Este artículo explica cómo crear una respuesta automática a una historia de XOps para contener amenazas potenciales.
Las respuestas automáticas a historias de XOps le permiten definir acciones de mitigación que se desencadenan cuando una historia cumple con criterios específicos. Esto ayuda a contener amenazas tan pronto como se detectan, reduce el tiempo de respuesta y asegura la aplicación consistente de su postura de seguridad y políticas de tráfico de red en todo su entorno.
Puede definir respuestas automáticas en reglas configuradas en la Política de Respuesta. En lugar de depender de una respuesta manual, cada regla evalúa los atributos de la historia, como la severidad, participación del usuario o indicación, y activa automáticamente la acción configurada.
Para prevenir una aplicación excesiva, una acción automática se aplica a un usuario específico una vez cada 30 minutos. Durante esta ventana de 30 minutos, historias adicionales coincidentes no activan acciones repetidas sobre el mismo usuario. Esto evita interrupciones innecesarias mientras asegura una respuesta efectiva a amenazas reales.
Las acciones admitidas se enumeran a continuación:
- Revocando la Sesión del Usuario: Esto cierra la sesión del usuario y le solicita que se reautentique a través de la pantalla de inicio de sesión del Cliente, asegurando que solo usuarios legítimos recuperen el acceso. Para más información, consulte Mitigando Amenazas en Historias de XOps.
La compañía ABC enfrenta un gran volumen de historias de XOps, lo que hace difícil asegurar que las amenazas más críticas se aborden de inmediato. Para reducir la exposición y aplicar una mitigación consistente, configuran una regla de política de respuesta que maneja automáticamente historias con los indicadores de riesgo más altos.
Crean una regla para identificar cualquier historia con alta gravedad y establecen la acción automatizada para revocar la sesión del usuario. Para asegurar que la acción automática se use de manera segura, el administrador añade un filtro por indicación y selecciona solo tipos de historias relacionadas con el phishing para esta política. Esto ayuda a equilibrar la eficacia de la seguridad con la aplicación adecuada y asegura que solo usuarios que realmente lo requieran sean bloqueados.
Cualquier usuario que esté incluido en una historia que cumpla con estos criterios se ve obligado automáticamente a reautenticarse. Este enfoque asegura que las amenazas críticas reciban atención inmediata, mejora la consistencia de su postura de seguridad y libera a los analistas para centrarse en la investigación en lugar de tareas urgentes de mitigación.
Las respuestas automáticas se configuran dentro de la Política de Respuesta.
Para crear una respuesta automática:
- Crear una regla de Política de Respuesta. Para más información, consulte Creando la Política de Respuesta para Historias de XOps.
- En la sección Respuesta, bajo Acción elija la acción automática para aplicar a la regla. También puede seleccionar una notificación.
- Haz clic en Guardar. La regla se añade a la política.
Si una historia coincide con una regla con respuesta automatizada, la acción se realiza automáticamente y la cronología de la historia se actualiza. La acción también es visible en el Centro de Acción.
La pestaña Centro de Acción en la página Inicio > Detección & Política de Respuesta le permite revisar las acciones de mitigación de XOps realizadas en su cuenta.
El Centro de Acción muestra la siguiente información para cada acción de mitigación:
- Tiempo - Marca de tiempo de cuando la acción de mitigación fue enviada
- Acción - Descripción de la acción de mitigación
- Sujeto - El usuario sobre el cual se realizó la acción
-
Estado - Estado de la acción. Para la acción Agregar Objetivo a la Lista de Bloqueo, estos son los valores de Estado:
- Éxito - La solicitud para revocar la sesión fue enviada al servicio de usuario de Cato
- Fallo - Hubo un problema con la solicitud para revocar la sesión
- Autor - Administrador que realizó la acción
- Desencadenante - El ID de la historia de la historia de la cual se envió la acción. Haz clic para abrir la página de Resumen de la historia
- Nota - Para acciones automáticas, no se agrega ninguna nota
0 comentarios
El artículo está cerrado para comentarios.