Cet article explique comment utiliser l'Atelier des Histoires pour examiner les histoires de menaces potentielles dans votre compte.
Note
Remarque : XOps est la couche d'analyse unifiée de Cato pour la sécurité et les opérations, offrant des perspectives et une remédiation guidée. XOps a remplacé XDR, pour plus d'informations, voir XOps FAQ.
Cato Détection & Réponse est une couche supplémentaire de sécurité qui crée des histoires pour les menaces. Lorsque les moteurs de corrélation avancés de Cato analysent les données de trafic et trouvent une correspondance pour une menace potentielle, ils génèrent une histoire. L'histoire contient des données de flux de trafic avec des propriétés communes qui se rapportent à la même menace. La page Atelier des Histoires montre les détails de chaque histoire pour vous aider à comprendre et analyser les menaces. Vous pouvez trier et filtrer les histoires pour trouver les attaques potentielles les plus importantes, puis approfondir une histoire pour enquêter davantage sur les détails.
Voici des exemples de données qu'une histoire peut inclure :
-
Sources dans votre réseau
-
Cibles externes du trafic réseau
-
Identification et description de la menace
-
Géolocalisations pertinentes
-
Applications liées
-
Événements pertinents
-
Popularité de la cible selon les données internes de Cato
-
Score malveillant de la cible selon les modèles d'apprentissage automatique de Cato
-
Des licences supplémentaires peuvent être requises. Pour plus d'informations, voir Bienvenue au Service Cato XOps
Une fois que vous avez créé le connecteur, les histoires seront visibles dans l'Atelier des Histoires.
Pour afficher la page Atelier des Histoires :
-
Dans le menu de navigation, cliquez sur Home > Atelier des Histoires.
|
Colonne |
Description |
|---|---|
|
ID |
ID unique de Cato pour cette histoire |
|
Création |
Date du premier flux de trafic pour l'histoire |
|
Mise à jour |
Date du flux de trafic le plus récent pour l'histoire |
|
Criticité |
Analyse de risque de l'histoire par Cato (les valeurs sont de 1 à 10) |
|
Indication |
Indicateur d'attaque pour l'histoire. Pour plus d'informations sur les indications, voir Utilisation du Catalogue d'Indications |
|
Source |
Adresse IP, nom de l'appareil, ou utilisateur SDP sur votre réseau impliqué dans l'histoire |
|
Type de moteur |
Le moteur de sécurité qui a créé l'histoire. |
|
Statut |
|
Pour fournir un contexte lors de la révision des histoires, vous pouvez afficher les histoires en groupes définis par des détails incluant Source, Indication, Statut, et Type. Par exemple, vous pouvez afficher ensemble toutes les histoires liées à une adresse IP source spécifique ou toutes les histoires de Cybersquatting. Cela vous donne une perspective plus large lors de l'analyse des histoires, et peut vous aider à tirer des conclusions plus rapides et précises.
Chaque groupe met en évidence les niveaux de criticité des histoires dans ce groupe, y compris le nombre d'histoires de haute, moyenne et basse criticité.
Il existe trois façons de filtrer les données dans l'Atelier des Histoires :
-
Sélectionner un filtre prédéfini
-
Mettre à jour automatiquement le filtre avec un élément sélectionné
-
Configurer manuellement le filtre
Vous pouvez sélectionner un filtre prédéfini pour vous concentrer sur les histoires d'Opérations Réseau ou d'Opérations Sécurité. Lorsque vous sélectionnez un filtre prédéfini, les colonnes d'histoires les plus pertinentes pour ce type d'histoire sont affichées par défaut.
Lorsque vous survolez un élément ou un champ où une option de filtre est disponible, le bouton apparaît. Cliquez sur l'icône pour afficher les options de filtre :
-
Ajouter au Filtre - Ajoute l'élément au filtre, et l'Atelier des Histoires n'affiche maintenant que les histoires qui incluent cet élément. Par exemple, si vous filtrez par une note de Criticité spécifique, la page affiche uniquement les histoires avec cette Criticité.
-
Exclure du Filtre - Met à jour le filtre pour exclure cet élément, et l'Atelier des Histoires n'affiche maintenant que les histoires qui n'incluent PAS cet élément.
Vous pouvez continuer à ajouter des éléments au filtre, cliquez à nouveau sur pour mettre à jour le filtre et approfondir.
L'intervalle de temps par défaut pour l'Atelier des Histoires est les deux jours précédents. Vous pouvez sélectionner une plage de temps différente pour afficher une période plus longue ou plus courte. Pour plus d'informations, consultez Setting the Time Range Filter.
La plage de dates maximale pour l'Atelier des Histoires est de 90 jours.
Vous pouvez configurer manuellement le filtre d'histoires pour une plus grande granularité pour analyser les histoires. Après avoir configuré le filtre, il est ajouté à la barre de filtre des histoires, et la page est automatiquement mise à jour pour montrer les histoires correspondant au nouveau filtre.
Pour créer un filtre:
-
Dans la barre de filtre, cliquez sur
.
-
Commencez à taper ou sélectionnez le Champ.
-
Sélectionnez l'Opérateur, qui détermine la relation entre le Champ et la Valeur que vous recherchez.
-
Sélectionnez la Valeur.
-
Cliquez sur Ajouter Filtre. Le filtre est ajouté à la barre de filtres et le Workbench d'Histoires est mis à jour pour afficher des histoires basées sur les filtres.
Vous pouvez supprimer chaque élément du filtre séparément, ou effacer tout le filtre.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.