Cet article explique comment créer une règle qui réduit au silence les histoires XOps afin qu'elles n'apparaissent pas dans le Stories Workbench.
Les moteurs de corrélation XOps analysent les données de trafic pour trouver des correspondances pour des menaces potentielles ou une dégradation du réseau. Si une correspondance est identifiée, une histoire est générée dans l'Atelier des Histoires pour vous aider à comprendre et à analyser le problème. Si vous souhaitez qu'aucune histoire ne soit créée, vous pouvez configurer une règle Silence des Histoires. Cela réduit la génération de faux positifs et vous aide à concentrer votre analyse sur des menaces réelles ou des problèmes de réseau. Les histoires peuvent être réduites au silence pour une période spécifique ou illimitée
Vous pouvez réduire au silence les histoires créées par ces moteurs :
- Prévention des menaces
- Chasse aux Menaces
- Opérations du site
- Anomalie d'Utilisation
- Événements Anormaux
Pour qu'une histoire soit mise en sourdine, elle doit avoir une correspondance exacte ou contenir les prédicats insérés dans la règle des Histoires mises en sourdine. Par exemple, si une règle contient 3 domaines mais seulement 2 sont dans l'histoire, l'histoire est mise en sourdine. Si une règle contient deux domaines et que l'histoire en contient trois, elle n'est pas réduite au silence. Les histoires réduites au silence ne sont pas générées par défaut ; cependant, cela peut être remplacé en le sélectionnant comme condition.
Remarque
Remarque : Les clients MDR peuvent créer et éditer des règles Silence des Histoires pour le moteur Opérations de Site. Si vous souhaitez définir des histoires mises en sourdine pour d'autres moteurs, veuillez contacter mdr@catonetworks.com.
Vous pouvez définir un trafic provenant d'une ressource fiable qui est ensuite exclu d'une histoire. Par exemple, les histoires XOps sont générées pour la détection de tentatives de balayage potentiels, mais la source du balayage est un test de pénétration bénin connu.
Pour les histoires de Prévention des menaces et de Chasse aux Menaces, une histoire est toujours créée même lorsqu'elle est mise en sourdine. Mise en sourdine applique un drapeau muet à l'histoire, garantissant qu'elle est exclue des rapports et cachée de l'Atelier des Histoires lorsque les filtres de Prévention des menaces ou Chasse aux Menaces sont appliqués. Les histoires mises en sourdine ne déclenchent également pas d'alertes par défaut selon la politique de réponse
Il y a deux façons d'ajouter des règles Silence des Histoires pour les histoires de Prévention et de Chasse aux Menaces :
- Créer une règle sur la page Détection & Réponse
- Créer une règle à partir d'une histoire dans le Stories Workbench. Cette méthode est utile lorsque vous remarquez un trafic spécifique dans une histoire que vous savez être bénin
Il y a deux façons d'ajouter des règles Silence des Histoires pour les histoires Anomalie d'Usage et Anomalie d'Événements :
- Créer une règle sur la page Détection & Réponse
- Créer une règle à partir d'une histoire dans le Stories Workbench. Cette méthode est utile lorsque vous remarquez un trafic spécifique dans une histoire que vous savez être bénin
Les sections suivantes décrivent les paramètres utiles disponibles pour les règles Silence des Histoires Anomalie d'Usage et Anomalie d'Événements.
Comprendre les paramètres des Histoires mises en sourdine pour les histoires d'anomalie d'Utilisation
Le moteur Anomalie d'Usage XOps identifie les anomalies liées à une utilisation inhabituelle dans les applications et génère une histoire lorsqu'une anomalie est détectée. La politique Silence des Histoires vous permet de configurer une règle pour une histoire Anomalie d'Usage en spécifiant des applications ou des catégories d'applications à exclure pour les moteurs XOps. Par exemple, si vous savez qu'un utilisateur spécifique télécharge des quantités inhabituelles de données sur OneDrive dans le cadre de ses exigences de travail, créez une règle configurée avec l'Utilisateur spécifique comme Source et OneDrive comme Application.
Il est possible qu'une histoire Anomalie d'Usage implique plus d'une application. Dans un tel cas, l'Application configurée fait référence à l'application principale dans l'histoire. Par exemple, si vous configurez l'Application comme OneDrive, cela signifie que si l'application principale dans l'histoire Anomalie d'Usage est OneDrive, le moteur XOps ne générera pas l'histoire. Cependant, si l'application principale est une application différente, telle que Dropbox, et que OneDrive a la deuxième plus forte utilisation, l'histoire sera toujours générée.
Comprendre les paramètres des Histoires mises en sourdine pour les histoires d'anomalie d'Événements
Le moteur Anomalie d'Événements XOps détecte les anomalies qui impliquent une entité sur le réseau déclenchant un nombre inhabituel d'événements de sécurité, et génère une histoire lorsqu'une anomalie est détectée. La politique Silence des Histoires permet de configurer une règle pour une histoire Anomalie d'Événements en spécifiant des types d'événements à exclure pour les moteurs XOps. Vous pouvez alors spécifier de ne pas inclure uniquement les événements générés par des règles ou des menaces IPS particulières.
Par exemple, si un utilisateur génère un nombre inhabituel d'événements de pare-feu WAN lors d'une activité bénigne connue, créez une règle avec l'Utilisateur configuré comme Source et configurez le Indicateur d'Anomalie des Événements comme Type d'Événement de Pare-feu WAN. Puis spécifiez la règle dans la base de règles du pare-feu WAN.
Vous pouvez réduire au silence les histoires générées par des problèmes de réseau spécifiques. Par exemple, si vous savez qu'un fournisseur de services Internet local a une panne planifiée, vous pouvez réduire au silence les histoires générées par l'indication de site déconnecté pour la période de la panne.
Pour les histoires d'Opérations de Site, une histoire est toujours créée même lorsqu'elle est mise en sourdine. La mise en sourdine applique un drapeau de sourdine à l'histoire, garantissant qu'elle est exclue des rapports et cachée de l'Atelier des Histoires lorsque le filtre Opérations Réseau est appliqué. Les histoires mises en sourdine ne déclenchent pas non plus d'alertes par défaut selon la politique de réponse. Pour les clients ILMM uniquement, ces types d'histoires sont mis en sourdine par défaut lorsqu'aucun lien du site n'est intégré au service:
- Site Désactivé
- Lien Désactivé
- Lien ALT WAN Désactivé
- Quality SLA
Vous pouvez identifier si une histoire a été réduite au silence dans la colonne Silencée de la Chronologie des Incidents d'une histoire.
Vous pouvez ajouter des règles des Histoires mises en sourdine pour les histoires d'Opérations de Site en créant une règle sur la page Détection & Réponse.
Le tableau suivant explique les éléments que vous pouvez utiliser pour définir les paramètres d'une règle Silence des Histoires Détection & Réponse. Lorsque vous configurez plusieurs objets dans un paramètre, il y a une relation OU entre eux. Par exemple, si une règle est configurée avec des sources incluant un Site et un Utilisateur, la règle est appliquée lorsque le trafic correspond soit au Site, soit à l'Utilisateur.
|
Éléments |
Description |
|---|---|
|
Producteur |
Le ou les moteurs de Détection & Réponse auxquels la règle s'applique. Pour plus d'informations sur ces moteurs et les types d'histoires qu'ils détectent, consultez Utilisation du Catalogue des Indications |
|
ID d'Indication |
L'identifiant de l'indication utilisée par les moteurs Détection & Réponse. Chaque ID d'Indication est associé à une requête de moteur Détection & Réponse qui identifie des paramètres de trafic spécifiques. Si vous définissez un ID d'Indication, la règle ne fait qu'exclure le trafic des histoires générées par la requête de moteur spécifique associée à cet ID d'Indication. Si aucun ID d'Indication n'est défini, le trafic est exclu de toutes les requêtes de moteur qui correspondent aux paramètres de la règle. Pour plus d'informations sur les Indications, consultez Utilisation du Catalogue des Indications. |
|
Direction (Histoires de Prévention des Menaces, Chasse aux Menaces, Anomalie d'Usage et Anomalie d'Événements) |
Définir la direction du flux de trafic auquel la règle s'applique. Les directions incluent :
|
|
Période |
Sélectionnez la période pendant laquelle la règle s'applique, ou sélectionnez Illimitée pour que la règle continue à s'appliquer sans expiration. Lorsqu'une date d'expiration est définie :
Définir une date d'expiration est une bonne pratique recommandée pour maintenir une posture de sécurité efficace. |
|
Source |
Source du trafic pour cette règle. Vous pouvez sélectionner un ou plusieurs types de Source suivants :
|
|
Appareil (Histoires de Prévention des menaces, Chasse aux menaces, Anomalie d'utilisation, et Anomalie d'événements) |
Le type d'appareil auquel la règle s'applique, défini par le système d'exploitation. |
|
Destination (Prévention des menaces, Chasse aux Menaces, Anomalie d'Utilisation, et Événements Anormaux histoires) |
Destination du trafic pour cette règle. Vous pouvez sélectionner un ou plusieurs des types de Destination suivants :
Pour les définitions de ces objets, consultez Référence pour les objets de règles |
|
Métrique Anomalie d'événements (Histoires d'Anomalie d'événements) |
Sélectionnez le type d'événement à rendre muet. Après avoir sélectionné le type d'événement, vous pouvez spécifier un nom de règle ou un nom de menace. Vous pouvez sélectionner un des types d'événements suivants :
|
En plus des paramètres ci-dessus, les informations suivantes sont affichées pour chaque règle Muet des Histoires :
- Auteur - Le nom d'utilisateur de l'utilisateur qui a créé la règle.
- Créé le - Date de création de la règle.
Pour afficher la base de règles Muet des Histoires de Détection & Réponse :
- Dans le menu de navigation, cliquez sur Accueil > Politique de Détection & Réponse.
Ajoutez une nouvelle règle Muet des Histoires et configurez les paramètres qui définissent le trafic à ignorer par les moteurs de Détection & Réponse.
Pour créer une règle Muet des Histoires de Détection & Réponse :
- Dans le menu de navigation, cliquez sur Accueil > Politique de Détection & Réponse.
- Sélectionnez l'onglet Muet des Histoires.
- Cliquez sur Nouveau. Le panneau Ajouter à Muet des Histoires s'ouvre.
- Configurez les paramètres pour la règle comme décrit ci-dessus.
- Cliquez sur Enregistrer. La règle est ajoutée à la base de règles Muet des Histoires.
Affichez le détail de l'histoire dans l'Atelier des Histoires et utilisez le panneau Actions de l'Histoire pour créer une règle Muet des Histoires.
Les paramètres de règle suivants sont pré-remplis en fonction des données de l'histoire :
- Direction
-
Source
- Si l'histoire contient plusieurs types de données pour la source, ils sont tous ajoutés dans le paramètre Source. Par exemple, si l'histoire a identifié une IP et un Site pour une source, alors une IP et un Site sont tous les deux pré-remplis dans la section Source pour la règle.
-
Destination - Pré-rempli en fonction des Cibles de l'histoire
- Si l'histoire a identifié plusieurs Cibles, elles sont toutes ajoutées dans le paramètre Destination
Pour créer une règle Muet des Histoires à partir d'une histoire :
- Dans le menu de navigation, cliquez sur Accueil > Atelier des Histoires.
- Cliquez sur l'histoire pour ouvrir la page de détail pour l'histoire.
- Cliquez sur
pour ouvrir le panneau Actions de l'histoire.
-
Cliquez sur Ajouter à Nouvelles Histoires Muet. Le panneau Ajouter à Nouvelles Règles de Muet des Histoires s'ouvre.
- Configurez les paramètres pour la règle comme décrit ci-dessus.
- Cliquez sur Enregistrer. La règle est ajoutée à la base de règles Muet des Histoires.
- Pour afficher la base de règles Muet des Histoires de Détection & Réponse, dans le menu de navigation cliquez sur Accueil > Politique de Détection & Réponse.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.