Cet article explique comment utiliser l'atelier d'histoires pour examiner les histoires de menaces potentielles dans votre compte.
La détection et réponse de Cato est une couche de sécurité supplémentaire qui crée des histoires pour les menaces. Lorsque les moteurs avancés de corrélation de Cato analysent les données de trafic et trouvent une correspondance pour une menace potentielle, ils génèrent une histoire. L'histoire contient des données provenant des flux de trafic avec des propriétés communes liées à la même menace. La page de l'atelier d'histoires affiche les détails de chaque histoire pour vous aider à comprendre et analyser les menaces. Vous pouvez trier et filtrer les histoires pour trouver les attaques potentielles les plus importantes, puis approfondir une histoire pour enquêter plus en détail.
Voici des exemples de données qu'une histoire peut inclure :
-
Sources dans votre réseau
-
Cibles externes du trafic réseau
-
Identification et description de la menace
-
Géolocalisations pertinentes
-
Applications associées
-
Événements pertinents
-
Popularité de la cible selon les données internes de Cato
-
Score de malveillance de la cible selon les modèles d'apprentissage automatique de Cato
-
Des licences supplémentaires peuvent être requises. Pour plus d'informations, voir Welcome to the Cato XOps Service
Une fois que vous avez créé le connecteur, les histoires seront visibles dans l'atelier d'histoires.
Pour afficher la page de l'atelier d'histoires :
-
Dans le menu de navigation, cliquez sur Accueil > Atelier d'histoires.
|
Colonne |
Description |
|---|---|
|
ID |
ID unique de Cato pour cette histoire |
|
Créé |
Date du premier flux de trafic pour l'histoire |
|
Mis à jour |
Date du flux de trafic le plus récent pour l'histoire |
|
Criticité |
Analyse des risques de l'histoire par Cato (les valeurs vont de 1 à 10) |
|
Indication |
Indicateur d'attaque pour l'histoire. Pour plus d'informations sur les indications, voir Utilisation du Catalogue des Indications |
|
Source |
Adresse IP, nom de l'appareil ou utilisateur SDP sur votre réseau impliqué dans l'histoire |
|
Type de moteur |
Le moteur de sécurité qui a créé l'histoire. |
|
Statut |
|
Pour fournir un contexte lors de l'examen des histoires, vous pouvez afficher les histoires en groupes définis par des détails incluant Source, Indication, Statut et Type. Par exemple, vous pouvez regrouper toutes les histoires liées à une adresse IP source spécifique ou toutes les histoires de Cybersquatting. Cela vous donne une perspective plus large lors de l'analyse des histoires et peut vous aider à tirer des conclusions plus rapides et plus précises.
Chaque groupe met en évidence les niveaux de criticité des histoires dans ce groupe, y compris le nombre d'histoires à haute, moyenne et faible criticité.
Il y a trois façons de filtrer les données dans l'atelier d'histoires :
-
Sélectionner un filtre prédéfini
-
Mettre à jour automatiquement le filtre avec un élément sélectionné
-
Configurer manuellement le filtre
Vous pouvez sélectionner un filtre prédéfini pour vous concentrer sur les histoires de Opérations Réseau ou de Opérations Sécurité. Lorsque vous sélectionnez un filtre prédéfini, les colonnes d'histoires les plus pertinentes pour ce type d'histoire sont affichées par défaut.
Lorsque vous survolez un élément ou un champ où une option de filtre est disponible, le bouton apparaît. Cliquez sur l'icône pour afficher les options de filtre :
-
Ajouter au filtre - Ajoute l'élément au filtre, et l'atelier d'histoires montre maintenant uniquement les histoires qui incluent cet élément. Par exemple, si vous filtrez par un score de criticité spécifique, la page affiche uniquement les histoires avec cette criticité.
-
Exclure du filtre - Met à jour le filtre pour exclure cet élément, et l'atelier d'histoires montre maintenant uniquement les histoires qui n'incluent pas cet élément.
Vous pouvez continuer à ajouter des éléments au filtre, cliquez à nouveau sur pour mettre à jour le filtre et affiner davantage.
La plage horaire par défaut pour l'atelier d'histoires est les deux jours précédents. Vous pouvez sélectionner une plage horaire différente pour afficher une période plus longue ou plus courte. Pour plus d'informations, consultez Setting the Time Range Filter.
La plage de dates maximale pour l'atelier d'histoires est de 90 jours.
Vous pouvez configurer manuellement le filtre d'histoire pour une plus grande granularité afin d'analyser les histoires. Après avoir configuré le filtre, il est ajouté à la barre de filtres des histoires, et la page est automatiquement mise à jour pour afficher les histoires qui correspondent au nouveau filtre.
Pour créer un filtre :
-
Dans la barre de filtre, cliquez sur
.
-
Commencez à taper ou sélectionnez le Champ.
-
Sélectionnez l'Opérateur, qui détermine la relation entre le Champ et la Valeur que vous recherchez.
-
Sélectionnez la Valeur.
-
Cliquez sur Ajouter un filtre. Le filtre est ajouté à la barre de filtres et l'atelier d'histoires est mis à jour pour afficher les histoires basées sur les filtres.
Vous pouvez retirer chaque élément du filtre séparément, ou effacer l'ensemble du filtre.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.