Este artículo explica cómo usar webhooks y otras notificaciones con la Política de Respuesta de XOps que define cuándo se te notificará sobre nuevas y actualizadas historias de XOps, y cuándo se generan eventos.
Para obtener más [4minformación[0m sobre historias de XOps, consulte Revisar Detección & Respuesta historias de XOps en el Banco de Trabajo de Historias
La Política de Respuesta te ayuda a monitorear las historias de XOps definiendo cuándo se envían notificaciones de historias a los administradores y analistas, y cuándo se generan eventos para las historias. Puedes crear reglas que definan los criterios de la historia para enviar notificaciones y generar eventos, y puedes usar grupos de suscripción, listas de correo e integraciones de terceros para configurar qué administradores reciben las notificaciones.
Por ejemplo, puedes crear reglas que envíen notificaciones:
-
Si la Crítica de la historia es alta
-
Cuando se crean nuevas historias para una fuente específica (como un sitio o rango de IP)
-
Cuando se actualizan los objetivos de la historia
-
Para historias de Seguridad con una indicación específica de ataque
-
Para Operaciones del Sitio para problemas específicos, como si un sitio o enlace está caído
Nota
Nota: Por defecto, no se envían notificaciones para Operaciones del Sitio que coinciden con una regla de Historias Silenciadas.
Por defecto, no se generan eventos de historia de XOps. Los eventos solo se generan de acuerdo con las reglas configuradas. Cuando defines reglas que generan eventos para historias de XOps, puedes verlos en la página de Eventos, para más información, consulta Analizando eventos en tu red.
También puedes integrar eventos de historias XOps con tus servicios de terceros existentes y flujos de trabajo.
-
Para obtener una lista de integraciones compatibles por el proveedor para eventos de Cato, consulta Datos de Cato: Integraciones Compatibles con Terceros
-
Para más sobre cómo enviar eventos a una cuenta de almacenamiento de terceros (como AWS o Azure), consulte los artículos en la sección Event Integration
La página de Eventos muestra un número determinado de campos por evento. Para acceder a los datos completos de la historia, expórtalo como un archivo JSON disponible en el campo additional_data. También puedes crear un filtro para exportar solo los datos que requieres. Para más sobre los campos de eventos de XOps, consulte abajo Campos de Evento y API de Cato para Eventos de Historias XOps.
Cuando agregas una regla a la Política de Respuesta, configura cada sección de la regla que es necesaria para definir las condiciones para enviar una notificación o generar un evento.
Por ejemplo, si quieres generar un evento para cada historia de XOps que se crea o se actualiza, configura una regla con el Origen como Cualquier, y el Disparador como Story Created or Updated.
Nota
Nota: Para clientes MDR, contacte a <mdr@catonetworks.com> para definir reglas de la Política de Respuesta para tu cuenta. Esto se puede anular seleccionándolo como una condición.
Una regla de Política de Respuesta tiene las siguientes secciones:
-
Nombre - El nombre que asignas para la regla
-
Descripción para la regla
-
Origen - La fuente de tráfico en tu red involucrada en la historia. Por ejemplo: Sitio, Dirección IP, o usuario
Para más sobre los artículos de Fuente para una regla, consulte Referencia para objetos de regla.
-
Criterio - Características de la historia para coincidir con la regla. Cuando agregas criterios, selecciona el tipo de criterio, valor, y el operador que determina la relación entre el criterio y el valor. Por ejemplo: Criticidad | Mayor que | 6.
Los criterios configurables de historias incluyen los siguientes: Gravedad, Severidad, Indicación, Veredicto del Analista, Productor, Objetivos Agregados y Estado. Para más sobre estos criterios de historias, consulte Revisar Detección & Respuesta historias de XOps en el Banco de Trabajo de Historias
-
El Productor es el motor que genera la historia. Para más sobre Operaciones del Sitio, consulte Revisando historias de Operaciones del Sitio. Para más sobre los motores de XOps y sus tipos de licencia requeridos, consulte Uso del Catálogo de Indicaciones.
-
Puedes configurar múltiples valores para los siguientes criterios: Indicación, Veredicto del Analista, Severidad y Productor. Cuando agregas múltiples valores a una sola entrada de criterio, hay una relación OR entre ellos.
-
-
Disparador - Define cuándo el motor de Política de Respuesta verifica una historia para coincidir con la regla. Las configuraciones incluyen:
-
Historia Creada - El motor de Política de Respuesta verifica una coincidencia con la regla cuando se crea una nueva historia. Las historias existentes que se actualizan no se verifican para coincidir con la regla.
-
Historia Creada o Actualizada - El motor de Política de Respuesta verifica una coincidencia con la regla cuando se crea una nueva historia o cuando se actualiza una historia existente. Las actualizaciones pueden incluir cambios en el Estado, Veredicto del Analista, Severidad y Objetivos de la historia.
-
-
Respuesta - Selecciona la respuesta para cuando la regla coincide. Las respuestas pueden incluir generar un evento y notificaciones definidas por Grupo de Suscripción, Lista de Correo, o Integración de Webhook.
Crea una nueva regla de Política de Respuesta y configura las configuraciones de la regla para definir cuándo se envía una notificación de historia.
Para crear una nueva regla de Política de Respuesta:
-
Desde el menú de navegación, haz clic en Inicio > Política de Detección y Respuesta.
-
Selecciona la pestaña Política de Respuesta.
-
Haz clic en Nuevo. Se abre el panel Agregar a Política de Respuesta.
-
Ingresa un Nombre para la regla.
-
En la sección Origen, selecciona el tipo (por ejemplo: Host, Rango de IP, Sitio) y luego selecciona uno o más objetos para el origen de la historia para esta regla (o puedes ingresar una dirección IP).
El valor de Origen predeterminado es Cualquier.
-
(Opcional) Define los Criterios que especifican las características que una historia debe tener para coincidir con la regla.
-
Selecciona el Disparador para la regla. Puedes configurar si el desencadenante debería ser cuando una historia se crea, se actualiza o ambas.
-
Selecciona la Respuesta. Si seleccionas Enviar Notificación, entonces define el Grupo de Suscripción, Lista de Correo, o Integración para recibir la notificación.
-
Haga clic en Guardar. La regla se añade a la política.
Para enviar datos de historias de XOps a un tercero mediante una integración Webhook, necesitas:
-
Configurar la integración de terceros en la CMA
-
Crear la regla requerida en la Política de Respuesta
Puedes definir una integración de Webhook para enviar alertas a plataformas de terceros como ServiceNow, Jira, y Slack, y crear flujos de automatización basados en alertas. Los Webhooks de Cato soportan encabezados HTTP personalizables y mensajes en la alerta para satisfacer las necesidades específicas de tu organización. Para más información, consulte Envío de Notificaciones CMA vía Webhooks.
Después de definir la integración de terceros, crea una regla en la Política de Respuesta.
Para crear una regla para una integración de terceros:
-
Siga los pasos 1-7 en Crear nuevas reglas de política de respuesta.
-
En la sección Respuesta, selecciona Enviar Notificación.
-
En el menú desplegable Enviar notificación a, selecciona Integración.
-
En el menú desplegable Integración, selecciona la integración que deseas usar en la regla.
-
Haga clic en Guardar. La regla se añade a la política.
La página de Eventos muestra todos los eventos de historia de XOps generados para su cuenta. Puede filtrar la página para mostrar los eventos usando el Tipo de Evento Detección y Respuesta.
A continuación se muestran los campos relevantes para eventos de historia. La consulta eventsFeed de la API de Cato muestra datos para las historias de XOps en estos campos para tipo eventFieldName.
|
Valor del enum de API |
Campo de Evento |
Comentarios |
|---|---|---|
|
user_display_name |
Nombre de Usuario para Mostrar |
|
|
analyst_verdict |
Veredicto del Analista |
|
|
criticality |
Criticidad |
|
|
device_name |
Nombre del Dispositivo |
|
|
event_count |
Conteo de Eventos |
Para las Historias de XOps, los eventos no se agregan automáticamente, por lo tanto, el Conteo de Eventos usualmente tendrá un valor de 1. |
|
sub-type |
Sub-tipo |
|
|
event_type |
Tipo de Evento |
Para los eventos de historia de XOps, el Tipo de Evento es Detección y Respuesta. |
|
indication |
Indicación |
|
|
event_internal_id |
ID Interno del Evento |
|
|
producer |
Productor |
El motor que generó la historia. Posibles valores: Prevención de Amenazas, Caza de Amenazas, Anomalía en el Uso, Anomalía de Eventos, Alerta de Endpoint de Microsoft. |
|
rule |
Regla |
Nombre de la regla de la Política de Respuesta que generó el evento. |
|
source_ip |
IP de Origen |
|
|
source_is_site_or_sdp_user |
La fuente es Sitio o Usuario |
|
|
source_site |
Sitio de Origen |
|
|
status |
Estado |
|
|
story_id |
ID de Historia |
|
|
threat_name |
Nombre de la Amenaza |
|
|
threat_type |
Tipo de Amenaza |
|
|
time |
Tiempo |
|
|
vendor |
Vendedor |
Posibles valores: Microsoft (para historias de Alerta de Endpoint de Microsoft), Cato. |
|
additional_data |
N/A |
Datos de historia que no están incluidos en los otros campos de evento. Este campo se incluye en los eventos exportados, pero no se muestra en la página de Eventos. Nota: Este campo se exporta como datos sin analizar en bruto y puede contener caracteres de escape. Este formato está sujeto a cambios. |
0 comentarios
Inicie sesión para dejar un comentario.