يقوم بتحميل كميات غير معتادة من البيانات على OneDrive كجزء من متطلبات عمله، قم بإنشاء قاعدة تحدد المستخدم كمصدر و OneDrive كتطبيق.

من الممكن أن تتضمن قصة شذوذ الاستخدام أكثر من تطبيق واحد. في هذه الحالة، يتعين أن يشير التطبيق المحدد إلى التطبيق الأعلى في القصة. على سبيل المثال، إذا قمت بتكوين التطبيق كـ OneDrive، فهذا يعني أنه إذا كان التطبيق الأعلى في قصة شذوذ الاستخدام هو OneDrive، فلن يولد المحرك XDR القصة. ولكن إذا كان التطبيق الأعلى هو تطبيق مختلف مثل Dropbox، وكان لـ OneDrive ثاني أعلى استخدام، فسيتم توليد القصة.

فهم إعدادات كتم القصص للأحداث الشاذة

محرك شذوذ الأحداث XDR يكتشف الشذوذات التي تتضمن كيانًا على الشبكة يثير عددًا غير عادي من الأحداث الأمنية، ويولد قصة عند اكتشاف الشذوذ. سياسة إخفاء القصص تتيح لك تكوين قاعدة لقصة شذوذ الأحداث بتحديد أنواع الأحداث التي تستثنيها محركات XDR. يمكنك بعد ذلك تحديد استثناء الأحداث التي تولدها قواعد معينة أو تهديدات IPS فقط.

على سبيل المثال، إذا قام مستخدم بتوليد عدد كبير غير اعتيادي من أحداث جدار الحماية WAN عند أداء نشاط معرف بأنه غير ضار، قم بإنشاء قاعدة تضبط المستخدم كمصدر وحدد قياس شذوذ الأحداث كنوع الحدث لجدار الحماية WAN. ثم حدد القاعدة داخل قواعد جدار الحماية.

كتم قصص الشبكة

يمكنك إخفاء القصص التي يتم توليدها بواسطة مشاكل شبكة محددة. على سبيل المثال، إذا كنت تعرف أن مزود خدمة إنترنت محلي يخطط لانقطاع، يمكنك إخفاء القصص المولدة بواسطة إشارة انقطاع الموقع خلال فترة الانقطاع.

تولد القصص، ولكن يتم تصفيتها من قصص العمل.

يمكنك تحديد ما إذا كانت القصة قد تم إخفاؤها في عمود المخفاة في جدول زمني للحوادث للقصة.

Muted.png

يمكنك إضافة قواعد كتم القصص لقصص الشبكة بإنشاء قاعدة في صفحة الكشف والاستجابة.

المتطلبات الأساسية

الأنواع التالية من القصص تتطلب ترخيص XDR Pro أو MDR:

  • صيد التهديدات

  • شذوذ الاستخدام

  • الشذوذ في الأحداث

العناصر في قاعدة كتم قصص الكشف والاستجابة

يشرح الجدول التالي العناصر التي يمكنك استخدامها لتعريف الإعدادات لقاعدة إخفاء قصص الاكتشاف والاستجابة. عند تكوين كائنات متعددة في إعداد، يكون هناك علاقة أو بينهما. على سبيل المثال، إذا كان هناك قاعدة مكونة بمصادر تتضمن موقع ومستخدم، تطبق القاعدة عندما يتطابق المرور مع الموقع أو المستخدم.

عنصر

وصف

المنتج

محرك الكشف والاستجابة أو المحركات التي تنطبق عليها القاعدة. لمزيد من المعلومات حول هذه المحركات وأنواع القصص التي تكتشفها، راجع استخدام دليل المؤشرات

رقم المؤشر

المعرف الخاص بالمؤشر المستخدم بواسطة محركات الكشف والاستجابة. يرتبط كل رقم مؤشر باستعلام محرك الكشف والاستجابة الذي يحدد معايير المرور الخاصة.

إذا قمت بتحديد رقم المؤشر، القاعدة تستثني فقط المرور من القصص التي أنشئت بواسطة الاستعلام الخاص بالمحرك المرتبط بذلك رقم المؤشر.

إذا لم يتم تعريف رقم المؤشر، يتم استثناء المرور من جميع الاستعلامات المحرك التي تتطابق مع إعدادات القاعدة.

لمزيد من المعلومات حول المؤشرات، راجع استخدام دليل المؤشرات.

الاتجاه

(قصص الحماية من التهديدات، البحث عن التهديد، الاستخدام الشاذ، وقصص الأحداث الشاذة)

تعريف اتجاه تدفق المرور الذي تنطبق عليه القاعدة. يشمل الاتجاهات:

  • الوارد - المرور إلى شبكتك من مصدر خارجي

  • الصادر - المرور من شبكتك إلى مصدر خارجي

  • متجه إلى الشبكة الواسعة - المرور من شبكتك إلى موقع آخر في شبكتك

  • الكل مما سبق

الإطار الزمني

اختر الإطار الزمني الذي تنطبق عليه القاعدة، أو اختر غير محدود لتستمر القاعدة في التطبيق دون انتهاء.

عندما يتم تحديد تاريخ انتهاء:

  • بالنسبة لقصص الحماية من التهديدات والبحث عن التهديدات، تنتهي القاعدة في بداية ذلك التاريخ، في المنطقة الزمنية التي تم تكوينها في إعدادات الملف الشخصي في تطبيق إدارة كاتو.

  • بالنسبة لقصص الشبكة، يمكنك اختيار المنطقة الزمنية التي ينطبق عليها الإطار الزمني.

تحديد تاريخ انتهاء هو ممارسة موصى بها للحفاظ على موقف أمني فعال.

المصدر

مصدر المرور لهذه القاعدة.

يمكنك تحديد نوع أو أكثر من الأنواع التالية المصدر:

  • قصص الحماية من التهديدات والبحث عن التهديدات

    • الموقع

    • IP

    • نطاق IP

    • المستخدم

    • أي

  • قصص الشبكة

    • الموقع

    • واجهة الشبكة (رابط LAN)

    • رابط الشبكة الواسعة

    • نوع اتصال الموقع

    • أي

الجهاز

(قصص الحماية من التهديدات، البحث عن التهديدات، الاستخدام الشاذ، وقصص الأحداث الشاذة)

نوع الجهاز الذي تنطبق عليه القاعدة، معرّف بواسطة نظام التشغيل.

الوجهة

(قصص الحماية من التهديدات، البحث عن التهديدات، الاستخدام الشاذ، وقصص الأحداث الشاذة)

وجهة المرور لهذه القاعدة.

يمكنك تحديد نوع أو أكثر من الأنواع التالية الوجهة:

  • IP

  • URL

  • المجال

  • اسم المجال المؤهل بالكامل

  • التطبيق

  • فئة التطبيق (لقصص الاستخدام الشاذ فقط)

  • أي

للتعريفات الخاصة بهذه الأشياء، راجع مرجع لأشياء القاعدة

قياس شذوذ الأحداث

(قصص الشذوذ في الأحداث)

حدد نوع الحدث الذي سيتم إسكاته. بعد تحديد نوع الحدث، يمكنك تحديد اسم قاعدة أو اسم تهديد.

يمكنك اختيار أحد الأنواع التالية من الأحداث:

  • جدار حماية WAN

  • جدار حماية الإنترنت

  • IPS

  • مكافحة البرامج الضارة

  • مكافحة البرامج الضارة NG

  • أي

بالإضافة إلى الإعدادات المذكورة أعلاه، تُعرض المعلومات التالية لكل قاعدة قصص مسكوتة:

  • الكاتب - اسم المستخدم لمن أنشأ القاعدة.

  • تاريخ الإنشاء - تاريخ إنشاء القاعدة.

عرض قاعدة قصص الكشف & الاستجابة المسكوتة

لعرض قاعدة قصص الكشف & الاستجابة المسكوتة:

  1. من قائمة التنقل، انقر فوق الرئيسية > سياسة الكشف & الاستجابة.

Detection_Response_Allow_List.png

إنشاء قاعدة قصص مسكوتة في صفحة الكشف & الاستجابة

أضف قاعدة قصص مسكوتة جديدة وقم بتكوين الإعدادات التي تحدد حركة المرور التي سيتم تجاهلها بواسطة محركات الكشف & الاستجابة.

Detection_Response_Allow_List_Add_to_Allowlist.png

لإنشاء قاعدة قصص الكشف & الاستجابة المسكوتة:

  1. من قائمة التنقل، انقر فوق الرئيسية > سياسة الكشف & الاستجابة.

  2. حدد علامة التبويب قصص مسكوتة.

  3. انقر فوق جديد. يفتح لوحة إضافة إلى القصص المسكوتة.

  4. قم بتكوين الإعدادات للقاعدة كما هو موضح أعلاه.

  5. انقر فوق حفظ. تمت إضافة القاعدة إلى قاعدة القصص المسكوتة.

إنشاء قاعدة قصص مسكوتة من قصة

ملاحظة

ملاحظة: هذا يدعم فقط قصص منع التهديدات وصيد التهديدات

عرض التدقيق في القصة في منصة القصص واستخدم لوحة إجراءات القصة لإنشاء قاعدة قصص مسكوتة.

يتم ملء إعدادات القاعدة التالية تلقائيًا استنادًا إلى بيانات القصة:

  • اتجاه

  • المصدر

    • إذا احتوت القصة على أنواع متعددة من البيانات للمصدر، تتم إضافتها جميعًا في إعداد المصدر. على سبيل المثال، إذا حددت القصة IP وموقع كمصدر، فسيتم ملء كلاهما تلقائيًا في قسم المصدر للقاعدة.

  • الوجهة - يتم ملؤها تلقائيًا بناءً على الأهداف في القصة

    • إذا حددت القصة أهدافًا متعددة، تتم إضافتها جميعًا في إعداد الوجهة

لإنشاء قاعدة قصص مسكوتة من قصة:

  1. من قائمة التنقل، انقر فوق الرئيسية > منصة القصص.

  2. انقر على القصة لفتح صفحة التدقيق الخاصة بها.

  3. اضغط More_icon.png لفتح لوحة إجراءات القصة.

  4. انقر فوق إضافة إلى قصص المسكوتة الجديدة. يفتح لوحة إضافة إلى قاعدة قصص المسكوتة الجديدة.

    Detection_Response_Allow_List_from_Story.png

  5. قم بتكوين الإعدادات للقاعدة كما هو موضح أعلاه.

  6. انقر فوق حفظ. تمت إضافة القاعدة إلى قاعدة القصص المسكوتة.

  7. لعرض قاعدة كتم القصص للكشف والاستجابة، من قائمة التنقل، انقر الصفحة الرئيسية > سياسة الكشف والاستجابة.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات