كتم قصص XOps

تتناول هذه المقالة كيفية إنشاء قاعدة تكتم القصص XOps بحيث لا تظهر في منصة قصص الأحداث.

نظرة عامة

تقوم محركات الترابط XOps بتحليل بيانات الحركة للعثور على تطابقات لتهديدات محتملة أو تدهور في الشبكة. إذا تم تحديد تطابق، يتم توليد قصة في قصص العمل لمساعدتك في فهم وتحليل المشكلة. إذا كنت لا تريد إنشاء قصة، يمكنك تكوين قاعدة كتم القصص. يقلل هذا من تكوين قصص الإيجابيات الكاذبة ويساعدك على التركيز في تحليلك على التهديدات الحقيقية المحتملة أو مشكلات الشبكة. يمكن كتم القصص لفترة محددة أو غير محدودة

يمكنك كتم القصص التي تم إنشاؤها بواسطة هذه المحركات:

  • الوقاية من التهديدات
  • بحث التهديدات
  • عمليات الموقع
  • شذوذ الاستخدام
  • شذوذ الأحداث

لكتم القصة، يجب أن يكون هناك تطابق دقيق أو أن تحتوي على المسندات المدخلة في قاعدة كتم القصص. على سبيل المثال، إذا كانت القاعدة تحتوي على 3 نطاقات ولكن هناك 2 فقط في القصة، فإن القصة تُكتم. إذا كانت القاعدة تحتوي على 2 نطاقين والقصة تحتوي على 3، فإنها لا يتم كتمها. القصص المكتومة لا تُولد افتراضيًا؛ ومع ذلك، يمكن تجاوز ذلك عن طريق اختيارها كشرط.

ملاحظة

ملاحظة: يمكن لعملاء MDR إنشاء وتحرير قواعد كتم القصص لمحرك عمليات الموقع. إذا كنت ترغب في تحديد قصص صامتة لمحركات أخرى، يرجى الاتصال بـ mdr@catonetworks.com.

كتم قصص الوقاية من التهديدات وبحث التهديدات

يمكنك تعريف حركة المرور من مصدر موثوق به والذي يتم استبعاده بعد ذلك من قصة. على سبيل المثال، تُنشأ قصص XOps للكشف عن محاولات الفحص المحتملة، ولكن المصدر معروف بأنها اختبارات اختراق مؤمنة. 

بالنسبة لقصص الوقاية من التهديدات وبحث التهديدات، تُنشأ قصة دائمًا حتى عندما تكون مكتومة. الكتم يطبق علم الكتم على القصة، مما يضمن استبعادها من التقارير وإخفائها من ورشة العمل القصصية عندما يتم تطبيق مرشحات الوقاية من التهديدات أو بحث التهديدات. القصص المكتومة أيضًا لا تُشغّل التحذيرات افتراضيًا وفقًا لسياسة الرد.

هناك طريقتان لإضافة قواعد كتم القصص لقصص منع التهديدات ومطاردة التهديدات:

  • إنشاء قاعدة في صفحة الكشف والاستجابة
  • إنشاء قاعدة من قصة في منصة قصص الأحداث. هذه الطريقة مفيدة عندما تلاحظ حركة مرور معينة في قصة تعلم أنها غير ضارة

كتم قصص الشذوذ في استخدام UEBA وحدث الشذوذ

هناك طريقتان لإضافة قواعد كتم القصص لقصص شذوذ الاستخدام و الشذوذ في الأحداث:

  • إنشاء قاعدة في صفحة الكشف والاستجابة
  • إنشاء قاعدة من قصة في منصة قصص الأحداث. هذه الطريقة مفيدة عندما تلاحظ حركة مرور معينة في قصة تعلم أنها غير ضارة

تصف الأقسام التالية إعدادات مفيدة متاحة لقواعد كتم قصص شذوذ الاستخدام والشذوذ في الأحداث.

فهم إعدادات كتم القصص لشذوذ الاستخدام

يقوم محرك شذوذ الاستخدام XOps بتحديد الشذوذ المتعلق بالاستخدام غير المعتاد في التطبيقات، ويُنشئ قصة عند الكشف عن شذوذ. تتيح لك سياسة كتم القصص تكوين قاعدة لقصة شذوذ الاستخدام عن طريق تحديد التطبيقات أو فئات التطبيقات لمحركات XOps للاستبعاد. على سبيل المثال، إذا كنت تعلم أن مستخدمًا معينًا يرفع كميات غير عادية من البيانات على OneDrive كجزء من متطلبات عمله، فقم بإنشاء قاعدة تم تكوينها بالمستخدم المحدد كـ مصدر وOneDrive كـ تطبيق.

يمكن أن يتضمن قصة شذوذ الاستخدام أكثر من تطبيق واحد. في هذه الحالة، يشير تطبيق المكون إلى التطبيق الأعلى في القصة. على سبيل المثال، إذا قمت بتكوين تطبيق كـ OneDrive، فهذا يعني أنه إذا كان التطبيق الأعلى في قصة شذوذ الاستخدام هو OneDrive، فلن يقوم محرك XOps بتوليد القصة. ومع ذلك، إذا كان التطبيق الأعلى هو تطبيق مختلف مثل Dropbox و OneDrive لديه الاستخدام الثاني الأعلى، فستظل القصة تُنشأ.

فهم إعدادات كتم القصص لقصص شذوذ الأحداث

يقوم محرك شذوذ XOps بالكشف عن الشذوذات التي تتضمن كيانًا على الشبكة يقوم بتفعيل عدد غير معتاد من الأحداث الأمنية، ويُنشئ قصة عند الكشف عن شذوذ. تتيح لك سياسة كتم القصص تكوين قاعدة لقصة شذوذ الأحداث عن طريق تحديد أنواع الأحداث لمحركات XOps للاستبعاد. يمكنك بعد ذلك تحديد استبعاد الأحداث التي تم إنشاؤها بواسطة قواعد معينة أو تهديدات IPS فقط.

على سبيل المثال، إذا كان المستخدم يُنشئ عددًا كبيرًا بشكل غير عادي من أحداث جدار الحماية WAN أثناء أداء نشاط معروف وغير ضار، فقم بإنشاء قاعدة مضبوطة بالمستخدم كـ مصدر وجدار الحماية WAN كنوع حدث مقياس شذوذ الأحداث. ثم حدد القاعدة ضمن قاعدة جدار الحماية WAN.

كتم قصص عمليات الموقع

يمكنك كتم القصص التي تم إنشاؤها بواسطة مشكلات الشبكة المحددة. على سبيل المثال، إذا كنت تعرف أن مزود خدمة الإنترنت المحلي لديه انقطاع مخطط له، يمكنك كتم القصص التي تُنشأ بواسطة إشارات انقطاع الموقع للفترة الزمنية للانقطاع.

بالنسبة لقصص عمليات الموقع، يتم إنشاء قصة دائمًا حتى لو كانت مكتومة. يطبق الكتم علم الكتم على القصة، مما يضمن استبعادها من التقارير وإخفائها عن واجهة قصص العمل عند تطبيق فلتر عمليات الشبكة. القصص المكتومة لا تقوم أيضًا بإرسال تنبيهات بشكل افتراضي وفقًا لسياسة الاستجابة. لعملاء ILMM فقط، يتم كتم هذه الأنواع من القصص بشكل افتراضي عندما لم يتم تسجيل روابط الموقع إلى الخدمة:

  • الموقع متوقف
  • الرابط متوقف
  • رابط WAN البديل متوقف
  • جودة SLA

يمكنك تحديد ما إذا تم كتم قصة في العمود كتم في الجدول الزمني للحوادث الخاصة بالقصة.

Muted.png

يمكنك إضافة قواعد كتم القصص لقصص عمليات الموقع عن طريق إنشاء قاعدة في صفحة الكشف والاستجابة.

المتطلبات المسبقة

يتطلب ترخيص XOps

عناصر قاعدة كتم القصص في التحري والاستجابة

يوضح الجدول التالي العناصر التي يمكنك استخدامها لتعريف إعدادات قاعدة كتم القصص في التحري والاستجابة. عند تكوين عناصر متعددة في إعداد، هناك علاقة OR بينها. على سبيل المثال، إذا كانت هناك قاعدة مكونة تشمل مصادر بما في ذلك موقع ومستخدم، يتم تطبيق القاعدة عندما تتطابق الحركة مع الموقع أو المستخدم.

عنصر

الوصف

منتج

المحرك أو المحركات التي تطبق عليها القاعدة. لمزيد حول هذه المحركات وأنواع القصص التي تكتشفها، انظر استخدام كتالوج الدلالات

معرف الإشارة

المعرف المستخدم من قبل محركات التحري والاستجابة. يرتبط كل معرف إشارة باستعلام محرك التحري والاستجابة الذي يحدد معلمات حركة مرور محددة.

إذا قمت بتعريف معرف إشارة، تستبعد القاعدة الحركة فقط من القصص التي يتم إنشاؤها بواسطة استعلام المحرك المرتبط بهذا معرف الإشارة.

إذا لم يتم تعريف معرف إشارة، تستبعد الحركة من جميع استعلامات المحرك التي تتطابق مع إعدادات القاعدة.

للمزيد حول الدلالات، انظر استخدام كتالوج الدلالات.

اتجاه

(قصص منع التهديدات ومطاردة التهديدات وشذوذ الاستخدام وشذوذ الأحداث)

حدد اتجاه تدفق الحركة التي تنطبق عليها القاعدة. تشمل الاتجاهات:

  • الوارد - حركة مرور إلى شبكتك المنشأة من مصدر خارجي

  • الصادر - حركة مرور من شبكتك إلى مصدر خارجي

  • WANbound - حركة مرور من شبكتك إلى موقع آخر على شبكتك

  • الكل أعلاه

الإطار الزمني

اختر الإطار الزمني الذي تنطبق فيه القاعدة، أو اختر غير محدود لتستمر القاعدة في التطبيق دون انتهاء الصلاحية.

عند تحديد تاريخ انتهاء الصلاحية:

  • بالنسبة لقصص منع التهديدات ومطاردة التهديدات، تنتهي القاعدة في بداية ذلك التاريخ، في المنطقة الزمنية المكونة في إعدادات ملف تعريف المستخدم في تطبيق إدارة Cato.

  • بالنسبة لقصص عمليات الموقع، يمكنك اختيار المنطقة الزمنية التي ينطبق عليها الإطار الزمني.

تحديد تاريخ انتهاء الصلاحية يُعتبر ممارسة موصى بها للحفاظ على وضع أمني فعال.

المصدر

مصدر حركة المرور لهذه القاعدة.

يمكنك اختيار واحد أو أكثر من أنواع المصدر التالية:

  • قصص منع التهديدات ومطاردة التهديدات

    • الموقع

    • IP

    • مجموعة IP

    • المستخدم

    • أي

  • عمليات الموقع

    • الموقع

    • واجهة الشبكة (رابط LAN)

    • رابط WAN

    • نوع اتصال الموقع

    • أي

الجهاز

(قصص الوقاية من التهديدات، مطاردة التهديدات، شذوذ الاستخدام، و شذوذ الأحداث)

نوع الجهاز الذي تنطبق عليه القاعدة، يحدد عن طريق نظام التشغيل.

الوجهة

(الوقاية من التهديدات، مطاردة التهديدات، شذوذ الاستخدام، وقصص شذوذ الأحداث)

وجهة الحركة المرورية لهذه القاعدة.

يمكنك اختيار واحد أو أكثر من أنواع الوجهة التالية:

  • IP

  • URL

  • النطاق

  • FQDN

  • التطبيق

  • فئة التطبيق (لقصص شذوذ الاستخدام فقط)

  • أي

للتعريفات لهذه الكائنات، انظر مرجع لكائنات القواعد

قياس شذوذ الأحداث

(قصص شذوذ الأحداث)

حدد نوع الحدث ليتم تخفيضه. بعد تحديد نوع الحدث، يمكنك تحديد اسم القاعدة أو اسم التهديد.

يمكنك اختيار واحد من أنواع الأحداث التالية:

  • جدار حماية WAN

  • جدار حماية الإنترنت

  • IPS

  • مضاد البرمجيات الضارة

  • مضاد البرمجيات الضارة NG

  • أي

بالإضافة إلى الإعدادات المذكورة أعلاه، يتم عرض المعلومات التالية لكل قاعدة كتم القصص:

  • المؤلف - اسم المستخدم الذي أنشأ القاعدة.
  • تم الإنشاء في - تاريخ إنشاء القاعدة.

عرض قاعدة كتم قصص الكشف والاستجابة

لعرض قاعدة كتم قصص الكشف والاستجابة:

  1. من قائمة التنقل، اضغط على الصفحة الرئيسية > سياسة الكشف والاستجابة.
Detection_Response_Allow_List.png

إنشاء قاعدة كتم القصص في صفحة الكشف والاستجابة

أضف قاعدة كتم قصص جديدة وقم بتكوين الإعدادات التي تحدد الحركة المرورية التي يتم إهمالها بواسطة محركات الكشف والاستجابة.

Detection_Response_Allow_List_Add_to_Allowlist.png

لإنشاء قاعدة كتم قصص الكشف والاستجابة:

  1. من قائمة التنقل، اضغط على الصفحة الرئيسية > سياسة الكشف والاستجابة.
  2. حدد علامة التبويب كتم القصص.
  3. اضغط على جديد. يفتح لوحة إضافة إلى كتم القصص.
  4. قم بتكوين الإعدادات للقاعدة كما هو موضح أعلاه.
  5. اضغط على حفظ. تمت إضافة القاعدة إلى قاعدة كتم القصص.

إنشاء قاعدة كتم القصص من قصة

عرض تحليل القصة في ورشة القصص واستخدام لوحة إجراءات القصة لإنشاء قاعدة كتم القصص.

يتم ملء الإعدادات التالية تلقائيًا بناءً على البيانات من القصة:

  • الاتجاه

  • المصدر

    • إذا احتوت القصة على أنواع متعددة من البيانات للمصدر، يتم إضافتها جميعًا في الإعداد المصدر. على سبيل المثال، إذا حددت القصة IP و موقع للمصدر، فسيتم ملء كلاهما تلقائيًا في قسم المصدر للقاعدة.

  • الوجهة - يتم ملئها تلقائيًا بناءً على الأهداف من القصة

    • إذا حددت القصة أهدافًا متعددة كأهداف، يتم إضافتها جميعًا في إعداد الوجهة

لإنشاء قاعدة كتم القصص من قصة:

  1. من قائمة التنقل، اضغط على الصفحة الرئيسية > ورشة العمل للقصص.
  2. اضغط على القصة لفتح صفحة التحليل العميق للقصة.
  3. انقر فوق More_icon.png لفتح لوحة إجراءات القصة.

  4. اضغط على إضافة إلى كتم القصص الجديدة. يفتح لوحة إضافة إلى قاعدة كتم القصص الجديدة.

    Detection_Response_Allow_List_from_Story.png
  5. قم بتكوين الإعدادات للقاعدة كما هو موضح أعلاه.
  6. اضغط على حفظ. تمت إضافة القاعدة إلى قاعدة كتم القصص.
  7. لعرض قاعدة كتم قصص الكشف والاستجابة، من قائمة التنقل، اضغط على الصفحة الرئيسية > سياسة الكشف والاستجابة.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات