Este artículo analiza cómo puedes utilizar el Stories Workbench para revisar historias XOps para alertas de EPP de Cato.
Nota
Nota: XOps es la capa de análisis unificado de Cato para seguridad y operaciones, que ofrece información y remediación guiada. XOps ha reemplazado a XDR, para más información, consulta Preguntas frecuentes sobre XOps.
La solución EPP de Cato se integra con XOps (anteriormente XDR) de Cato para generar historias para dispositivos endpoint. Las historias de endpoint te ayudan a obtener una visión más completa de las amenazas potenciales en tu red, y puedes llevar a cabo investigaciones en una plataforma XOps unificada que se extiende tanto a la red como al endpoint.
El motor de alertas de endpoint de Cato crea una historia correlacionando datos de todas las alertas de Cato EPP que ocurrieron en el mismo dispositivo dentro de un período de 24 horas. Las historias de alerta de endpoint de Cato incluyen toda la evidencia relevante detectada por Cato EPP. El Stories Workbench muestra las historias de Cato EPP junto con otros tipos de historias, y puedes ordenar y filtrar las historias para enfocarte en las historias de alerta de endpoint de Cato.
Para más información sobre cómo revisar historias de XOps, incluyendo datos de Microsoft Cato EPP, consulte Profundización y Análisis de Historias de Seguridad XOps
-
Si el agente EPP de Cato está desconectado de Internet durante más de 8 horas, es posible que no se creen historias XOps para algunos eventos de EPP de ese período. Sin embargo, el agente EPP continúa detectando y bloqueando amenazas, y los eventos estarán disponibles en la página de eventos.
Una vez que haya creado el conector, las historias serán visibles en el Banco de Trabajo de Historias.
Para ver la página del Banco de Trabajo de Historias:
-
Desde el menú de navegación, haz clic en Home > Stories Workbench.
Para obtener información sobre las columnas en el Stories Workbench, consulta Understanding the Stories Columns.
La columna de Estado en la página de Configuración de Conectores muestra el estado de la conexión entre la aplicación CrowdStrike y su cuenta de Cato. Estas son las explicaciones de los estados:
-
Conectado - Su cuenta está conectada a la aplicación y funcionando correctamente
-
Consentimiento del usuario pendiente - No se han otorgado permisos para permitir que Cato acceda a la aplicación CrowdStrike. Para resolver este problema, actualice el navegador. Si el Estado cambia a Conectado, el problema se resuelve, si el Estado no cambia, elimine y recree el conector.
-
Error - Hay un problema de conectividad, permisos, licencia u otro con el conector. Elimine y recree el conector.
Una vez que haya creado el conector, las historias serán visibles en el Banco de Trabajo de Historias.
Para ver la página del Banco de Trabajo de Historias:
-
Desde el menú de navegación, haga clic en Inicio > Banco de Trabajo de Historias.
Para información sobre las columnas en el Banco de Trabajo de Historias consulte Comprender las Columnas de las Historias
Para más información sobre cómo revisar historias de XOps, incluyendo datos de Microsoft Defender, consulte Profundización y Análisis de Historias de Seguridad XOps
Puedes agrupar y filtrar las historias según el tipo de historia Cato Endpoint Alert para encontrar rápidamente historias para dispositivos endpoint. Para más información sobre cómo agrupar y filtrar historias, consulta Revisión de Historias de Detección y Respuesta XOps en el Stories Workbench.
0 comentarios
Inicie sesión para dejar un comentario.