إنشاء سياسة الاستجابة لقصص XOps

تشرح هذه المقالة كيفية استخدام webhooks وإشعارات أخرى مع سياسة الاستجابة XOps التي تحدد متى يتم إشعارك بالقصص XOps الجديدة والمحدثة، ومتى يتم توليد الأحداث.

للمزيد من المعلومات عن قصص XOps، انظر مراجعة قصص الكشف والاستجابة XOps في منصة القصص

نظرة عامة

تساعد سياسة الاستجابة في مراقبة قصص XOps من خلال تحديد متى يتم إرسال إشعارات للقصص إلى المدراء والمحللين، ومتى يتم توليد الأحداث للقصص. يمكنك إنشاء قواعد تحدد معايير القصة لإرسال الإشعارات وتوليد الأحداث، ويمكنك استخدام مجموعات الاشتراك، قوائم البريد، ودمج الطرف الثالث لتكوين أي المدراء يستلمون الإشعارات.

على سبيل المثال، يمكنك إنشاء قواعد ترسل إشعارات:

  • إذا كانت خطورة القصة عالية

  • عندما يتم إنشاء قصص جديدة لمصدر محدد (مثل موقع أو نطاق IP)

  • عندما تتحدث الأهداف في القصة

  • لقصص الأمن مع مؤشر محدد للهجوم

  • لعمليات الموقع لمشاكل محددة، مثل انقطاع الموقع أو الخط

ملاحظة

ملاحظة: بشكل افتراضي، لا يتم إرسال الإشعارات لعمليات الموقع التي تتطابق مع قاعدة إسكات القصص.

توليد الأحداث لقصص XOps وتصديرها لخدمات الطرف الثالث

افتراضياً، لا يتم توليد أحداث القصص XOps. تُولَد الأحداث فقط وفق القواعد المكونة. عند تعريف قواعد تولد أحداثًا لقصص XOps، يمكنك مشاهدتها في صفحة الأحداث، ولمزيد من المعلومات، انظر إلى تحليل الأحداث في شبكتك.

يمكنك أيضًا دمج الأحداث لقصص XOps مع خدمات الطرف الثالث وعمليات العمل الحالية لديك.

تعرض صفحة الأحداث عددًا محددًا من الحقول لكل حدث. للوصول إلى البيانات الكاملة للقصة، قم بتصديرها كملف JSON متوفر في حقل additional_data. يمكنك أيضًا إنشاء فلتر لتصدير البيانات المطلوبة فقط. للمزيد عن حقول أحداث XOps، انظر إلى حقول أحداث Cato وAPI لأحداث قصة XOps.

إضافة قواعد إلى سياسة الاستجابة XOps

عندما تضيف قاعدة إلى سياسة الاستجابة، قم بتكوين كل قسم في القاعدة المطلوب لتحديد الشروط لإرسال إشعار أو توليد حدث.

على سبيل المثال، إذا كنت تريد توليد حدث لكل قصة XOps يتم إنشاؤها أو تحديثها، قم بتكوين قاعدة مع المصدر كـ أي، و المشغل كـ القصة التي تم إنشاؤها أو تحديثها.

ملاحظة

ملاحظة: بالنسبة للعملاء MDR، يرجى الاتصال بـ لتحديد قواعد سياسة الاستجابة لحسابك. يمكن تجاوز ذلك عن طريق اختيارها كشرط.

Response_Policy.png

إعدادات قواعد سياسة الاستجابة

تحتوي قاعدة سياسة الاستجابة على الأقسام التالية:

  • الاسم - الاسم الذي تعينه للقاعدة

  • الوصف للقاعدة

  • المصدر - مصدر الحركة على شبكتكية المعنية في القصة. على سبيل المثال: موقع، عنوان IP، أو مستخدم

    للمزيد عن عناصر المصدر لقاعدة، انظر مرجع لكائنات القواعد.

  • المعايير - خصائص القصة لمطابقة القاعدة. عند إضافة المعايير، اختر نوع المعيار، القيمة، والمشغل الذي يحدد العلاقة بين المعيار والقيمة. على سبيل المثال: الخطورة | أكبر من | 6.

    تشمل معايير القصة القابلة للتكوين على ما يلي: الأهمية، الشدة، المؤشر، حكم المحلل، المنتج، الأهداف المضافة، والحالة. للمزيد عن هذه معايير القصص، انظر مراجعة قصص الكشف والاستجابة XOps في منصة القصص

    • المنتج هو المحرك الذي يولد القصة. للمزيد عن عمليات الموقع، انظر مراجعة قصص عمليات الموقع للمزيد عن محركات XOps وأنواع التراخيص المطلوبة لها، انظر استخدام فهرس الإشارات

    • يمكنك تكوين قيم متعددة للمعايير التالية: المؤشر، حكم المحلل، الشدة، والمنتج. عند إضافة قيم متعددة إلى إدخال معيار واحد، هناك علاقة OR بينها.

  • المشغل - يحدد متى يتحقق محرك سياسة الاستجابة من القصة لمطابقة القاعدة. تشمل الإعدادات:

    • القصة التي تم إنشاؤها - يتحقق محرك سياسة الاستجابة من وجود تطابق للقاعدة عندما يتم إنشاء قصة جديدة. القصص الموجودة التي يتم تحديثها لا يتم تحققها لمطابقة القاعدة.

    • القصة التي تم إنشاؤها أو تحديثها - يتحقق محرك سياسة الاستجابة من وجود تطابق للقاعدة عند إنشاء قصة جديدة أو تحديث قصة موجودة. يمكن أن تتضمن التحديثات تغييرات في الحالة، الحكم التحليلي، الشدة، والأهداف في القصة.

  • الاستجابة - اختر الاستجابة عند مطابقة القاعدة. يمكن أن تتضمن الردود توليد حدث والإشعارات المحددة بواسطة مجموعة الاشتراك، قائمة المراسلة أو تكامل تنبيه ويب هوك.

إنشاء قواعد جديدة لسياسة الاستجابة

قم بإنشاء قاعدة جديدة لسياسة الاستجابة وقم بتكوين إعداداتها لتحديد متى يتم إرسال إشعار للقصة.

Response_Policy_New_rule_panel.png

لإنشاء قاعدة جديدة لسياسة الاستجابة:

  1. من قائمة التنقل، انقر الرئيسية > سياسة الكشف والاستجابة.

  2. اختر علامة التبويب سياسة الاستجابة.

  3. انقر جديد. فتح لوحة الإضافة إلى سياسة الاستجابة.

  4. أدخل اسم للقاعدة.

  5. في قسم المصدر، اختر النوع (على سبيل المثال: المضيف، نطاق IP، الموقع) ثم اختر واحد أو أكثر من الكائنات لمصدر القصة لهذه القاعدة (أو يمكنك إدخال عنوان IP).

    القيمة الافتراضية للمصدر هي أي.

  6. (اختياري) حدد المعايير التي تحدد الخصائص التي يجب أن تتوافر في القصة لمطابقة القاعدة.

  7. اختر المشغل للقاعدة. يمكنك تكوين ما إذا كان يجب أن يكون المحفز عند إنشاء القصة أو تحديثها أو كليهما.

  8. اختر الاستجابة. إذا اخترت إرسال إشعار، قم بتحديد مجموعة الاشتراك، قائمة البريد، أو تكامل الجيل لتتلقى الإشعار.

  9. انقر حفظ. تمت إضافة القاعدة إلى السياسة.

إنشاء دمج Webhook

لإرسال بيانات من قصص XOps إلى طرف ثالث باستخدام دمج Webhook، تحتاج إلى:

  1. تكوين دمج الطرف الثالث في CMA

  2. قم بإنشاء القاعدة المطلوبة في سياسة الاستجابة

الخطوة 1: تكوين دمج الطرف الثالث

يمكنك تعريف دمج Webhook لإرسال تنبيهات إلى منصات الطرف الثالث مثل ServiceNow، Jira، وSlack، وإنشاء تدفقات أتمتة قائمة على التنبيهات. يدعم Webhooks من Cato تخصيص رؤوس HTTP والرسائل في التنبيه لتلبية احتياجات محددة لمنظمتك. لمزيد من المعلومات، انظر إرسال إشعارات CMA عبر ويب هوك.

الخطوة 2: إنشاء القاعدة المطلوبة

بعد تعريف دمج الطرف الثالث، قم بإنشاء قاعدة في سياسة الاستجابة.

Response.png

لإنشاء قاعدة لدمج طرف ثالث:

  1. اتبع الخطوات من 1 إلى 7 في إنشاء قواعد سياسة الاستجابة الجديدة.

  2. في قسم الاستجابة، اختر إرسال إشعار.

  3. في القائمة المنسدلة إرسال إشعار إلى، اختر تكامل.

  4. في القائمة المنسدلة التكامل، اختر التكامل الذي تريد استخدامه في القاعدة.

  5. انقر حفظ. تمت إضافة القاعدة إلى السياسة.

حقول الحدث وواجهة برمجة التطبيقات لـ Cato لأحداث قصة XOps

تُظهر صفحة الأحداث جميع أحداث قصة XOps التي تم إنشاؤها لحسابك. يمكنك تصفية الصفحة لعرض الأحداث باستخدام نوع الحدث الاكتشاف والاستجابة.

فيما يلي الحقول ذات الصلة بأحداث القصة. يعرض استعلام eventsFeed الخاص بواجهة برمجة تطبيقات Cato بيانات قصص XOps في هذه الحقول لنوع eventFieldName.

قيمة تعداد واجهة برمجة التطبيقات

حقل الحدث

التعليقات

user_display_name

اسم عرض المستخدم

analyst_verdict

حكم المحلل

criticality

الأهمية

device_name

اسم الجهاز

event_count

عدد الأحداث

بالنسبة لقصص XOps، لا يتم تجميع الأحداث تلقائيًا، لذلك يكون عدد الأحداث عادةً بقيمة 1.

sub-type

النوع الفرعي

event_type

نوع الحدث

بالنسبة لأحداث قصة XOps، يكون نوع الحدث هو الاكتشاف والاستجابة.

indication

التوجيه

event_internal_id

الرقم الداخلي للحدث

producer

المنتج

المحرك الذي أنشأ القصة. القيم الممكنة: منع التهديدات، مطاردة التهديدات، الشذوذ في الاستخدام، الشذوذ في الأحداث، تنبيه نقطة النهاية من Microsoft.

rule

القاعدة

اسم قاعدة سياسة الاستجابة التي أنشأت الحدث.

source_ip

عنوان المصدر IP

source_is_site_or_sdp_user

المصدر هو موقع أو مستخدم

source_site

الموقع المصدر

status

الحالة

story_id

رقم القصة

threat_name

اسم التهديد

threat_type

نوع التهديد

time

الوقت

vendor

البائع

القيم الممكنة: Microsoft (لقصص تنبيهات نقطة النهاية من مايكروسوفت)، كاتو.

additional_data

N/A

بيانات القصة التي ليست متضمنة في الحقول الأخرى للحدث. يتضمن هذا الحقل في الأحداث المصدرة، ولكنه لا يظهر في صفحة الأحداث.

ملاحظة: يتم تصدير هذا الحقل كبيانات خام غير مفككة، وقد يحتوي على أحرف هروب. هذا التنسيق عرضه للتغيير.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات