Silenciando historias de XOps

Este artículo analiza cómo crear una regla que silencie las historias de XOps para que no aparezcan en el Banco de trabajo de historias.

Nota

Nota: XOps es la capa de análisis unificada de Cato para seguridad y operaciones, ofreciendo información y remediación guiada. XOps ha reemplazado a XDR; para más información, consulte Preguntas frecuentes de XOps.

Descripción general

Los motores de correlación de XOps analizan los datos de tráfico para encontrar coincidencias de amenazas potenciales o degradación de la red. Si se identifica una coincidencia, se genera una historia en el Banco de trabajo de historias para ayudarlo a comprender y analizar el problema. Si no desea que se cree una historia, puede configurar una regla de Silenciar Historias. Esto reduce la generación de historias falsos positivos y le ayuda a centrar su análisis en verdaderas amenazas potenciales o problemas de red. Las historias pueden ser silenciadas por un rango de tiempo específico o ilimitado

Puede silenciar las historias creadas por estos motores:

  • Prevención de Amenazas

  • Caza de Amenazas

  • Operaciones del sitio

  • Anomalía de Uso

  • Anomalía de Eventos

Para que una historia sea silenciada, debe tener una coincidencia exacta o contener los predicados insertados en la regla Mute Stories. Por ejemplo, si una regla contiene 3 dominios pero solo 2 están en la historia, la historia se silencia. Si una regla contiene 2 dominios y la historia contiene 3, no se silencia.

Nota

Nota: Los clientes de MDR pueden crear y editar reglas de silencio de historia para el motor de Operaciones del sitio. Si desea definir historias silenciosas para otros motores, comuníquese con mdr@catonetworks.com.

Silenciar historias de Prevención y Caza de Amenazas

Puede definir tráfico de un recurso confiable que luego se excluye de una historia. Por ejemplo, se generan historias de XOps para la detección de intentos de escaneo potenciales, pero el origen del escaneo es la prueba de penetración conocida-benigna. Después de que se crea una regla de Silenciar Historias para el tráfico de pruebas de penetración, no se generan más historias para ello.

Hay dos maneras de agregar reglas de Silenciar Historias para historias de Threat Prevention y Threat Hunting:

  • Cree una regla en la página de Detección y respuesta

  • Crear una regla desde una historia en el Banco de Historias. Este método es útil cuando notas un tráfico específico en una historia que sabes que es benigna

Silenciar historias de anomalías de uso y eventos de UEBA

Hay dos maneras de agregar reglas de Silenciar Historias para historias de Uso Anómalo y Evento Anómalo:

  • Cree una regla en la página de Detección y respuesta

  • Crear una regla desde una historia en el Banco de Historias. Este método es útil cuando notas un tráfico específico en una historia que sabes que es benigna

Las siguientes secciones describen configuraciones útiles que están disponibles para las reglas de Silenciar Historias de Uso Anómalo y Evento Anómalo.

Comprender la configuración de Silenciar Historias para historias de anomalías de uso

El motor de anomalías de uso de XOps identifica anomalías relacionadas con uso inusual en aplicaciones y genera una historia cuando se detecta una anomalía. La política de historias silenciosas le permite configurar una regla para una historia de anomalías de uso especificando aplicaciones o categorías de aplicaciones para que los motores de XOps las excluyan. Por ejemplo, si sabe que un usuario específico carga cantidades inusuales de datos en OneDrive como parte de los requisitos de su trabajo, cree una regla configurada con el Usuario específico como el Origen y OneDrive como la Aplicación.

Es posible que una historia de Uso Anómalo involucre más de una aplicación. En tal caso, la Aplicación configurada se refiere a la aplicación principal en la historia. Por ejemplo, si configura la aplicación como OneDrive, esto significa que si la aplicación principal en la historia de anomalías de uso es OneDrive, el motor de XOps no generará la historia. Sin embargo, si la aplicación principal es una aplicación diferente, como Dropbox, y OneDrive tiene el segundo mayor uso, entonces la historia aún se generará.

Comprender la configuración de Silenciar Historias para historias de anomalías de eventos

El motor de anomalías de eventos de XOps detecta anomalías que involucran a una entidad en la red desencadenando un número inusual de eventos de seguridad y genera una historia cuando se detecta una anomalía. La política de historias silenciosas le permite configurar una regla para una historia de anomalías de eventos especificando tipos de eventos para que los motores de XOps los excluyan. Luego puede especificar aún más para excluir solo los eventos generados por reglas particulares o amenazas de IPS.

Por ejemplo, si un usuario genera un número inusualmente grande de eventos de WAN Firewall al realizar una actividad benigna conocida, cree una regla con el Usuario configurado como el Origen y configure la Métrica de Evento Anómalo como el Tipo de Evento de WAN Firewall. Luego especifique la regla dentro de la base de reglas del WAN Firewall.

Silenciando historias de Operaciones del sitio

Puede silenciar historias generadas por problemas específicos de la red. Por ejemplo, si sabes que un ISP local tiene un corte planificado, puedes silenciar las historias generadas por la indicación de Sitio abajo durante el período del corte.

Las historias se generan, pero se filtran fuera del Banco de Historias.

Puede identificar si una historia ha sido silenciada en la columna Silenciado en la Cronología de Incidentes de una historia.

Muteado.png

Puede agregar reglas de historias silenciosas para historias de Operaciones del sitio creando una regla en la página de Detección y respuesta.

Requisitos previos

Se requiere una licencia XOps :

Elementos en una regla de Silenciar Historias de Detección y Respuesta

La siguiente tabla explica los elementos que puede usar para definir la configuración de una regla de Silenciar Historias de Detección & Respuesta. Cuando configuras múltiples objetos en una configuración, hay una relación OR entre ellos. Por ejemplo, si hay una regla configurada con orígenes que incluyen un Sitio y un Usuario, la regla se aplica cuando el tráfico coincide con cualquiera sea el Sitio o el Usuario.

Elemento

Descripción

Productor

El motor o los motores de Detección y Respuesta a los que se aplica la regla. Para más información sobre estos motores y los tipos de historias que detectan, consulte Usando el catálogo de indicaciones

ID de Indicación

El identificador de la indicación utilizada por los motores de Detección y Respuesta. Cada ID de Indicación está asociado a una consulta de motor de Detección y Respuesta que identifica parámetros específicos de tráfico.

Si define un ID de Indicación, la regla solo excluirá tráfico de historias generadas por la consulta de motor específico asociado con ese ID de Indicación.

Si no se define ningún ID de Indicación, se excluye el tráfico de todas las consultas de motor que coincidan con la configuración de la regla.

Para más información sobre las indicaciones, consulte Usando el catálogo de indicaciones.

Dirección

(Historias de Prevención de Amenazas, Caza de Amenazas, Anomalías de Uso y Anomalías de Eventos)

Defina la dirección del flujo de tráfico al que se aplica la regla. Las direcciones incluyen:

  • Entrada - Tráfico a su red que se origina en una fuente externa

  • Salida - Tráfico de su red hacia una fuente externa

  • Dentro de WAN - Tráfico de su red hacia otro sitio en su red

  • Todo lo anterior

Período de tiempo

Seleccione el período de tiempo en el que se aplica la regla, o seleccione Ilimitado para que la regla continúe aplicándose sin vencimiento.

Cuando se establece una fecha de vencimiento:

  • Para historias de Prevención y Caza de Amenazas, la regla vence al comienzo de esa fecha, en la zona horaria configurada en la configuración de perfil de usuario en la Aplicación de Administración de Cato.

  • Para historias de Operaciones del sitio, puede seleccionar la zona horaria a la que se aplica el marco de tiempo.

Establecer una fecha de vencimiento es una práctica recomendada para mantener una postura de seguridad efectiva.

Fuente

Fuente del tráfico para esta regla.

Puede seleccionar uno o más de los siguientes tipos de Fuente:

  • Historias de Prevención de Amenazas y Caza de Amenazas

    • Sitio

    • IP

    • Rango de IP

    • Usuario

    • Cualquiera

  • Operaciones del sitio

    • Sitio

    • Interfaz de Red (enlace de LAN)

    • Enlace de WAN

    • Tipo de conexión del sitio

    • Cualquiera

Dispositivo

(Historias de Prevención de Amenazas, Caza de Amenazas, Anomalías de Uso y Anomalías de Eventos)

El tipo de dispositivo al que se aplica la regla, definido por el sistema operativo.

Destino

(historias de Prevención de Amenazas, Caza de Amenazas, Anomalía de Uso y Anomalía de Eventos)

Destino del tráfico para esta regla.

Puede seleccionar uno o más de los siguientes tipos de Destino:

  • IP

  • URL

  • Dominio

  • FQDN

  • Aplicación

  • Categoría de Aplicación (solo para historias de Anomalía de Uso)

  • Cualquiera

Para definiciones de estos objetos, consulte Referencia para objetos de regla

Métrica de Anomalía de Eventos

(Historias de Anomalía de Eventos)

Seleccione el tipo de evento que desea silenciar. Después de seleccionar el tipo de evento, puede especificar un nombre de regla o un nombre de amenaza.

Puede seleccionar uno de los siguientes tipos de evento:

  • Cortafuegos WAN

  • Cortafuegos de Internet

  • IPS

  • Anti-Malware

  • NG Anti-Malware

  • Cualquiera

Además de las configuraciones anteriores, se muestra la siguiente información para cada regla de Historias Silenciadas:

  • Autor - El nombre de usuario del usuario que creó la regla.

  • Creado En - Fecha en la que se creó la regla.

Mostrando la Base de Reglas de Historias Silenciadas de Detección & Respuesta

Para mostrar la base de reglas de Historias Silenciadas de Detección & Respuesta:

  1. Desde el menú de navegación, haz clic en Inicio > Política de Detección & Respuesta.

Detection_Response_Allow_List.png

Creando una Regla de Historias Silenciadas en la Página de Detección & Respuesta

Agregue una nueva regla de Historias Silenciadas y configure las configuraciones que definen el tráfico a ser ignorado por los motores de Detección & Respuesta.

Detection_Response_Allow_List_Add_to_Allowlist.png

Para crear una regla de Historias Silenciadas de Detección & Respuesta:

  1. Desde el menú de navegación, haz clic en Inicio > Política de Detección & Respuesta.

  2. Seleccione la pestaña Historias Silenciadas.

  3. Haga clic en Nuevo. Se abre el panel Agregar a Historias Silenciadas.

  4. Configure los ajustes para la regla como se describe arriba.

  5. Haz clic en Guardar. La regla se agrega a la base de reglas de Historias Silenciadas.

Creando una Regla de Historias Silenciadas desde una Historia

Vea la historia detallada en el Banco de Trabajo de Historias y utilice el panel Acciones de la Historia para crear una regla de Historias Silenciadas.

Las siguientes configuraciones de regla se rellenan automáticamente en base a los datos de la historia:

  • Dirección

  • Fuente

    • Si la historia contiene múltiples tipos de datos para la fuente, se agregan todos en la configuración Fuente. Por ejemplo, si la historia identificó un IP y un Sitio para una fuente, entonces tanto el IP como el Sitio se rellenan automáticamente en la sección Fuente de la regla.

  • Destino - Rellenado automáticamente basado en los Objetivos de la historia

    • Si la historia identificó múltiples Objetivos, se agregan todos en la configuración Destino

Para crear una regla de Historias Silenciadas desde una historia:

  1. Desde el menú de navegación, haz clic en Inicio > Banco de Trabajo de Historias.

  2. Haga clic en la historia para abrir la página detallada de la historia.

  3. Haga clic en More_icon.png para abrir el panel de Acciones de la Historia.

  4. Haga clic en Agregar a Nuevas Historias Silenciadas. Se abre el panel Agregar a Nueva Regla de Historias Silenciadas.

    Detection_Response_Allow_List_from_Story.png

  5. Configure los ajustes para la regla como se describe arriba.

  6. Haz clic en Guardar. La regla se agrega a la base de reglas de Historias Silenciadas.

  7. Para mostrar la base de reglas de historias silenciadas de Detección & Respuesta, desde el menú de navegación haz clic en Inicio > Política de Detección & Respuesta.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios