Este artículo explica cómo usar webhooks y otras notificaciones con la Política de Respuesta de XOps que define cuándo se te notifica sobre nuevas y actualizadas historias de XOps, y cuándo se generan eventos.
Para obtener más información sobre las historias de XOps, consulte Revisando historias de detección y respuesta XOps en el banco de trabajo de historias
Nota
Nota: XOps es la capa de análisis unificado de Cato para seguridad y operaciones, ofreciendo insights y remediación guiada. XOps ha reemplazado a XDR, para obtener más información, consulte Preguntas frecuentes sobre XOps.
La Política de Respuesta te ayuda a monitorear historias XOps definiendo cuándo se envían notificaciones para las historias a los administradores y analistas, y cuándo se generan eventos para las historias. Puedes crear reglas que definan los criterios de la historia para enviar notificaciones y generar eventos, y puedes usar grupos de suscripción, listas de correo y integraciones de terceros para configurar qué administradores reciben las notificaciones.
Por ejemplo, puede crear reglas que envíen notificaciones:
-
Si la criticidad de la historia es alta
-
Cuando se creen nuevas historias para una fuente específica (como un sitio o rango de IP)
-
Cuando se actualicen los targets de la historia
-
Para historias de Seguridad con una indicación específica de ataque
-
Para Operaciones del Sitio para problemas específicos, como un sitio o enlace caído
Nota
Nota: De manera predeterminada, no se envían notificaciones para Operaciones del Sitio que coinciden con una regla de Silenciar Historias.
Por defecto, no se generan eventos de historias XOps. Los eventos solo se generan según las reglas configuradas. Cuando define reglas que generan eventos para historias de XOps, puede verlos en la página de Eventos, para obtener más información, consulte Analizar eventos en su red.
También puedes integrar eventos para historias XOps con tus servicios y flujos de trabajo de terceros existentes:
-
Para obtener una lista de integraciones compatibles con proveedores para los eventos de Cato, consulte Datos de Cato: Integraciones compatibles de terceros
-
Para obtener más información sobre el envío de eventos a una cuenta de almacenamiento de terceros (como AWS o Azure), consulte los artículos en la sección Integración de eventos
La página de Eventos muestra un número determinado de campos por evento. Para acceder a todos los datos de la Historia, expórtelos como un archivo JSON disponible en el campo additional_data. También puedes crear un filtro para exportar solo los datos que necesitas. Para obtener más información sobre los campos de eventos de XOps, vea a continuación, Campos de Eventos y API de Cato para Eventos de Historias de XOps.
Cuando añade una regla a la política de respuesta, configure cada sección en la regla que sea necesaria para definir las condiciones para enviar una notificación o generar un evento.
Por ejemplo, si deseas generar un evento por cada historia XOps que se crea o actualiza, configura una regla con el Origen como Cualquiera, y el Desencadenante como Historia Creada o Actualizada.
Nota
Nota: Para clientes de MDR, por favor contacte a <mdr@catonetworks.com> para definir reglas de política de respuesta para su cuenta.
Una regla de política de respuesta tiene las siguientes secciones:
-
Name - El nombre que asigna para la regla
-
Description para la regla
-
Source - La fuente de tráfico en su red involucrada en la historia. Por ejemplo: Sitio, Dirección IP, o usuario
Para más información sobre los elementos de Fuente para una regla, consulte Referencia para Objetos de Reglas.
-
Criteria - Características de la historia para que cumpla la regla. Cuando agregue criterios, seleccione el tipo de criterio, valor y el operador que determina la relación entre los criterios y el valor. Por ejemplo: Criticality | Greater Than | 6.
Los criterios configurables de la historia incluyen: Criticidad, Severidad, Indicación, Veredicto del analista, Productor, Targets añadidos, Status. Para más información sobre estos criterios de historias, consulte Revisando historias de detección y respuesta XOps en el banco de trabajo de historias
-
El Productor es el motor que genera la historia. Para más información sobre las Operaciones del Sitio, consulte Revisando historias de Operaciones del Sitio. Para más información sobre los motores de XOps y sus tipos de licencias requeridas, consulte Uso del Catálogo de Indicaciones
-
Puede configurar múltiples valores para los siguientes criterios: Indicazione, Veredicto del analista, Severidad, Productor. Cuando agrega múltiples valores a una sola entrada de criterios, existe una relación OR entre ellos.
-
-
Trigger - Define cuándo el motor de política de respuesta verifica si una historia cumple con la regla. Las configuraciones incluyen:
-
Story Created - El motor de política de respuesta verifica un cumplimiento de la regla cuando se crea una nueva historia. Las historias existentes que se actualizan no se chequean para cumplir la regla.
-
Story Created or Updated - El motor de política de respuesta verifica un cumplimiento de la regla cuando se crea una nueva historia o cuando se actualiza una historia existente. Las actualizaciones pueden incluir cambios en el status, veredicto del analista, severidad y targets de la historia.
-
-
Response - Seleccione la respuesta para cuando se cumpla la regla. Las respuestas pueden incluir la generación de un evento y notificaciones definidas por Grupo de Suscripción, Lista de Correo, o Integración de Webhooks.
Cree una nueva regla de política de respuesta y configure la configuración de la regla para definir cuándo se envía una notificación de historia.
Para crear una nueva regla de política de respuesta:
-
Desde el menú de navegación, haz clic en Home > Detection & Response Policy.
-
Seleccione la pestaña Response Policy.
-
Haga clic en New. Se abre el panel Add to Response Policy.
-
Ingrese un Name para la regla.
-
En la sección de Source, seleccione el tipo (por ejemplo: Host, IP Range, Site) y luego seleccione uno o más objetos para la fuente de la historia para esta regla (o puede ingresar una dirección IP).
El valor por defecto de Source es Any.
-
(Opcional) Definir Criteria que especifiquen las características que una historia debe tener para coincidir con la regla.
-
Seleccione el Trigger para la regla.
-
Seleccione la Response. Si selecciona Enviar notificación, entonces defina el Grupo de Suscripción, Lista de Correo o Integración para recibir la notificación.
-
Haz clic en Guardar. La regla se añade a la política.
Para enviar datos de Historias XOps a un tercero utilizando una integración de Webhook, necesitas:
-
Configurar la integración de terceros en el CMA
-
Crear la regla requerida en la Política de Respuesta
Puedes definir una integración de Webhook para enviar alertas a plataformas de terceros como ServiceNow, Jira y Slack, y crear flujos de automatización basados en alertas. El soporte de Webhooks de Cato permite personalizar los encabezados y mensajes HTTP de la alerta para satisfacer las necesidades específicas de tu organización. Para más información, consulte Creando una integración de alerta de webhooks.
Después de definir la integración de terceros, crea una regla en la Política de Respuesta.
Para crear una regla para una integración de terceros:
-
Siga los pasos 1-7 en Creando nuevas reglas de política de respuesta.
-
En la sección de Respuesta, selecciona Enviar Notificación.
-
En el menú desplegable de Enviar notificación a, selecciona Integración.
-
En el menú desplegable de Integración, selecciona la integración que deseas usar en la regla.
-
Haz clic en Guardar. La regla se añade a la política.
La página de Eventos muestra todos los eventos de historias XOps generados para tu cuenta. Puede filtrar la página para mostrar los eventos usando el tipo de evento Detección y respuesta.
A continuación se presentan los campos relevantes para eventos de historias. La consulta eventsFeed de la API de Cato muestra datos de historias XOps en estos campos para el tipo de nombre de campo de evento.
|
Valor enum de la API |
Campo de Evento |
Comentarios |
|---|---|---|
|
user_display_name |
Nombre de Usuario |
|
|
veredicto_del_analista |
Veredicto del Analista |
|
|
criticidad |
Criticidad |
|
|
nombre_del_dispositivo |
Nombre del dispositivo |
|
|
conteo_de_eventos |
Conteo de Eventos |
Para Historias XOps, los eventos no se agregan automáticamente, por lo tanto, el Conteo de Eventos generalmente tendrá un valor de 1. |
|
sub_tipo |
Sub-Tipo |
|
|
tipo_de_evento |
Tipo de Evento |
Para eventos de historias XOps, el Tipo de Evento es Detección y Respuesta. |
|
indicación |
Indicación |
|
|
id_interno_del_evento |
ID Interno del Evento |
|
|
productor |
Productor |
El motor que generó la historia. Valores posibles: Prevención de Amenazas, Caza de Amenazas, Anomalía de Uso, Anomalía de Eventos, Alerta de Endpoint de Microsoft. |
|
regla |
Regla |
Nombre de la regla de política de respuesta que generó el evento. |
|
ip_de_fuente |
IP de Fuente |
|
|
fuente_es_sitio_o_usuario_sdp |
El origen es Sitio o Usuario |
|
|
source_site |
Site de Origen |
|
|
estado |
Estado |
|
|
story_id |
ID de Historia |
|
|
threat_name |
Nombre de la Amenaza |
|
|
threat_type |
Tipo de Amenaza |
|
|
tiempo |
Tiempo |
|
|
proveedor |
Proveedor |
Valores posibles: Microsoft (para historias de Alertas de Microsoft Endpoint), Cato. |
|
datos_adicionales |
N/A |
Datos de historia que no están incluidos en los otros campos del evento. Este campo se incluye en los eventos exportados, pero no se muestra en la página de Eventos. Nota: Este campo se exporta como datos sin procesar y puede contener caracteres de escape. Este formato está sujeto a cambios. |
0 comentarios
Inicie sesión para dejar un comentario.