Este artículo discute cómo puedes utilizar la Mesa de Trabajo de Historias para revisar historias de potenciales amenazas en tu cuenta.
Nota
Nota: XOps es la capa de análisis unificada de Cato para seguridad y operaciones, que ofrece información y remediación guiada. XOps ha reemplazado XDR, para más información, consulte Preguntas frecuentes de XOps.
Cato Detection & Response es una capa adicional de seguridad que crea historias para amenazas. Cuando los motores de correlación avanzados de Cato analizan los datos de tráfico y encuentran una coincidencia con una amenaza potencial, generan una historia. La historia contiene datos de flujos de tráfico con propiedades comunes que se relacionan con la misma amenaza. La página Mesa de Trabajo de Historias muestra los detalles de cada historia para ayudarte a entender y analizar las amenazas. Puedes ordenar y filtrar las historias para encontrar los ataques potenciales más importantes y luego profundizar en una historia para investigar más los detalles.
Estos son ejemplos de datos que una historia puede incluir:
-
Fuentes en tu network
-
Objetivos externos de tráfico de red
-
Identificación y descripción de la amenaza
-
Geolocalizaciones relevantes
-
Aplicaciones relacionadas
-
Eventos relevantes
-
Popularidad del objetivo según los datos internos de Cato
-
Puntuación maliciosa del objetivo según los modelos de aprendizaje automático de Cato
-
Es posible que se requieran licencias adicionales. Para más información, consulte Bienvenido al Servicio XOps de Cato
Una vez que haya creado el conector, las historias serán visibles en el Banco de Trabajo de Historias.
Para ver la página del Banco de Trabajo de Historias:
-
Desde el menú de navegación, haz clic en Home > Stories Workbench.
|
Columna |
Descripción |
|---|---|
|
ID |
ID único de Cato para esta historia |
|
Created |
Fecha del primer flujo de tráfico para la historia |
|
Updated |
Fecha del flujo de tráfico más reciente para la historia |
|
Criticality |
Análisis de riesgo de la historia de Cato (los valores son de 1 a 10) |
|
Indication |
Indicador de ataque para la historia. Para más información sobre indicaciones, consulta Usando el Catálogo de Indicaciones |
|
Source |
Dirección IP, nombre del dispositivo, o usuario SDP en tu network involucrado en la historia |
|
Engine Type |
El motor de seguridad que creó la historia. |
|
Status |
|
Para proporcionar contexto al revisar las historias, puedes mostrar las historias en grupos definidos por detalles, incluyendo Source, Indication, Status, y Type. Por ejemplo, puedes mostrar juntos todas las historias relacionadas con una dirección IP fuente específica o todas las historias de Cybersquatting. Esto te da una perspectiva más amplia al analizar las historias y puede ayudarte a llegar a conclusiones más rápidas y precisas.
Cada grupo resalta los niveles de criticality de las historias en ese grupo, incluyendo el número de historias de alta, media y baja criticality.
Hay tres formas de filtrar los datos en la Mesa de Trabajo de Historias:
-
Selecciona un filtro preestablecido
-
Actualizar automáticamente el filtro con un elemento seleccionado
-
Configurar manualmente el filtro
Puedes seleccionar un filtro preestablecido para enfocarte en historias de Operaciones de Red o de Operaciones de Seguridad. Cuando seleccionas un filtro preestablecido, las columnas de historia más relevantes para ese tipo de historia se muestran por defecto.
Al pasar el cursor sobre un artículo o campo donde hay una opción de filtro disponible, aparece el botón . Haz clic en el icono para mostrar las opciones de filtro:
-
Add to Filter - Añade el elemento al filtro, y la Mesa de Trabajo de Historias ahora solo muestra historias que incluyen este elemento. Por ejemplo, si filtras por una puntuación específica de Criticality, la página solo muestra historias con esa Criticality.
-
Exclude from Filter - Actualiza el filtro para excluir este elemento, y la Mesa de Trabajo de Historias ahora solo muestra historias que NO incluyen este elemento.
Puede continuar agregando artículos al filtro, haga clic en nuevamente para actualizar el filtro y profundizar más.
El rango de tiempo predeterminado para la Mesa de Trabajo de Historias son los dos días anteriores. Puedes seleccionar un rango de tiempo diferente para mostrar un período de tiempo más largo o más corto. Para más información, consulte Estableciendo el filtro de rango de tiempo.
El rango de fechas máximo para la Mesa de Trabajo de Historias es de 90 días.
Puedes configurar manualmente el filtro de historias para obtener una mayor granularidad al analizar las historias. Después de configurar el filtro, se agrega a la barra de filtro de historias, y la página se actualiza automáticamente para mostrar las historias que coinciden con el nuevo filtro.
Para crear un filtro:
-
En la barra de filtro, haga clic en
.
-
Empieza a escribir o selecciona el Field.
-
Selecciona el Operator, que determina la relación entre el Field y el Value que estás buscando.
-
Selecciona el Value.
-
Haz clic en Add Filter. El filtro se agrega a la barra de filtro y la Mesa de Trabajo de Historias se actualiza para mostrar historias basadas en los filtros.
Puedes remover cada elemento en el filtro por separado, o borrar todo el filtro.
0 comentarios
Inicie sesión para dejar un comentario.