Asunto

En Cato, hay dos tipos de cuotas: una se refiere a eventos, mientras que la otra se relaciona con alertas. El límite predeterminado varía según la licencia DPA que tenga el cliente.

• Para el cliente con licencia DPA 2021, el umbral predeterminado para la generación de eventos es de 2,5 millones de eventos por hora, por sub-tipo. 
• En DPA 23, el umbral se determina por el número de unidades de datos que el cliente adquiere durante el proceso de renovación o incorporación. Específicamente, 1 Unidad de Datos equivale a 2,5 millones de eventos por hora. (agregación de todos los sub-tipos). 

Nota: La tasa de eventsFeed de la API de Cato no está limitada por la Cuota de Eventos, sino que sigue diferentes límites de tasa de API como se explica en Understanding Cato API Rate Limiting

Para alertas, el límite por defecto para la generación de alertas se establece en 50 alertas por hora, por sub-tipo. 

Para saber qué licencia DPA tienes, ve a Administración > Licencia

Ej. de DPA 2021

Ej. de DPA 2023

Para más información, consulta Umbrales y Límites de Cato Cloud.

Este artículo tiene como objetivo proporcionar orientación sobre cómo abordar situaciones en las que has recibido un correo electrónico notificándote que la cuota de eventos y/o alertas ha sido excedida.

Solución de problemas

1. Cuota de Eventos de Cato Excedida
2. Cuota de Alertas de Cato Excedida

Cuota de Eventos de Cato Excedida

Cuando el número de eventos excede la cuota máxima para la cuenta, Cato genera una alerta de correo electrónico

La siguiente captura de pantalla muestra un mensaje de alerta de muestra de eventos cuya cuota ha sido excedida para eventos de cortafuegos de Internet: 

Solución 

Cato genera la alerta de Cuota de Eventos Excedida cuando el número de eventos para un tipo de evento específico excede los límites máximos de eventos por hora. Para más detalles sobre los límites de eventos, consulta Umbrales y Límites de Cato Cloud.

Eventos de WAN e Internet

Puedes identificar la regla de WAN o Internet que está generando la gran cantidad de eventos y luego deshabilitar la opción Track > Evento.

Para identificar la regla de cortafuegos y deshabilitar la opción de eventos de seguimiento :

1. Abre la Cato Management Application y ve a Inicio > Eventos. 
2. Expande el Campo bajo la sección de Campos .
3. Ubica la regla de cortafuegos que genera la gran cantidad de eventos. 

La siguiente captura de pantalla muestra un ejemplo de una regla de cortafuegos (Permitir todo saliente) que genera 5,6 millones de eventos: 

    4. Ve a Seguridad > WAN o Cortafuegos de Internet, ubica la regla (del paso anterior) y edita la Configuración de Seguimiento.

   5. Desactiva la Opción de Evento para esta regla.

   6. Haz clic en Aplicar y luego haz clic en Guardar.

Eventos IPS

Si es el motor IPS el que está bloqueando tráfico esperado, como escaneos de vulnerabilidades, lo que está generando la gran cantidad de eventos, puedes incluir en lista blanca la fuente del tráfico tal como se explica en Allowlisting IPS Signatures

Para identificar la fuente IP e incluirla en la lista blanca: 

1. Abre la Cato Management Application y ve a Inicio > Eventos. 
2. Selecciona el ajuste preestablecido de IPS
3. Expande el campo de Fuente IP bajo la sección de Campos y selecciona la dirección IP con la mayor cantidad de eventos IPS.
4. Haz clic en el ID de Firma y configura la lista blanca como convenga. Asegúrate de que Seguimiento esté deshabilitado.
5. Haz clic en Aplicar

Cuota de Alertas de Cato Excedida

Se enviará un correo electrónico a la lista de correos del cliente, bajo Notificación General, cuando el número de alertas generadas por hora supere las 50 para la cuenta. El cliente recibirá un correo electrónico con el asunto, "alertas de Cato Cuota Excedida".

Solución

1. Determina para qué característica de Cato se generó el correo electrónico de cuota de alertas excedida. Por ejemplo, en el correo electrónico de Cuota de Alertas Excedida anterior, fue para alertas IPS. 
2. Inicia sesión en CMA para verificar la autenticidad de esta alerta
   • Ve a Inicio > Eventos
   • En Seleccionar Presets, selecciona el IPS y personaliza el periodo de tiempo basado en cuándo se recibió el Email. Dado que el umbral para generar el Email de Cuota de Alertas Excedida es de 50 alertas por hora, personaliza el periodo de tiempo, comenzando desde una hora antes de que se recibió el Email.  
     
3. Revise los eventos para determinar la razón de la alerta. Por ejemplo, en la captura de pantalla a continuación, se puede observar que hubo múltiples eventos para un posible ataque, y se originaba de la misma fuente.
   
4. Investigue los eventos y tome la acción necesaria.
5. Si estas alertas resultan ser falsos positivos, contacte el Soporte de Cato. Para abrir un caso de Soporte, consulte Submitir-un-Ticket-de-Soporte.
6. Si no desea ser notificado de alertas similares posteriores, puede ir a la regla o característica correspondiente a esta alerta, y desactivar la notificación de Email.