تصف هذه المقالة قدرات العمليات الأمنية والشبكية لمنصة Cato XOps، وما تم تضمينه في مختلف مستويات ترخيص XOps.
تُمكِّن منصة Cato XOps فرق عمليات الأمن وعمليات الشبكة من استخدام الذكاء الاصطناعي والأتمتة لمراقبة شبكة المؤسسة لكلاً من تهديدات الأمان ومشكلات أداء الشبكة. تحول XOps كميات غير قابلة للإدارة من أحداث الأمان والشبكة الخام إلى قصص قابلة للاستهلاك ومتعددة الوظائف وقابلة للتنفيذ.
تشتمل المنصة على محركات ارتباط متقدمة من أنواع مختلفة تقوم بتحليل بيانات الحركة للعثور على تطابقات لمؤشرات محددة لأنشطة التهديد أو مشاكل الشبكة. عندما يجد محرك تطابقًا، فإنه ينتج قصة يمكن مراجعتها والتحقيق فيها في تطبيق إدارة Cato (CMA). يشير CMA إلى هذه المحركات على أنها منتجين.
تحتوي كل قصة XOps على بيانات من تدفقات الحركة بخصائص مشتركة تتعلق بنفس التهديد أو مشكلة الشبكة. تعرض صفحة منصة قصص العمل تفاصيل كل قصة لمساعدتك في فهمها وتحليلها. يمكنك فرز وتصفية القصص للعثور على أخطر الهجمات المحتملة، ثم التعمق في القصة لمزيد من التحقيق في التفاصيل.
هذه هي الأسماء والأوصاف لمختلف منتجين قصص XOps:
-
منع التهديدات - يقوم منتج منع التهديدات XOps من Cato بالكشف عن مجموعة محددة من سلوكيات الهجوم في الأحداث التي يتم توليدها بواسطة خدمات الأمان في الوقت الحقيقي من Cato، مثل IPS ومكافحة البرمجيات الخبيثة. تساعد قصص منع التهديدات المحللين على التركيز على التهديدات الفورية والثابتة.
عادة ما تستند قصص منع التهديدات إلى أحداث الحظر المتوافقة، مما يعني أحداث المرور التي تم حظرها بواسطة إحدى خدمات الأمان. ومع ذلك، حتى لو تم حظر المرور بالفعل، فمن الممكن أن تكون هذه الحركة متعلقة بتهديد مستمر. تتيح لك قصة XOps التحقيق في سياق وتفاصيل حركة المرور المشبوهة للمساعدة في تحديد ما إذا كان لا يزال هناك تهديد يتطلب مزيدًا من التخفيف.
لمزيد من المعلومات حول قصص منع التهديدات، انظر التعمق وتحليل قصص أمان XOps.
-
الصيد التهديدي - يقوم منتج الصيد التهديدي بعملية مسح مستمرة للبيانات التاريخية الهائلة المخزنة في بحيرة البيانات للكشف عن أنماط المرور التي تشير إلى تهديدات محتملة. بخلاف منتج منع التهديدات الذي يركز على الأحداث الأخيرة، يبحث منتج البحث عن التهديدات عن ارتباطات على مر الزمن في بيانات حركة المرور المخزنة. يتم تحديد الارتباطات على مدار بيانات أسبوع واحد لضمان الدقة. علاوة على ذلك، بينما ينظر منتج منع التهديدات إلى البيانات في سجلات الأحداث، يقوم منتج البحث عن التهديدات بتحليل مجموعة أوسع من البيانات من تدفقات الحركة. هذا يمكّن منتج البحث عن التهديدات من الكشف عن تهديدات أكثر مراوغة يصعب تحديدها بطرق تقليدية لأنها تولد توقيعًا أقل يصعب اكتشافه.
فيما يلي صفحة النظرة العامة لقصة البحث عن التهديدات التي حددت 40 تدفق حركة مختلف (إشارات) تتعلق بتهديد تصيد إلكتروني عبر الإنترنت:
لمزيد من المعلومات حول قصص الصيد التهديدي، انظر التعمق وتحليل قصص أمان XOps.
-
Usage Anomaly - جزء من قدرات تحليل سلوك المستخدم والكيان لـ Cato (UEBA)، يقوم هذا المنتج بمقارنة النشاط الشبكي للمستخدم والموقع مع الخطوط الأساسية التي تحسبها خوارزميات التعلم الآلي، ويولّد قصصًا للتجاوزات المشبوهة عن مستويات الاستخدام الأساسية. على سبيل المثال، يتم اكتشاف مستخدم معين يستخدم أكبر قدر من عرض النطاق الترددي من المعتاد.
لمزيد من المعلومات حول قصص انحراف الاستخدام، انظر تحليل قصص UEBA الخاصة بـ XOps لانحرافات الاستخدام والفعاليات.
-
Events Anomaly - عنصر آخر في قدرات UEBA لـ Cato، يكتشف هذا المنتج مؤشرات تتعلق بكيان في الشبكة يقوم بتوليد عدد غير عادي من الأحداث الأمنية. على سبيل المثال، يتم ربط مستخدم بعدد كبير بشكل غير معتاد من أحداث التجميد لـ IPS لحركة المرور في اتجاه معين، مما قد يشير إلى احتمال إصابة جهاز المستخدم.
لمزيد من المعلومات حول قصص انحراف الفعاليات، انظر تحليل قصص UEBA الخاصة بـ XOps لانحرافات الاستخدام والفعاليات.
-
شذوذ التجربة: يكتشف التغييرات غير العادية في تجربة التطبيق لمواقع وتطبيقات معينة. بعد مراقبة التطبيق لمدة 14 يومًا، يتم إنشاء خط أساس باستخدام TTFB (الوقت لاستقبال البايت الأول). ثم يقوم المنتج بفحص حركة المرور مرة واحدة في اليوم، وينشئ قصة عندما تكون تجربة التطبيق مختلفة بشكل ملحوظ عن خط الأساس. تساعدك القصة على مراجعة الموقع المتأثر، التطبيق، تدفقات الحركة، والمشاكل المحتملة في الأداء.
-
عمليات الحساب: يكتشف المشاكل المتعلقة بالحساب التي يمكن أن تؤثر على المستخدمين، المواقع، والخدمات. يشمل ذلك مشاكل مثل فشل تزامن الدليل، استنفاد الترخيص، الشهادات منتهية الصلاحية، مشاكل الموصلات، ومشاكل أخرى في التكوين أو التشغيل. يقوم المنتج بإنشاء قصص تساعدك على فهم المشكلة، مراجعة نطاقها وتأثيرها، واتباع خطوات الإصلاح الموجهة لاستعادة التشغيل العادي.
-
البصيرة التنبؤية: يكتشف المخاطر المحتملة في الأداء والتوافر قبل أن تؤثر على الخدمة. يقوم بتحليل اتجاهات الشبكة، استخدام الموارد، وسياق التكوين للتنبؤ بالمشاكل الناشئة. على سبيل المثال، يمكن أن ينشئ قصة عندما يتوقع أن يتجاوز مقبس الموقع استخدام وحدة المعالجة المركزية المقبول. تساعدك القصة على مراجعة التنبؤ، فهم متى يمكن أن تصبح المشكلة حرجة، واتباع خطوات الإصلاح الموجهة
-
إنذارات نقطة النهاية من Microsoft - يمكن للعملاء الذين يستخدمون Microsoft Defender for Endpoint دمج بيانات إنذار Defender مع Cato XOps لإنتاج قصص للأجهزة النهائية. يقوم منتج تنبيهات Microsoft Endpoint بإنشاء قصة عن طريق ربط البيانات من تنبيهات Defender التي حدثت على نفس الجهاز خلال فترة 24 ساعة. تتضمن قصص تنبيهات نقاط النهاية جميع الأدلة ذات الصلة للتنبيهات التي كشف عنها Defender. من خلال توسيع التركيز إلى نقطة النهاية، تساعدك هذه القصص في الحصول على صورة أكثر اكتمالًا للتهديدات المحتملة في شبكتك.
لمزيد من المعلومات حول دمج Defender لنقاط النهاية مع XOps، انظر تنبيهات Microsoft Defender لنقاط النهاية: تكوين دمج XOps.
-
إنذارات Microsoft Entra ID - يمكنك دمج بيانات الإنذار من Microsoft Entra ID Protection لتوليد قصص Cato XOps. هذا يتيح للمحللين تضمين بيانات من عمليات تسجيل الدخول الخطيرة في السياق الأوسع لتحقيقات XOps. يخلق محرك تنبيهات هوية Cato Entra قصة عن طريق ربط البيانات من تنبيهات حماية الهوية التي حدثت لنفس المستخدم في غضون 24 ساعة.
لمزيد من المعلومات حول دمج تنبيهات Entra ID مع XOps، انظر Microsoft Entra ID: تكوين دمج XOps.
-
اكتشاف والاستجابة للسحابة: يستخدم مشاكل Wiz لاكتشاف المخاطر في البيئات السحابية. يشمل ذلك التكوينات غير الآمنة، تطبيقات ضعيفة، بيانات اعتماد مكشوفة، وكشف التهديدات. يقوم المنتج بمعالجة مشاكل Wiz في الوقت القريب الحقيقي وينشئ قصص في ورشة عمل القصص. تجمع هذه القصص بين الذكاء السحابي لـ Wiz والسياق من Cato، مما يساعدك على التحقيق في مخاطر السحابة وتحديد الهجمات المحتملة بين البيئات.
-
تنبيهات نقاط النهاية لـ Cato - يتكامل حل Cato EPP مع XOps لتوليد قصص لأجهزة النقاط النهائية. يخلق منتج تنبيهات نقاط النهاية قصة عن طريق ربط البيانات من جميع تنبيهات Cato EPP التي حدثت على نفس الجهاز في غضون 24 ساعة. تتضمن قصص تنبيهات نقاط النهاية لـ Cato جميع الأدلة ذات الصلة التي تحققها Cato EPP.
لمزيد من المعلومات حول قصص تنبيهات نقاط النهاية في Cato، انظر Cato Endpoint Protection (EPP): تكوين دمج XOps.
-
تنبيهات SentinelOne - يمكن للعملاء الذين يستخدمون SentinelOne دمج البيانات من SentinelOne EDR لإنشاء قصص لأجهزة النقاط النهائية. يخلق منتج SentinelOne قصة عن طريق ربط بيانات حوادث SentinelOne EDR استنادًا إلى UUID العامل (معرف الجهاز) وتجزئة ملف التهديد في غضون 90 يومًا. تتضمن هذه القصص جميع الأدلة ذات الصلة للحوادث التي كشف عنها SentinelOne. يتم إنشاء القصص في الوقت القريب من الوقت الفعلي بعد توليد التنبيه الأصلي.
لمزيد من المعلومات حول دمج تنبيهات SentinelOne، انظر SentinelOne EDR: تكوين دمج XOps.
-
تنبيهات CrowdStrike - يمكن للعملاء الذين يستخدمون CrowdStrike دمج البيانات من اكتشافات CrowdStrike بناءً على معرف الحادث. تتضمن هذه القصص جميع الأدلة ذات الصلة للكشف الذي حددته CrowdStrike. يتم إنشاء القصص في الوقت القريب من الوقت الفعلي بعد توليد التنبيه الأصلي.
لمزيد من المعلومات حول دمج تنبيهات CrowdStrike، انظر CrowdStrike: تكوين دمج XOps.
-
عمليات الموقع - يتميز Cato XOps بمنتج AIOps الفريد المسمى عمليات الموقع (المعروفة بشكل رسمي باسم Network XDR) الذي يجمع بين عمليات الشبكة وعمليات الأمن في منصة واحدة. يكتشف هذا المنتج مؤشرات ومقاييس مختلفة تتعلق بالاتصال والأداء، ويولد قصصًا تربط البيانات للقضايا المتعلقة بالشبكة. على سبيل المثال، إذا عانى رابط WAN بشكل متقطع من خسارة حزم عالية، يخلق المنتج قصة واحدة بجميع البيانات ذات الصلة للرابط.
لمزيد من المعلومات حول قصص الشبكة في Cato XOps، انظر مراجعة قصص عمليات الموقع.
يوفر هذا القسم حالات الاستخدام لكل منتج:
سيناريو
ينقر مستخدم على رابط تصيد ويتم إعادة توجيهه إلى موقع يستضيف مجموعة أدوات استغلال.
كيف تعمل
يكتشف جهاز IPS التابع لـ Cato محاولة الاستغلال في الوقت الحقيقي ويحظر المرور قبل أن يصل إلى نقطة النهاية.
قصة
ينشئ منتج منع التهديدات قصة تعرض:
-
هوية المستخدم والموقع
-
توقيع مجموعة أدوات الاستغلال (مثل مرجع CVE)
-
الإجراء المتخذ (تم حظر المرور)
النتيجة
تعرف فرق الأمان بسرعة أن محاولة استغلال حدثت، دون إصابة نقطة النهاية. يمكنهم تتبع ما إذا كان البريد الإلكتروني الخبيث قد وصل إلى مستخدمين آخرين. تعرض علامة التبويب قصص مماثلة أي مستخدمين آخرين حاولوا الوصول إلى نفس النطاق، وتوفر صفحة الأحداث فهمًا عميقًا لتوقيع IPS وCVE لتحديد ما إذا كانت قد ظهرت في مكان آخر في الشبكة.
سيناريو
يتواصل جهاز مع عنوان IP خارجي نادر كل ليلة الساعة 2 صباحًا. عنوان IP ليس مدرجًا في تغذيات التهديدات، لكن نمط الاتصال يبدو مشبوهًا.
كيف تعمل
يحلل محرك الصيد التهديدي حركة المرور التاريخية في بحيرة البيانات. يرصد هذا النمط الإشاراتي غير المعتاد على مدار عدة أسابيع.
قصة
يبني المنتج قصة تربط بين:
-
التدفقات المتكررة من نفس المضيف
-
خصائص الوجهة المشبوهة (سمعة منخفضة، ASN غير شائع)
-
الجدول الزمني للنشاط
النتيجة
يحقق محللو SOC ويكتشفون برامج ضارة باستخدام قناة تحكم وأوامر. يمنع الكشف المبكر استخراج البيانات.
سيناريو
عادة ما يقوم موظف الموارد بشرية بتحميل حوالي 50 ميغابايت من الملفات أسبوعيًا. فجأة، يقومون بتحميل 5 جيجابايت إلى موقع مشاركة ملفات خارجي.
كيف تعمل
يستخدم منتج انحراف الاستخدام التعلم الآلي لمقارنة النشاط الحالي مع قاعدة بيانات المستخدم. يتم الإشارة إلى الارتفاع الحاد.
القصة
تظهر القصة:
-
القاعدة الطبيعية مقابل السلوك الجديد
-
الوجهة (Dropbox، Google Drive، إلخ)
-
الطابع الزمني وحجم المرور
النتيجة
يحقق الأمان ويتعلم أن المستخدم قام بتحميل ملفات سرية لحساب شخصي عن طريق الخطأ. يتم إزالة الملفات، وتوصي Cato بتشديد ضوابط DLP لمنع مثل هذه الحالات في المستقبل.
السيناريو
يبدأ جهاز IoT في التواصل في اتجاه حركة مرور جديد، ويرسل البيانات إلى الإنترنت، وهو اتجاه حركة المرور الذي لم يسبق له مثيل من قبل هذا الجهاز، والذي يكون سلوكه العادي التواصل فقط داخل الشبكة الخاصة WAN.
كيف تعمل
يحدد منتج انحراف الأحداث الانحراف في تواتر الأحداث، في المستخدمين أو المواقع أو الأجهزة.
قصة
تسلط القصة الضوء على:
-
السلوك المعتاد الذي لوحظ من هذا الجهاز (الاتصال بالشبكة الخاصة WAN)
-
السلوك الشاذ: طلبات متعددة لعناوين IP خارجية، مرتبطة بتغذيات الاستخبارات التهديدية
النتيجة
يؤكد الفريق محاولة تحكم وأوامر عبر جهاز IoT. يتم احتواء الجهاز ويتم حظر الاتصال الخبيث.
سيناريو
يكشف Microsoft Defender لنقاط النهاية عن برنامج PowerShell خبيث على محطة عمل.
كيف تعمل
يتم توجيه التنبيه من Microsoft Defender إلى Cato عبر الموصل.
قصة
يربط نظام XOps قصص المنتج هذه، تنبيهات النقاط النهائية، مع قصص ذات صلة من منتجين آخرين (مثل المرور الخارجي إلى عناوين IP المشبوهة).
النتيجة
يتم تزويد فريق SOC برؤية موحدة للبرمجيات الخبيثة للنقاط النهائية وسلوك الشبكة المطابق، مما يسهل احتواء أسرع وتحليل أسباب الجذر.
السيناريو
تواجه مكتب فرعي مشاكل في الاتصال بشكل متقطع، حيث يستمر الرابط الرئيسي لمزود خدمة الإنترنت في الصعود والهبوط بشكل متكرر (flapping)، مما يعطل الوصول إلى التطبيقات السحابية ونفق VPN.
كيف يعمل
محرك عمليات الموقع من Cato يراقب باستمرار صحة الروابط. عندما تحدث أحداث انخفاض الرابط و ارتفاع الرابط متعددة بشكل متقارب، يقوم بتجميعها في قصة واحدة - تحديد نمط من عدم الاستقرار بدلاً من حوادث معزولة.
القصة
القصة تعرض:
-
الموقع المتأثر والوصلة الخاصة بـ WAN
-
الجدول الزمني لتكرار اهتزاز الرابط عبر نافذة المراقبة
-
تحليل يحدد سلوك الاهتزاز (مثلًا، خمسة أحداث انخفاض رابط في غضون 10 دقائق)
النتيجة
يجمع محرك عمليات الموقع كافة الأحداث ذات الصلة في قصة مرتبطة واحدة، مما يقلل من ضجيج التنبيهات ويبرز مشكلة ارتباط مزمنة محتملة. يتم إخطار فريق تكنولوجيا المعلومات بشكل استباقي، ويتم التبديل إلى رابط مزود خدمة الإنترنت الاحتياطي، ويعملون مع المزود لحل السبب الجذري - مما يقلل من وقت التعطل ويمنع تكرار انقطاع الخدمة.
يحدد ترخيص XOps الخاص بك المنتجين المتاحين لحسابك، وما إذا كان يتم إدارة الخدمة بواسطة Cato. تستفيد جميع مستويات الترخيص من أدوات منصة XOps في تطبيق إدارة Cato، بما في ذلك:
الجدول أدناه يصف مستويات ترخيص XOps التي ستدخل حيز التنفيذ اعتبارًا من 6 أغسطس 2025. ويشرح المنتجين المتاحين لكل مستوى. يرجى الاتصال بممثل Cato الخاص بك أو الموزع الرسمي لمزيد من المعلومات حول شراء تراخيص XOps.
|
الترخيص |
الوصف |
|---|---|
|
لا يوجد ترخيص |
إذا تم تكوين الموصل، يتم إنشاء الأحداث بواسطة المنتجين التاليين:
|
|
XOps |
مستوى مدفوع وغير مدار يشمل المجموعة التالية من المنتجين الذين يربطون البيانات في قصة، منصة للتحقيقات، توصيات للتخفيف وإجراءات التخفيف:
|
|
MDR |
طبقة مدفوعة تضمن خدمة SOC مُدارة على مدار الساعة لتعزيز الأمن وإدارة القصص. تُقدَّم هذه الخدمة من قبل فريق الكشف والاستجابة المدار لـ Cato وتشمل:
|
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.