توضح هذه المقالة كيفية إنشاء قاعدة تكتم قصص XOps حتى لا تظهر في منصة القصص.
ملاحظة
ملاحظة: XOps هو الطبقة التحليلية الموحدة لـ Cato للأمان والعمليات، ويقدم رؤى وإرشادات لحل المشاكل. XOps حل محل XDR، لمزيد من المعلومات، انظر الأسئلة المتكررة حول XOps.
تحلل محركات الربط XOps بيانات الحركة للعثور على تطابقات للتهديدات المحتملة أو تدهور الشبكة. إذا تم التعرف على تطابق، يتم إنشاء قصة في منصة القصص لمساعدتك على فهم وتحليل المشكلة. إذا كنت لا تريد إنشاء قصة، يمكنك تكوين قاعدة إخفاء القصص. هذا يقلل من توليد القصص الإيجابية الكاذبة ويساعدك في التركيز على تحليل التهديدات المحتملة الحقيقية أو مشاكل الشبكة. يمكن إخفاء القصص لفترة زمنية محددة أو غير محدودة
يمكنك إخفاء القصص التي تم إنشاؤها بواسطة هذه المحركات:
-
منع التهديدات
-
صيد التهديدات
-
عمليات الموقع
-
شذوذ الاستخدام
-
شذوذ الأحداث
لكتم القصة، يجب أن تحتوي على تطابق تام أو تحتوي على الشروط المدرجة في قاعدة كتم القصص. على سبيل المثال، إذا كانت القاعدة تحتوي على ٣ نطاقات ولكن القصة تحتوي على ٢ فقط، يتم كتم القصة. إذا كانت القاعدة تحتوي على ٢ نطاق والقصة تحتوي على ٣، فلن يتم كتمها.
ملاحظة
ملاحظة: يمكن لعملاء MDR إنشاء وتحرير قواعد قصص الكتم لمحرك عمليات الموقع. إذا كنت ترغب في تحديد قصص كتم لمحركات أخرى، يرجى التواصل مع mdr@catonetworks.com.
يمكنك تعريف المرور من مورد موثوق لا يُدرج في القصة. على سبيل المثال، تُولّد قصص XOps لاكتشاف محاولات المسح الضوئي المحتملة، لكن مصدر المسح معروف بأنه اختبار اختراق غير ضار. بعد إنشاء قاعدة إخفاء القصص لحركة مرور اختبار الاختراق، لم تعد تُولّد مزيد من القصص لها.
هناك طريقتان لإضافة قواعد إخفاء القصص لقصص منع التهديدات وصيد التهديدات:
-
إنشاء قاعدة في صفحة الاكتشاف والاستجابة
-
إنشاء قاعدة من القصة في قصص العمل. هذه الطريقة مفيدة عندما تلاحظ مرور محدد في القصة تعرف أنه غير ضار
هناك طريقتان لإضافة قواعد إخفاء القصص لقصص شذوذ الاستخدام و شذوذ الأحداث:
-
إنشاء قاعدة في صفحة الاكتشاف والاستجابة
-
إنشاء قاعدة من القصة في قصص العمل. هذه الطريقة مفيدة عندما تلاحظ مرور محدد في القصة تعرف أنه غير ضار
الأقسام التالية تشرح الإعدادات المفيدة المتاحة لقواعد إخفاء القصص لشذوذ الاستخدام و شذوذ الأحداث.
يتعرف محرك شذوذ استخدام XOps على الشذوذات المتعلقة باستخدام غير اعتيادي في التطبيقات، ويولد قصة عند اكتشاف شذوذ. تتيح لك سياسة كتم القصص تكوين قاعدة لقصة شذوذ الاستخدام عن طريق تحديد التطبيقات أو فئات التطبيقات التي يجب على محركات XOps استثناؤها. على سبيل المثال، إذا كنت تعرف أن مستخدمًا محددًا يقوم بتحميل كميات غير معتادة من البيانات على OneDrive كجزء من متطلبات عمله، قم بإنشاء قاعدة تحدد المستخدم كمصدر و OneDrive كتطبيق.
من الممكن أن تتضمن قصة شذوذ الاستخدام أكثر من تطبيق واحد. في هذه الحالة، يتعين أن يشير التطبيق المحدد إلى التطبيق الأعلى في القصة. على سبيل المثال، إذا حددت التطبيق كـ OneDrive، فهذا يعني أنه إذا كان التطبيق الرئيسي في قصة شذوذ الاستخدام هو OneDrive، فلن يقوم محرك XOps بتوليد القصة. ولكن إذا كان التطبيق الأعلى هو تطبيق مختلف مثل Dropbox، وكان لـ OneDrive ثاني أعلى استخدام، فسيتم توليد القصة.
يكتشف محرك شذوذ الأحداث في XOps الشذوذات التي تشمل كيانا على الشبكة يثير عددا غير عادي من أحداث الأمان، ويولد قصة عند اكتشاف شذوذ. تتيح لك سياسة كتم القصص تكوين قاعدة لقصة شذوذ الأحداث عن طريق تحديد أنواع الأحداث التي يجب على محركات XOps استثناؤها. يمكنك بعد ذلك تحديد استثناء الأحداث التي تولدها قواعد معينة أو تهديدات IPS فقط.
على سبيل المثال، إذا قام مستخدم بتوليد عدد كبير غير اعتيادي من أحداث جدار الحماية WAN عند أداء نشاط معرف بأنه غير ضار، قم بإنشاء قاعدة تضبط المستخدم كمصدر وحدد قياس شذوذ الأحداث كنوع الحدث لجدار الحماية WAN. ثم حدد القاعدة داخل قواعد جدار الحماية.
يمكنك إخفاء القصص التي يتم توليدها بواسطة مشاكل شبكة محددة. على سبيل المثال، إذا كنت تعرف أن مزود خدمة إنترنت محلي يخطط لانقطاع، يمكنك إخفاء القصص المولدة بواسطة إشارة انقطاع الموقع خلال فترة الانقطاع.
تولد القصص، ولكن يتم تصفيتها من قصص العمل.
يمكنك تحديد ما إذا كانت القصة قد تم إخفاؤها في عمود المخفاة في جدول زمني للحوادث للقصة.
يمكنك إضافة قواعد كتم القصص لقصص عمليات الموقع من خلال إنشاء قاعدة في صفحة الاكتشاف والاستجابة.
يشرح الجدول التالي العناصر التي يمكنك استخدامها لتعريف الإعدادات لقاعدة إخفاء قصص الاكتشاف والاستجابة. عند تكوين كائنات متعددة في إعداد، يكون هناك علاقة أو بينهما. على سبيل المثال، إذا كان هناك قاعدة مكونة بمصادر تتضمن موقع ومستخدم، تطبق القاعدة عندما يتطابق المرور مع الموقع أو المستخدم.
|
عنصر |
وصف |
|---|---|
|
المنتج |
محرك الكشف والاستجابة أو المحركات التي تنطبق عليها القاعدة. لمزيد من المعلومات حول هذه المحركات وأنواع القصص التي تكتشفها، انظر استخدام كتالوج المؤشرات |
|
رقم المؤشر |
المعرف الخاص بالمؤشر المستخدم بواسطة محركات الكشف والاستجابة. يرتبط كل رقم مؤشر باستعلام محرك الكشف والاستجابة الذي يحدد معايير المرور الخاصة. إذا قمت بتحديد رقم المؤشر، القاعدة تستثني فقط المرور من القصص التي أنشئت بواسطة الاستعلام الخاص بالمحرك المرتبط بذلك رقم المؤشر. إذا لم يتم تعريف رقم المؤشر، يتم استثناء المرور من جميع الاستعلامات المحرك التي تتطابق مع إعدادات القاعدة. لمزيد من المعلومات حول المؤشرات، انظر استخدام كتالوج المؤشرات. |
|
الاتجاه (قصص الحماية من التهديدات، البحث عن التهديد، الاستخدام الشاذ، وقصص الأحداث الشاذة) |
تعريف اتجاه تدفق المرور الذي تنطبق عليه القاعدة. يشمل الاتجاهات:
|
|
الإطار الزمني |
اختر الإطار الزمني الذي تنطبق عليه القاعدة، أو اختر غير محدود لتستمر القاعدة في التطبيق دون انتهاء. عندما يتم تحديد تاريخ انتهاء:
تحديد تاريخ انتهاء هو ممارسة موصى بها للحفاظ على موقف أمني فعال. |
|
المصدر |
مصدر المرور لهذه القاعدة. يمكنك تحديد نوع أو أكثر من الأنواع التالية المصدر:
|
|
الجهاز (قصص الحماية من التهديدات، البحث عن التهديدات، الاستخدام الشاذ، وقصص الأحداث الشاذة) |
نوع الجهاز الذي تنطبق عليه القاعدة، معرّف بواسطة نظام التشغيل. |
|
الوجهة (قصص منع التهديدات، صيد التهديدات، شذوذ الاستخدام، وشذوذ الأحداث) |
وجهة المرور لهذه القاعدة. يمكنك تحديد نوع أو أكثر من الأنواع التالية الوجهة:
للتعريفات الخاصة بهذه الكائنات، انظر المرجع لكائنات القواعد |
|
قياس شذوذ الأحداث (قصص الشذوذ في الأحداث) |
حدد نوع الحدث الذي سيتم إسكاته. بعد تحديد نوع الحدث، يمكنك تحديد اسم قاعدة أو اسم تهديد. يمكنك اختيار أحد الأنواع التالية من الأحداث:
|
بالإضافة إلى الإعدادات المذكورة أعلاه، تُعرض المعلومات التالية لكل قاعدة قصص مسكوتة:
-
الكاتب - اسم المستخدم لمن أنشأ القاعدة.
-
تاريخ الإنشاء - تاريخ إنشاء القاعدة.
لعرض قاعدة قصص الكشف & الاستجابة المسكوتة:
-
من قائمة التنقل، انقر فوق الرئيسية > سياسة الكشف & الاستجابة.
أضف قاعدة قصص مسكوتة جديدة وقم بتكوين الإعدادات التي تحدد حركة المرور التي سيتم تجاهلها بواسطة محركات الكشف & الاستجابة.
عرض التدقيق في القصة في منصة القصص واستخدم لوحة إجراءات القصة لإنشاء قاعدة قصص مسكوتة.
يتم ملء إعدادات القاعدة التالية تلقائيًا استنادًا إلى بيانات القصة:
-
اتجاه
-
المصدر
-
إذا احتوت القصة على أنواع متعددة من البيانات للمصدر، تتم إضافتها جميعًا في إعداد المصدر. على سبيل المثال، إذا حددت القصة IP وموقع كمصدر، فسيتم ملء كلاهما تلقائيًا في قسم المصدر للقاعدة.
-
-
الوجهة - يتم ملؤها تلقائيًا بناءً على الأهداف في القصة
-
إذا حددت القصة أهدافًا متعددة، تتم إضافتها جميعًا في إعداد الوجهة
-
لإنشاء قاعدة قصص مسكوتة من قصة:
-
من قائمة التنقل، انقر فوق الرئيسية > منصة القصص.
-
انقر على القصة لفتح صفحة التدقيق الخاصة بها.
-
انقر على
لفتح لوحة إجراءات القصة.
-
انقر فوق إضافة إلى قصص المسكوتة الجديدة. يفتح لوحة إضافة إلى قاعدة قصص المسكوتة الجديدة.
-
قم بتكوين الإعدادات للقاعدة كما هو موضح أعلاه.
-
انقر فوق حفظ. تمت إضافة القاعدة إلى قاعدة القصص المسكوتة.
-
لعرض قاعدة كتم القصص للكشف والاستجابة، من قائمة التنقل، انقر الصفحة الرئيسية > سياسة الكشف والاستجابة.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.