تتناول هذه المقالة كيفية تخفيف التهديد في قصة XOps.
غالبًا ما تتضمن قصص XOps نشاط مشبوه ينشأ إما من مستخدم معين أو هدف (مثل عنوان IP أو FQDN). على سبيل المثال، قد تشير القصة إلى أن جلسة المستخدم عن بُعد قد تم اختراقها أو أن جهازًا يتواصل مع نطاق يتوقع أنه صيد احتيال. تسمح لك صفحة نظرة عامة على القصة في منصة قصص العمل بالتخفيف من نوعي التهديدات بشكل فعال إذا:
-
إلغاء جلسة المستخدم: يمكنك إلغاء جلسة المستخدم مباشرة من القصة. هذا يسجل خروج المستخدم ويطلب منهم إعادة مصادقة من خلال شاشة تسجيل الدخول للعميل، مما يضمن وصول المستخدمين الشرعيين فقط. إذا لم يكن المستخدم متصلًا وقت التخفيف، يتم إلغاء رمز المصادقة الخاص به ويجب عليه إعادة المصادقة عند إعادة الاتصال.
-
إضافة الهدف إلى قائمة الحظر: يمكنك إضافة أهداف مشبوهة إلى حاوية يمكنك تضمينها في سياسات قائمة الحظر الخاصة بك. هذا يضمن أن لا يستطيع أي مستخدم متصل بـ Cato الوصول إلى الهدف.
الحاويات هي فئات يحددها المستخدم تساعدك على إدارة مجموعات من العناصر مثل عناوين IP أو أسماء النطاقات المؤهلة بالكامل. بمجرد إنشاء حاوية يمكن إضافتها إلى قاعدة جدار الحماية باستخدام إجراء الحظر. يتم حظر الأهداف المشبوهة فقط بمجرد تضمين الحاوية في قاعدة جدار الحماية. عندما تقوم بالتخفيف من تهديد من قصة XOps، يمكنك إضافة هدف إلى حاوية موجودة أو إنشاء واحدة جديدة. يمكن للمستخدمين الوصول إلى الأهداف التي تُضاف إلى الحاوية ولكن لم تُدرج في قاعدة جدار الحماية.
قام المحللون في Example Corp. بالتحقيق في قصة XOps في صفحة النظرة العامة، وكشفوا عن مستخدم يقوم بتحميل كمية كبيرة من البيانات إلى تطبيق مشاركة الملفات. هم غير متأكدين إذا ما كان نشاط التحميل لأسباب شرعية أم لا. يلاحظ المحللون أن عامل المستخدم المستخدم لهذا النشاط غير طبيعي لهذا المستخدم، مما يشير إلى احتمال سرقة بيانات اعتماد بواسطة عدو. لذلك يقررون إلغاء جلسة المستخدم لإجبار المصادقة على الجهاز. يمكن للمحللين بعد ذلك الاستمرار في التحقيق وهم يعلمون أن مستخدم مصادق فقط هو المتصل بالشبكة.
يحقق محلل الأمان في قصة XOps في صفحة النظرة العامة ويحدد عنوان IP مرتبط ببرنامج ضار. بعد تحقيق إضافي، يؤكد المحلل أن هذا هجوم من ممثل ضار معروف.
يضيف المحلل الهدف إلى حاوية عناوين IP المشبوهة الخاصة بالشركة، والتي تُدرج في قاعدة جدار الحماية للإنترنت بالإجراء الحظر.
تم احتواء التهديد حيث أن لا يمكن لأي مستخدمين آخرين الوصول إلى عنوان IP.
في صفحة النظرة العامة للقصة، قم بالتخفيف من التهديدات من قائمة الإجراءات.
للتخفيف من التهديدات:
-
في النظرة العامة للقصة، انقر على زر الإجراءات.
-
حدد إجراء التخفيف الذي تريد اتخاذه:
-
لإلغاء مستخدم، انقر على إلغاء جلسة المستخدم. تفتح لوحة إلغاء جلسة المستخدم. حدد المستخدم الذي تريد إلغاء جلسته النشطة. تظهر اللوحة تلقائيًا المستخدم المحدد في القصة.
-
لإضافة هدف إلى قائمة الحظر، انقر إضافة الهدف إلى قائمة الحظر. حدد هدفًا للتخفيف واختر إما حاوية موجودة تريد إضافته إليها أو انقر على إنشاء جديد لإنشاء حاوية جديدة. تأكد من تضمين الحاوية في قاعدة جدار الحماية.
-
-
(اختياري) إضافة ملاحظة.
-
أكد إجراءك.
تسمح لك علامة مركز الإجراء في صفحة الصفحة الرئيسية > سياسة الكشف والاستجابة بمراجعة إجراءات التخفيف الخاصة بـ XOps التي تم اتخاذها في حسابك.
يظهر مركز الإجراء المعلومات التالية لكل إجراء تخفيف:
-
الوقت - الطابع الزمني للوقت الذي تم إرسال إجراء التخفيف فيه
-
الإجراء - وصف إجراء التخفيف
-
الموضوع - المستخدم الذي تم تنفيذ الإجراء عليه
-
الحالة - حالة الإجراء. بالنسبة لإجراء إضافة الهدف إلى قائمة الحظر، هذه هي القيم الحالة:
-
نجاح - تم إرسال الطلب لإلغاء الجلسة إلى خدمة مستخدم Cato
-
فشل - كانت هناك مشكلة في الطلب لإلغاء الجلسة
-
-
المؤلف - المسؤول الذي قام بالإجراء
-
المشغّل - معرّف القصة للقصة التي أُرسل منها الإجراء. انقر لفتح صفحة النظرة العامة للقصة
-
ملاحظة - الملاحظة الاختيارية التي أُدخلت بواسطة المسؤول
-
الإجراء إلغاء جلسة المستخدم متاح فقط للمستخدمين البعيدين الذين يتصلون بالشبكة باستخدام كاتو Client. غير مدعوم للمستخدمين خلف موقع
-
يتم دعم إجراء إلغاء جلسة المستخدم للقصص التي حددت مستخدمًا والتي تم إنشاؤها بواسطة أحد المنتجين التاليين:
-
منع التهديدات
-
صيد التهديدات
-
شذوذ الأحداث
-
شذوذ الاستخدام
-
تنبيهات نهايات Cato
-
-
قد يستغرق الأمر حتى 10 دقائق لإلغاء جلسة المستخدم
-
قد يكون هناك تأخير قصير بين إضافة حاوية إلى قاعدة جدار الحماية للكتلة والهدف الذي يتم حظره
لا توجد تعليقات
المقال مغلق أمام التعليقات.