Este artículo discute cómo crear una regla que silencie las historias XOps para que no aparezcan en el Banco de Trabajo de Historias.
Los motores de correlación XOps analizan datos de tráfico para encontrar coincidencias de posibles amenazas o degradación de la red. Si se identifica una coincidencia, se genera una historia en el Banco de Trabajo de Historias para ayudar a entender y analizar el problema. Si no desea que se cree una historia, puede configurar una regla de Silenciar Historias. Esto reduce la generación de historias falsos positivos y le ayuda a enfocar su análisis en amenazas potenciales reales o problemas de red. Las historias pueden ser silenciadas por un rango de tiempo específico o ilimitado
Puede silenciar historias creadas por estos motores:
- Prevención de amenazas
- Búsqueda de Amenazas
- Operaciones del Sitio
- Anomalía de Uso
- Eventos Anómalos
Para que una historia sea silenciada, debe tener una coincidencia exacta o contener los predicados insertados en la regla de Historias Silenciadas. Por ejemplo, si una regla contiene 3 dominios pero solo 2 están en la historia, la historia está silenciada. Si una regla contiene 2 dominios y la historia contiene 3, no se silencia. Las historias silenciadas no se generan por defecto; sin embargo, esto puede ser anulado seleccionándolo como una condición.
Nota
Nota: Los clientes de MDR pueden crear y editar reglas de silenciar historia para el motor de Operaciones del Sitio. Si desea definir historias silenciadas para otros motores, por favor contacte a mdr@catonetworks.com.
Puede definir tráfico de un recurso de confianza que luego se excluye de una historia. Por ejemplo, las historias de XOps se generan para detectar intentos de escaneo potenciales, pero la fuente del escaneo es una prueba de penetración conocida y benigno.
Para las historias de Prevención de Amenazas y Búsqueda de Amenazas, siempre se crea una historia incluso cuando está silenciada. Silenciar aplica una bandera de silencio a la historia, asegurando que se excluya de los informes y se oculte del Banco de Trabajo de Historias cuando se aplican los filtros de Prevención de Amenazas o Búsqueda de Amenazas. Las historias silenciadas tampoco desencadenan alertas por defecto según la política de respuesta.
Hay dos maneras de agregar reglas de Silenciar Historias para historias de Prevención de Amenazas y Caza de Amenazas:
- Crear una regla en la página de Detección & Respuesta
- Crear una regla desde una historia en el Banco de Trabajo de Historias. Este método es útil cuando nota un tráfico específico en una historia que sabe que es inofensivo
Hay dos maneras de agregar reglas de Silenciar Historias para historias de Anomalía de Uso y Anomalía de Eventos:
- Crear una regla en la página de Detección & Respuesta
- Crear una regla desde una historia en el Banco de Trabajo de Historias. Este método es útil cuando nota un tráfico específico en una historia que sabe que es inofensivo
Las siguientes secciones describen configuraciones útiles que están disponibles para las reglas de Silenciar Historias de Anomalía de Uso y Anomalía de Eventos.
El motor de Anomalía de Uso XOps identifica anomalías relacionadas con uso inusual en aplicaciones, y genera una historia cuando se detecta una anomalía. La política de Silenciar Historias le permite configurar una regla para una historia de Anomalía de Uso especificando aplicaciones o categorías de aplicaciones para que los motores XOps las excluyan. Por ejemplo, si sabe que un usuario específico carga cantidades inusuales de datos en OneDrive como parte de sus requerimientos de trabajo, crea una regla configurada con el Usuario específico como la Fuente y OneDrive como la Aplicación.
Es posible que una historia de Anomalía de Uso implique más de una aplicación. En tal caso, la Aplicación configurada se refiere a la aplicación principal en la historia. Por ejemplo, si configura la Aplicación como OneDrive, esto significa que si la aplicación principal en la historia de Anomalía de Uso es OneDrive, el motor XOps no generará la historia. Sin embargo, si la aplicación principal es una aplicación diferente, como Dropbox, y OneDrive tiene el segundo uso más alto, entonces la historia aún se generará.
El motor de Anomalía de Eventos XOps detecta anomalías que involucran a una entidad en la red activando un número inusual de eventos de seguridad, y genera una historia cuando se detecta una anomalía. La política de Silenciar Historias le permite configurar una regla para una historia de Anomalía de Eventos especificando tipos de eventos para que los motores XOps los excluyan. Luego puede especificar además excluir solo los eventos generados por reglas particulares o amenazas IPS.
Por ejemplo, si un usuario genera un número inusualmente grande de eventos de Firewall de WAN al realizar una actividad conocida e inofensiva, crea una regla con el Usuario configurado como la Fuente y configura la Métrica de Anomalía de Eventos como el Tipo de Evento de Firewall de WAN. Luego especifique la regla dentro de la base de reglas del Firewall de WAN.
Puede silenciar historias generadas por problemas de red específicos. Por ejemplo, si sabe que un ISP local tiene una interrupción planificada, puede silenciar las historias generadas por la indicación de sitio caído durante el período de la interrupción.
Para Historias de Operaciones de Sitio, siempre se crea una historia incluso cuando está silenciada. Silenciar aplica una bandera de silencio a la historia, asegurando que sea excluida de los informes y oculta del Banco de Trabajo de Historias cuando se aplica el filtro de Operaciones de Red. Las historias silenciadas tampoco activan alertas por defecto según la política de respuesta. Solo para clientes ILMM, estos tipos de historias son silenciados por defecto cuando los enlaces del sitio no están a bordo del servicio:
- Sitio Caído
- Enlace Caído
- Enlace ALT WAN Caído
- Quality SLA
Puede identificar si una historia ha sido silenciada en la columna Silenciada en la Cronología de Incidentes de una historia.
Puede agregar reglas de Historias Silenciadas para historias de Operaciones de Sitio creando una regla en la página de Detección & Respuesta.
La siguiente tabla explica los elementos que puede usar para definir las configuraciones de una regla de Silenciar Historias de Detección y Respuesta. Cuando configura múltiples objetos en una configuración, hay una relación O entre ellos. Por ejemplo, si hay una regla configurada con fuentes incluyendo un Sitio y un Usuario, la regla se aplica cuando el tráfico coincide con cualquiera de los dos.
|
Elemento |
Descripción |
|---|---|
|
Productor |
El motor o motores de Detección y Respuesta a los que se aplica la regla. Para más información sobre estos motores y los tipos de historias que detectan, vea Usando el Catálogo de Indicaciones |
|
ID de Indicación |
El identificador para la indicación utilizada por los motores de Detección y Respuesta. Cada ID de Indicación está asociado a una consulta de motor de Detección y Respuesta que identifica parámetros de tráfico específicos. Si define un ID de Indicación, la regla solo excluye tráfico de historias generadas por la consulta de motor específica asociada con ese ID de Indicación. Si no se define un ID de Indicación, el tráfico se excluye de todas las consultas de motor que coincidan con la configuración de la regla. Para obtener más información sobre Indications, consulte Usando el Catálogo de Indicaciones. |
|
Dirección (Historias de Prevención de Amenazas, Caza de Amenazas, Anomalía de Uso y Anomalía de Eventos) |
Defina la dirección del flujo de tráfico al que se aplica la regla. Las direcciones incluyen:
|
|
Marco de Tiempo |
Seleccione el marco de tiempo cuando se aplique la regla, o seleccione Ilimitado para que la regla se aplique sin vencimiento. Cuando se establece una fecha de expiración:
Establecer una fecha de expiración es una práctica recomendada para mantener una postura de seguridad efectiva. |
|
Fuente |
Fuente del tráfico para esta regla. Puede seleccionar uno o más de los siguientes tipos de Fuente:
|
|
Dispositivo (Historias de Prevención de Amenazas, Caza de Amenazas, Anomalía de Uso y Anomalía de Eventos) |
El tipo de dispositivo al que se aplica la regla, definido por el sistema operativo. |
|
Destino (Prevención de amenazas, Búsqueda de Amenazas, Anomalía de Uso, y Eventos Anómalos historias) |
Destino del tráfico para esta regla. Puedes seleccionar uno o más de los siguientes Destino tipos:
Para definiciones de estos objetos, consulte Referencia para Objetos de Reglas |
|
Métrica de Anomalía de Eventos (Historias de Anomalía de Eventos) |
Selecciona el tipo de evento a silenciar. Después de seleccionar el tipo de evento, puedes especificar un nombre de regla o nombre de amenaza. Puedes seleccionar uno de los siguientes tipos de eventos:
|
Además de las configuraciones anteriores, se muestra la siguiente información para cada regla de Historias Silenciadas:
- Autor - El nombre de usuario del usuario que creó la regla.
- Creado En - Fecha en que se creó la regla.
Para mostrar la base de reglas de Historias Silenciadas de Detección & Respuesta:
- Desde el menú de navegación, haz clic en Hogar > Política de Detección y Respuesta.
Agregue una nueva regla de Historias Silenciadas y configure las configuraciones que definen el tráfico que será desestimado por los motores de Detección & Respuesta.
Para crear una regla de Historias Silenciadas de Detección & Respuesta:
- Desde el menú de navegación, haz clic en Hogar > Política de Detección y Respuesta.
- Selecciona la pestaña Historias Silenciadas.
- Haz clic en Nuevo. El panel Agregar a Historias Silenciadas se abre.
- Configure las configuraciones para la regla como se describe arriba.
- Haz clic en Guardar. La regla se añade a la base de reglas de Historias Silenciadas.
Vea el desglose detallado en el Banco de Trabajo de Historias y use el panel de Acciones de Historia para crear una regla de Historias Silenciadas.
Las siguientes configuraciones de regla se completan automáticamente según los datos de la historia:
- Dirección
-
Fuente
- Por ejemplo, si la historia identificó una IP y un Sitio para una fuente, entonces tanto una IP como un Sitio se completan automáticamente en la sección Fuente para la regla. Por ejemplo, si la historia identificó una IP y un Sitio para una fuente, entonces tanto una IP como un Sitio se completan automáticamente en la sección Fuente para la regla.
-
Destino - Completado automáticamente basado en los Objetivos de la historia
- Si la historia identificó múltiples Objetivos, todos se añaden en la configuración de Destino
Para crear una regla de Historias Silenciadas desde una historia:
- Desde el menú de navegación, haz clic en Hogar > Banco de Trabajo de Historias.
- Haz clic en la historia para abrir la página detallada de la historia.
- Haga clic en
para abrir el panel de Acciones de la historia.
-
Haz clic en Agregar a Nuevas Historias Silenciadas. El panel Agregar a Regla de Nuevas Historias Silenciadas se abre.
- Configure las configuraciones para la regla como se describe arriba.
- Haz clic en Guardar. La regla se añade a la base de reglas de Historias Silenciadas.
- Para mostrar la base de reglas de Historias Silenciadas de Detección & Respuesta, desde el menú de navegación haz clic en Hogar > Política de Detección y Respuesta.
0 comentarios
Inicie sesión para dejar un comentario.