Cet article explique comment vous pouvez utiliser l'Atelier des Histoires pour examiner les histoires concernant les menaces potentielles dans votre compte.
Cato Détection & Réponse est une couche de sécurité supplémentaire qui crée des histoires pour les menaces. Quand les moteurs de corrélation avancée de Cato analysent les données de trafic et trouvent une correspondance pour une menace potentielle, ils génèrent une histoire. L'histoire contient des données de flux de trafic avec des propriétés communes liées à la même menace. La page de l'Établi des Histoires montre les détails de chaque histoire pour vous aider à comprendre et analyser les menaces. Vous pouvez trier et filtrer les histoires pour trouver les attaques potentielles les plus importantes, puis approfondir une histoire pour examiner les détails.
Voici des exemples de données qu'une histoire peut inclure :
- Sources dans votre réseau
- Cibles externes du trafic réseau
- Identification et description de la menace
- Géolocations pertinentes
- Applications connexes
- Événements pertinents
- Popularité de la cible selon les données internes de Cato
- Score malveillant de la cible selon les modèles d'apprentissage automatique de Cato
- Des licences supplémentaires pourraient être requises. Pour plus d'informations, voir Bienvenue au service Cato XOps
Une fois que vous avez créé le connecteur, les histoires seront visibles dans l'Établi des Histoires.
Pour voir la page de l'Établi des Histoires :
- Dans le menu de navigation, cliquez sur Accueil > Atelier des Histoires.
| Colonne | Description |
|---|---|
| ID | ID unique Cato pour cette histoire |
| Créé | Date du premier flux de trafic pour l'histoire |
| Mis à jour | Date du flux de trafic le plus récent pour l'histoire |
| Criticité | Analyse de risque de l'histoire par Cato (les valeurs vont de 1 à 10) |
| Indication | Indicateur d'attaque pour l'histoire. Pour plus d'informations sur les indications, voir Utilisation du Catalogue des Indications |
| Source | Adresse IP, nom de l'appareil ou utilisateur SDP sur votre réseau impliqué dans l'histoire |
| Type de Moteur | Le moteur de sécurité qui a créé l'histoire. |
| Statut |
|
Pour fournir un contexte lors de la révision des histoires, vous pouvez montrer les histoires en groupes définis par des détails incluant Source, Indication, Statut, et Type. Par exemple, vous pouvez afficher ensemble toutes les histoires liées à une adresse IP source spécifique ou toutes les histoires de Cybersquatting. Cela vous donne une perspective plus large lors de l'analyse des histoires et peut vous aider à parvenir à des conclusions plus rapides et précises.
Chaque groupe met en évidence les niveaux de criticité pour les histoires dans ce groupe, y compris le nombre d'histoires à criticité élevée, moyenne et faible.
Il y a trois manières de filtrer les données dans l'Établi des Histoires :
- Sélectionner un filtre préréglé
- Mettre à jour automatiquement le filtre avec un élément sélectionné
- Configurer manuellement le filtre
Vous pouvez sélectionner un filtre préréglé pour se concentrer soit sur les histoires d'Opérations Réseau ou soit d'Opérations de Sécurité. Lorsque vous sélectionnez un filtre préréglé, les colonnes d'histoire les plus pertinentes pour ce type d'histoire sont montrées par défaut.
Lorsque vous survolez un élément ou un champ où une option de filtre est disponible, le bouton apparaît. Cliquez sur l'icône pour afficher les options de filtrage :
- Ajouter au Filtre - Ajoute l'élément au filtre, et l'Établi des Histoires montre maintenant seulement les histoires incluant cet élément. Par exemple, si vous filtrez pour un score de Criticité spécifique, la page montre uniquement les histoires avec cette Criticité.
- Exclure du Filtre - Met à jour le filtre pour exclure cet élément, et l'Établi des Histoires montre maintenant seulement les histoires qui n'incluent PAS cet élément.
Vous pouvez continuer à ajouter des éléments au filtre, cliquez à nouveau sur pour mettre à jour le filtre et approfondir davantage.
La plage de temps par défaut pour l'Établi des Histoires est de deux jours précédents. Vous pouvez sélectionner une plage de temps différente pour montrer une période plus longue ou plus courte. Pour plus d'informations, consultez Définir le Filtre de Plage de Temps.
La plage de dates maximale pour l'Établi des Histoires est de 90 jours.
Vous pouvez configurer manuellement le filtre d'histoire pour une plus grande granularité afin d'analyser les histoires. Après avoir configuré le filtre, il est ajouté à la barre de filtres des histoires, et la page est automatiquement mise à jour pour montrer les histoires qui correspondent au nouveau filtre.
Pour créer un filtre :
- Dans la barre de filtres, cliquez sur
.
- Commencez à taper ou sélectionnez le Champ.
- Sélectionnez l'Opérateur, qui détermine la relation entre le Champ et la Valeur que vous recherchez.
- Sélectionnez la Valeur.
- Cliquez sur Ajouter un Filtre. Le filtre est ajouté à la barre de filtres et l'Établi des Histoires est mis à jour pour montrer les histoires basées sur les filtres.
Vous pouvez supprimer chaque élément du filtre séparément, ou effacer complètement le filtre.
Vous pouvez générer un fichier CSV contenant les données pour les histoires listées dans l'Établi des Histoires.
Remarque
Remarques :
- Seuls les administrateurs CMA avec le rôle Éditeur ont l'autorisation d'exporter vers un fichier CSV. Pour plus sur la configuration des rôles administrateurs, voir Gestion des Administrateurs.
- Vous pouvez exporter jusqu'à 2000 histoires.
Pour exporter les données d'histoire :
- Dans le menu de navigation, cliquez sur Accueil > Atelier des Histoires.
- Cliquez sur Exporter, et dans la fenêtre popup cliquez sur OK.
- Sélectionnez l'emplacement pour le fichier CSV et enregistrez le fichier.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.