إنشاء سياسة الاستجابة لقصص XOps

توضح هذه المقالة كيفية استخدام webhooks والإخطارات الأخرى مع سياسة استجابة XOps التي تحدد متى يتم إعلامك بالقصص الجديدة والمحدثة لـ XOps ، ومتى يتم توليد الأحداث.

لمزيد من المعلومات حول قصص XOps، انظر مراجعة قصص XOps للكشف والاستجابة في ورشة القصص

ملاحظة

ملاحظة: XOps هو طبقة التحليلات الموحدة لشركة Cato للأمن والعمليات، تقدم رؤى وإرشادات للتصحيح. XOps استبدلت XDR، لمزيد من المعلومات، انظر أسئلة متكررة حول XOps.

نظرة عامة

تساعد سياسة الاستجابة في مراقبة قصص XOps من خلال تحديد متى يتم إرسال الإخطارات للقصص إلى المسؤولين والمحللين، ومتى يتم توليد الأحداث للقصص. يمكنك إنشاء قواعد تحدد معايير القصة لإرسال الإخطارات وتوليد الأحداث، ويمكنك استخدام مجموعات الاشتراك، قوائم البريد الإلكتروني، والتكاملات مع جهات خارجية لتحديد أي المشرفون يتلقون الإشعارات.

على سبيل المثال، يمكنك إنشاء قواعد ترسل إشعارات:

  • إذا كانت عام القصة عالية

  • عندما يتم إنشاء قصص جديدة لمصدر معين (مثل موقع أو نطاق IP)

  • عندما يتم تحديث أهداف القصة

  • لقصص الأمان مع مؤشر محدد للهجوم

  • لعمليات Site لأمور محددة، مثل تعطل موقع أو رابط

ملاحظة

ملاحظة: بشكل افتراضي، لا يتم إرسال الإشعارات لعمليات الموقع التي تطابق قاعدة كتم القصص.

إنشاء أحداث لقصص XOps والتصدير إلى خدمات الطرف الثالث

بشكل افتراضي، لا يتم توليد أحداث قصص XOps. يتم إنشاء الأحداث فقط وفقًا للقواعد المُعدَّة. عند تعريف قواعد تنشئ أحداثًا لقصص XOps، يمكنك عرضها في صفحة الأحداث، ولمزيد من المعلومات، انظر تحليل الأحداث في شبكتك.

يمكنك أيضًا دمج الأحداث لقصص XOps مع خدماتك ووظائف العمل الحالية من الطرف الثالث:

تظهر صفحة الأحداث عددًا معينًا من الحقول لكل حدث. للوصول إلى بيانات القصة الكاملة، قم بتصديرها كملف JSON المتاح في حقل additional_data. يمكنك أيضًا إنشاء فلتر لتصدير البيانات التي تحتاجها فقط. لمزيد من المعلومات حول حقول حدث XOps، انظر أدناه، حقول حدث Cato وAPI لقصص XOps.

إضافة قواعد إلى سياسة استجابة XOps

عند إضافة قاعدة إلى سياسة الاستجابة، قم بتكوين كل قسم في القاعدة المطلوب لتحديد الشروط لإرسال إخطار أو توليد حدث.

على سبيل المثال، إذا أردت توليد حدث لكل قصة XOps يتم إنشاؤها أو تحديثها، قم بتكوين قاعدة مع المصدر كـ أي، والمحرض كـ قصة تم إنشاؤها أو تحديثها.

ملاحظة

ملاحظة: بالنسبة لعملاء MDR، يرجى الاتصال لتحديد قواعد سياسة الاستجابة لحسابك.

Response_Policy.png

إعدادات قواعد سياسة الاستجابة

لدى قاعدة سياسة الاستجابة الأقسام التالية:

  • الاسم - الاسم الذي تعطيه للقواعد

  • الوصف للقواعد

  • المصدر - مصدر الحركة على شبكتك المشاركة في القصة. على سبيل المثال: موقع، عنوان IP، أو مستخدم

    لمزيد من المعلومات حول عناصر المصدر للقواعد، انظر مرجع لأجسام القواعد.

  • المعايير - خصائص القصة لمطابقة القاعدة. عند إضافة المعايير، اختر نوع المعيار، القيمة، والمشغل الذي يحدد العلاقة بين المعيار والقيمة. على سبيل المثال: الأهمية | أكبر من | 6.

    تشمل معايير القصة القابلة للتكوين ما يلي: الأهمية، الشدة، المؤشر، حكم المحلل، المنتج، الأهداف المضافة، الحالة. لمزيد من المعلومات حول معايير هذه القصة، انظر مراجعة قصص XOps للكشف والاستجابة في ورشة القصص

    • المنتج هو المحرك الذي يولِّد القصة. لمزيد من المعلومات حول عمليات الموقع، انظر مراجعة قصص عمليات الموقع . لمزيد من المعلومات حول محركات XOps ونوع التراخيص المطلوبة لها، انظر استخدام كتالوج المؤشرات

    • يمكنك تكوين عدة قيم للمعايير التالية: المؤشر، حكم المحلل، الشدة، المنتج. عند إضافة عدة قيم إلى إدخال معيار واحد، هناك علاقة 'أو' بينها.

  • المحفز - يحدد متى يقوم محرك سياسة الاستجابة بفحص القصة لمطابقة القاعدة. تشمل الإعدادات:

    • القصة المنشأة - يقوم محرك سياسة الاستجابة بفحص التطابق مع القاعدة عند إنشاء قصة جديدة. القصص الموجودة والتي تم تحديثها لا يتم فحصها لمطابقة القاعدة.

    • القصة المنشأة أو المحدثة - يقوم محرك سياسة الاستجابة بفحص التطابق مع القاعدة عند إنشاء قصة جديدة أو عند تحديث قصة موجودة. يمكن أن تشمل التحديثات تغييرات على الحالة، حكم المحلل، الشدة، والأهداف للقصة.

  • الاستجابة - حدد الاستجابة عندما يتم مطابقة القاعدة. يمكن أن تشمل الاستجابات إنشاء حدث وإشعارات تُعرف بواسطة مجموعة الاشتراك، القائمة البريدية، أو التكامل مع تنبيه الويب هوكس.

إنشاء قواعد سياسة استجابة جديدة

قم بإنشاء قاعدة جديدة لسياسة الاستجابة وقم بتكوين إعدادات القاعدة لتحديد متى يتم إرسال إشعار عن القصة.

Response_Policy_New_rule_panel.png

لإنشاء قاعدة جديدة لسياسة الاستجابة:

  1. من قائمة التنقل، انقر الصفحة الرئيسية > سياسة الكشف و& الاستجابة.

  2. حدد علامة التبويب سياسة الاستجابة.

  3. انقر جديد. يفتح لوحة إضافة إلى سياسة الاستجابة.

  4. أدخل الاسم للقاعدة.

  5. في قسم المصدر، اختر النوع (على سبيل المثال: مضيف، نطاق IP، موقع)، ثم اختر كائنًا أو أكثر لمصدر القصة لهذه القاعدة (أو يمكنك إدخال عنوان IP).

    القيمة الافتراضية لـ المصدر هي أي.

  6. (اختياري) حدد المعايير التي تحدد الخصائص التي يجب أن تتطابق معها القصة مع القاعدة.

  7. حدد المحفز للقاعدة.

  8. حدد الاستجابة. إذا قمت بتحديد إرسال إشعار، فعليك تحديد مجموعة الاشتراك أو قائمة البريد أو التكامل لتلقي الإشعار.

  9. انقر حفظ. يتم إضافة القاعدة إلى السياسة.

إنشاء تكامل تنبيه ويب هوك

لإرسال البيانات من قصص XOps إلى طرف ثالث باستخدام دمج Webhook، تحتاج إلى:

  1. قم بتكوين التكامل الخارجي في CMA

  2. قم بإنشاء القاعدة المطلوبة في سياسة الاستجابة

الخطوة 1: تكوين التكامل الخارجي

يمكنك تعريف تكامل ويب هوك لإرسال التنبيهات إلى منصات خارجية مثل ServiceNow، Jira، وSlack، وإنشاء تدفقات الأتمتة القائمة على التنبيه. يدعم ويب هوك من Cato رؤوس HTTP ورسائل قابلة للتخصيص في التنبيه لتلبية الاحتياجات الخاصة بمؤسستك. لمزيد من المعلومات، انظر إنشاء تكامل تنبيه عبر الويب هوكس.

الخطوة 2: إنشاء القاعدة المطلوبة

بعد تعريف التكامل الخارجي، قم بإنشاء قاعدة في سياسة الاستجابة.

Response.png

لإنشاء قاعدة لتكامل خارجي:

  1. اتبع الخطوات ١-٧ في إنشاء قواعد السياسة الجديدة للاستجابة.

  2. في قسم الاستجابة، اختر إرسال إشعار.

  3. في القائمة المنسدلة إرسال الإشعار إلى، اختر التكامل.

  4. في القائمة المنسدلة التكامل، اختر التكامل الذي تريد استخدامه في القاعدة.

  5. اضغط على حفظ. يتم إضافة القاعدة إلى السياسة.

حقول الأحداث وAPI لـ أحداث قصص XOps

تظهر صفحة الأحداث جميع أحداث قصص XOps التي تم توليدها لحسابك. يمكنك تصفية الصفحة لعرض الأحداث باستخدام نوع الحدث الكشف والاستجابة.

فيما يلي الحقول ذات الصلة بأحداث القصص. تظهر استعلام الأحداث في API لـ Cato البيانات لقصص XOps في هذه الحقول لنوع eventFieldName.

قيمة تعداد API

حقل الحدث

تعليقات

user_display_name

اسم العرض للمستخدم

  

analyst_verdict

حكم المحلل

  

criticality

الأهمية

  

device_name

اسم الجهاز

  

event_count

عدد الأحداث

بالنسبة لقصص XOps، لا يتم تجميع الأحداث تلقائيًا، لذلك عادة ما يكون العدد 1.

sub-type

النوع الفرعي

  

event_type

نوع الحدث

بالنسبة لأحداث قصص XOps، يكون نوع الحدث اكتشاف واستجابة.

indication

المؤشر

  

event_internal_id

معرف الحدث الداخلي

  

producer

المنتج

المحرك الذي تولد القصة. القيم الممكنة: منع التهديدات، استعراض التهديدات، شذوذ الاستخدام، شذوذ الأحداث، تنبيه نقطة النهاية من Microsoft.

rule

القاعدة

اسم قاعدة سياسة الاستجابة التي ولدت الحدث.

source_ip

عنوان IP المصدر

  

source_is_site_or_sdp_user

المصدر هو الموقع أو المستخدم

  

source_site

موقع المصدر

  

status

الحالة

  

story_id

معرف القصة

  

threat_name

اسم التهديد

  

threat_type

نوع التهديد

  

time

الوقت

  

vendor

المورّد

قيم ممكنة: Microsoft (لقصص التنبيه لنقطة النهاية من Microsoft)، Cato.

additional_data

غير متوفر

بيانات القصة التي لم يتم تضمينها في الحقول الأخرى. يتم تضمين هذا الحقل في الأحداث المصدرة، ولكنه لا يظهر في صفحة الأحداث.

ملاحظة: يتم تصدير هذا الحقل كبيانات خام غير معالجة، وقد يحتوي على أحرف هروب. هذا التنسيق معرض للتغيير.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات