Este artículo describe las capacidades de Operaciones de Seguridad y Red de la plataforma Cato XOps, y qué está incluido en los diferentes niveles de licencia de XOps.
La plataforma de Cato XOps permite que los equipos de Operaciones de Seguridad y Operaciones de Red utilicen IA y automatización para monitorear la red de la organización en busca de amenazas de seguridad y problemas de rendimiento de la red. XOps transforma cantidades inmanejables de eventos de seguridad y red en bruto en historias consumibles, multifuncionales y accionables.
La plataforma incluye motores de correlación avanzados de muchos tipos diferentes que analizan los datos del tráfico para encontrar coincidencias con indicaciones específicas de actividades amenazantes o problemas de red. Cuando un motor encuentra una coincidencia, produce una historia que puede revisarse e investigarse en la Aplicación de Administración de Cato (CMA). CMA se refiere a estos motores como Productores.
Cada historia de XOps contiene datos de flujos de tráfico con propiedades comunes que se relacionan con la misma amenaza o problema de red. La página de Stories Workbench muestra los detalles de cada historia para ayudarte a entenderlas y analizarlas. Puede ordenar y filtrar las historias para encontrar los ataques potenciales más importantes, y luego profundizar en una historia para investigar más a fondo los detalles.
Estos son los nombres y descripciones de los varios productores de historias de XOps:
-
Prevención de Amenazas - El productor de Prevención de Amenazas de Cato XOps detecta un conjunto específico de comportamientos de ataques en eventos generados por los servicios de seguridad en tiempo real de Cato, como IPS y Anti-Malware. Las historias de Prevención de Amenazas ayudan a los analistas a centrarse en amenazas inmediatas y de alta confianza.
Las historias de Prevención de Amenazas suelen basarse en eventos de bloqueo correlacionados, lo que significa eventos de tráfico que fueron bloqueados por uno de los servicios de Seguridad. Sin embargo, aunque el tráfico ya fue bloqueado, es posible que esté relacionado con una amenaza en curso. La historia de XOps te permite investigar el contexto y los detalles del tráfico sospechoso para ayudar a determinar si aún existe una amenaza que requiere más mitigación.
Para más información sobre las historias de Prevención de Amenazas, consulte Drilling-Down and Analyzing XOps Security Stories.
-
Búsqueda de Amenazas - El productor de Búsqueda de Amenazas escanea continuamente la gran cantidad de datos históricos de tráfico almacenados en el data lake para detectar patrones de tráfico que indican amenazas potenciales. A diferencia del productor de Prevención de Amenazas, que se centra en eventos recientes, el productor de Caza de Amenazas busca correlaciones a lo largo del tiempo en los datos de tráfico almacenados. Se identifican correlaciones sobre datos de una semana para garantizar precisión. Además, mientras que el productor de Prevención de Amenazas examina los datos en los registros de eventos, el productor de Caza de Amenazas analiza un conjunto más amplio de datos de los flujos de tráfico. Esto permite al productor de Caza de Amenazas detectar amenazas más evasivas que son difíciles de identificar con métodos convencionales porque generan una firma más baja y difícil de detectar.
Lo siguiente es la página de Resumen de una historia de Caza de Amenazas que identificó 40 flujos de tráfico diferentes (señales) relacionados con una amenaza de phishing por ciberocupación:
Para más información sobre las historias de Búsqueda de Amenazas, consulte Drilling-Down and Analyzing XOps Security Stories.
-
Anomalía de Uso - Parte de las capacidades de Análisis de Comportamiento de Usuarios y Entidades (UEBA) de Cato, este productor compara la actividad de red de usuarios y sitios con las líneas base calculadas por algoritmos de aprendizaje automático, y genera historias por desviaciones sospechosas de los niveles de uso base. Por ejemplo, un usuario específico es detectado usando más ancho de banda de subida del usual.
Para más información sobre las historias de Anomalías de Uso, consulte Analyzing XOps UEBA Stories for Usage and Events Anomalies.
-
Anomalía de Eventos - Otro elemento en las capacidades de UEBA de Cato, este productor detecta indicaciones que implican que una entidad en la red está provocando un número inusual de eventos de Seguridad. Por ejemplo, un usuario está asociado con un número inusualmente grande de eventos de bloqueo IPS para tráfico hacia una dirección específica, lo que puede indicar una infección potencial en el dispositivo del usuario.
Para más información sobre las historias de Anomalías de Eventos, consulte Analyzing XOps UEBA Stories for Usage and Events Anomalies.
-
Anomalía de Experiencia: Detectada actividad anómala de la experiencia de aplicación para sitios y aplicaciones específicos. Después de monitorear una aplicación durante 14 días, crea una línea base usando TTFB (Tiempo de transferencia del primer byte). El productor luego revisa el tráfico una vez al día y genera una historia cuando la experiencia de la aplicación es significativamente diferente al punto de referencia. La historia te ayuda a revisar el sitio afectado, la aplicación, los flujos de tráfico y posibles problemas de rendimiento.
-
Operaciones de Cuenta: Detecta problemas a nivel de cuenta que pueden afectar a usuarios, sitios y servicios. Esto incluye fallos de sincronización de directorios, agotamiento de licencias, certificados expirados, problemas de conectores y otros problemas de configuración u operativos. El productor genera historias que te ayudan a entender el problema, revisar su alcance e impacto, y seguir pasos guiados de remediación para restaurar la operación normal.
-
Insight Predictivo: Detecta riesgos potenciales de rendimiento y disponibilidad antes de que impacten el servicio. Analiza tendencias de red, uso de recursos y el contexto de configuración para prever problemas en desarrollo. Por ejemplo, puede generar una historia cuando se espera que el uso de CPU de un Socket de sitio exceda el uso aceptable. La historia te ayuda a revisar la previsión, entender cuándo el problema puede volverse crítico y seguir pasos guiados de remediación.
-
Alertas de Microsoft Endpoint - Los clientes que usan Microsoft Defender for Endpoint pueden integrar los datos de alerta de Defender con XOps de Cato para producir historias para dispositivos de punto final. El productor de alertas de endpoint de Microsoft crea una historia correlacionando datos de Alertas de Defender que ocurrieron en el mismo dispositivo dentro de un período de 24 horas. Las historias de Alerta de Endpoint incluyen todas las evidencias relevantes para la Alerta detectada por el Defensor. Al expandir el enfoque hacia el endpoint, estas historias le ayudan a obtener una imagen más completa de las amenazas potenciales en su red.
Para más información sobre cómo integrar Defender for Endpoint con Cato XOps, consulte Microsoft Defender for Endpoint Alerts: Configuring the XOps Integration.
-
Alertas de Microsoft Entra ID - Puede integrar los datos de alertas de Microsoft Entra ID Protection para generar historias de XOps de Cato. Esto permite que los analistas incluyan datos de inicios de sesión riesgosos dentro del contexto más amplio de investigaciones de XOps. El motor de Alerta de Identidad Cato Entra crea una historia al correlacionar datos de alertas de Entra ID Protection que ocurrieron para el mismo usuario dentro de un período de 24 horas.
Para más información sobre cómo integrar Entra ID Alerts con Cato XOps, consulte Microsoft Entra ID: Configuring the XOps Integration.
-
Detección y Respuesta en la Nube: Utiliza problemas de Wiz para detectar riesgos en entornos de nube. Esto incluye configuraciones inseguras, aplicaciones vulnerables, credenciales expuestas y detecciones de amenazas. El productor procesa problemas de Wiz en casi tiempo real y genera historias en el Banco de Trabajo de Historias. Estas historias combinan la inteligencia en la nube de Wiz con el contexto de Cato, ayudándote a investigar riesgos en la nube e identificar posibles ataques entre ambientes.
-
Alertas de Endpoint de Cato - La solución EPP de Cato se integra con Cato XOps para generar historias para dispositivos endpoint. El productor de Alertas de Endpoint de Cato crea una historia al correlacionar datos de todas las alertas de Cato EPP que ocurrieron en el mismo dispositivo dentro de un período de 24 horas. Las historias de Alertas de Endpoint de Cato incluyen toda la evidencia relevante detectada por Cato EPP.
Para más información sobre las historias de Alertas de Endpoint de Cato, consulte Cato Endpoint Protection (EPP): Configuring the XOps Integration.
-
Alertas de SentinelOne - Los clientes que usan SentinelOne pueden integrar datos de SentinelOne EDR para generar historias para dispositivos de punto final. El productor de SentinelOne crea una historia al correlacionar datos de incidentes EDR de SentinelOne basados en el UUID del Agente (ID del Dispositivo) y el Hash del archivo de amenaza dentro de 90 días. Estas historias incluyen toda la evidencia relevante para los incidentes detectados por SentinelOne. Las historias se crean casi en tiempo real después de que se genera la alerta original.
Para más información sobre cómo integrar Alertas de SentinelOne, consulte SentinelOne EDR: Configuring the XOps Integration.
-
Alertas de CrowdStrike - Los clientes que usan CrowdStrike pueden integrar datos de las detecciones de CrowdStrike basadas en el ID del incidente. Estas historias incluyen toda la evidencia relevante para la detección identificada por CrowdStrike. Las historias se crean casi en tiempo real después de que se genera la alerta original.
Para más información sobre cómo integrar Alertas de CrowdStrike, consulte CrowdStrike: Configuring the XOps Integration.
-
Operaciones del Sitio - Cato XOps presenta el productor único llamado Operaciones del Sitio (formalmente conocido como Network XDR) que converge las operaciones de Red con las de Seguridad en una sola plataforma. Este productor detecta diferentes indicaciones y métricas relacionadas con la conectividad y el rendimiento, y genera historias que correlacionan datos sobre problemas relacionados con la red. Por ejemplo, si un enlace WAN está experimentando intermitencia con alta pérdida de paquetes, el productor crea una historia única con todos los datos relevantes para el enlace.
Para más información sobre historias de Red en Cato XOps, vea Revisando Historias de Operaciones del Sitio.
Esta sección proporciona casos de uso para cada productor:
Escenario
Un usuario hace clic en un enlace de phishing y es redirigido a un sitio que aloja un kit de explotación.
Cómo funciona
El IPS de Cato detecta el intento de explotación en tiempo real y bloquea el tráfico antes de que llegue al punto final.
Historia
El productor de Prevención de Amenazas crea una historia que muestra:
-
Identidad y ubicación del usuario
-
Firma del kit de explotación (por ejemplo, referencia CVE)
-
Acción tomada (el tráfico fue bloqueado)
Resultado
Los equipos de seguridad saben rápidamente que ocurrió un intento de explotación, sin infección en el punto final. Ellos pueden rastrear si el correo electrónico de phishing llegó a otros usuarios adicionales. La pestaña de Historias Similares muestra otros usuarios que intentaron acceder al mismo dominio, y la página de Eventos proporciona un análisis detallado de la firma IPS y CVE para identificar si surgieron en alguna otra parte de la red.
Escenario
Un dispositivo se comunica con una dirección IP externa rara todas las noches a las 2 AM. La IP no está en las listas de amenazas pero el patrón de comunicación parece sospechoso.
Cómo funciona
El motor de Búsqueda de Amenazas analiza el tráfico histórico en el data lake. Detecta este patrón de baliza inusual durante varias semanas.
Historia
El productor construye una historia vinculando:
-
Flujos repetidos desde el mismo host
-
Características del destino sospechosas (baja reputación, ASN poco común)
-
Cronología de la actividad
Resultado
Los analistas del SOC investigan y descubren un malware utilizando un canal de comando y control. La detección temprana previene la exfiltración de datos.
Escenario
Un empleado de RRHH generalmente sube ~50 MB de archivos semanalmente. De repente, sube 5 GB a un sitio externo de intercambio de archivos.
Cómo funciona
El productor de Anomalías de Uso utiliza Aprendizaje Automático para comparar la actividad actual con la línea de base del usuario. El aumento es marcado.
Historia
La historia muestra:
-
Línea de base normal vs. nuevo comportamiento
-
Destino (Dropbox, Google Drive, etc.)
-
Marca de tiempo y volumen de tráfico
Resultado
Seguridad investiga y descubre que el usuario cargó accidentalmente archivos confidenciales en una cuenta personal. Los archivos se eliminan, y Cato recomienda ajustar los controles de DLP para prevenir tales casos en el futuro.
Escenario
Un dispositivo IoT comienza a comunicarse en una nueva dirección de tráfico, enviando datos a internet, una dirección de tráfico nunca antes vista por este dispositivo, cuyo comportamiento regular es comunicarse solo dentro de la WAN.
Cómo funciona
El productor de Anomalías de Eventos identifica la desviación en la frecuencia de eventos, en usuarios, sitios o dispositivos.
Historia
La historia resalta:
-
Comportamiento usual observado de este dispositivo (comunicación WAN)
-
Comportamiento anómalo: Múltiples solicitudes a direcciones IP externas, asociadas con fuentes de inteligencia de amenazas
Resultado
El equipo confirma un intento de comando y control a través de un dispositivo IoT. El dispositivo es contenido y la comunicación maliciosa es bloqueada.
Escenario
Microsoft Defender for Endpoint detecta un script malicioso de PowerShell en una estación de trabajo.
Cómo funciona
La alerta se reenvía desde Microsoft Defender a Cato a través del conector.
Historia
La plataforma XOps correlaciona historias de este productor, alertas de puntos finales, con historias relacionadas de otros productores (por ejemplo, tráfico saliente a IPs sospechosas).
Resultado
El equipo SOC recibe una vista unificada de malware en puntos finales y comportamiento de red coincidente, lo que permite una contención y análisis de causa raíz más rápidos.
Escenario
Una oficina sucursal experimenta problemas de conectividad intermitentes, el enlace principal de ISP sigue subiendo y bajando repetidamente (intermitente), interrumpiendo el acceso a aplicaciones en la nube y túneles VPN.
Cómo funciona
El motor de Operaciones del Sitio de Cato monitorea continuamente la salud del enlace. Cuando múltiples eventos de Enlace caído y Enlace activo ocurren cercanos, los agrupa en una sola historia, identificando un patrón de inestabilidad en lugar de incidentes aislados.
Historia
La historia muestra:
-
Sitio afectado y enlace WAN específico
-
Cronograma de flaps de enlace correlacionados durante la ventana de monitoreo
-
Análisis que identifica comportamiento intermitente (por ejemplo, cinco eventos de enlace caído dentro de 10 minutos)
Resultado
El motor de Operaciones del Sitio agrega todos los eventos relacionados en una sola historia correlacionada, reduciendo el ruido de alertas y destacando un posible problema de enlace crónico. El equipo de TI es notificado proactivamente y cambia al enlace ISP de respaldo, y trabaja con el proveedor para resolver la causa raíz, minimizando el tiempo de inactividad y previniendo interrupciones de servicio repetidas.
Su licencia de XOps determina los productores disponibles para su cuenta, y si el servicio es gestionado por Cato. Todos los niveles de licencia se benefician de las herramientas de la plataforma XOps en la Aplicación de Administración de Cato, incluyendo:
La tabla a continuación describe los niveles de licencia de XOps que entrarán en vigor a partir del 6 de agosto de 2025. y explica qué productores están disponibles para cada nivel. Por favor contacte a su representante de Cato o vendedor oficial para más información sobre la compra de licencias de XOps.
|
Licencia |
Descripción |
|---|---|
|
Sin licencia |
Si un conector está configurado, los eventos son creados por los siguientes productores:
|
|
XOps |
Un nivel pagado, no gestionado que incluye el siguiente conjunto de productores que correlacionan datos en una historia, la plataforma para investigarlos, recomendaciones de mitigación y acciones de mitigación:
|
|
MDR |
Un nivel de pago que incluye un servicio SOC gestionado 24/7, mejorando la seguridad y la administración de historias. Este servicio es proporcionado por el equipo de Gestión de Detección y Respuesta de Cato e incluye:
|
0 comentarios
Inicie sesión para dejar un comentario.