Cet article explique comment utiliser les webhooks et autres notifications avec la politique de réponse XOps qui définit quand vous êtes notifié pour les nouvelles histoires XOps et les mises à jour, et quand les événements sont générés.
Pour Plus d'Infos sur les histoires XOps, voir Examen des histoires de Détection & Réponse XOps dans l'Atelier des Histoires
La politique de réponse vous aide à surveiller les histoires XOps en définissant quand les notifications pour les histoires sont envoyées aux administrateurs et analystes, et quand les événements sont générés pour les histoires. Vous pouvez créer des règles qui définissent les critères d'histoires pour envoyer des notifications et générer des événements, et vous pouvez utiliser des groupes d'abonnement, des listes de diffusion et des intégrations tierces pour configurer quels administrateurs reçoivent les notifications.
Par exemple, vous pouvez créer des règles qui envoient des notifications :
-
Si la criticité de l'histoire est élevée
-
Lorsqu'en nouvelles histoires sont créées pour une source spécifique (comme un site ou une plage d'IP)
-
Lorsque les cibles de l'histoire sont mises à jour
-
Pour des histoires de sécurité avec une indication spécifique d'attaque
-
Pour les opérations de site pour des problèmes spécifiques, tels qu'un site ou un lien est en panne
Note
Note : Par défaut, les notifications ne sont pas envoyées pour les Opérations de Site qui correspondent à une règle Histoires mises en sourdine.
Par défaut, les événements d'histoire XOps ne sont pas générés. Les événements ne sont générés que selon les règles configurées. Lorsque vous définissez des règles qui génèrent des événements pour les histoires XOps, vous pouvez les voir sur la page Événements. Pour Plus d'Infos, voir Analyser des Événements dans votre Réseau.
Vous pouvez également intégrer des événements pour les histoires XOps avec vos services tiers existants et vos flux de travaux.
-
Pour une liste des intégrations prises en charge par le fournisseur pour les événements Cato, voir Intégrations prises en charge par des tiers pour les données Cato
-
Pour plus d'informations sur la transmission des événements à un compte de stockage tiers (tel que AWS ou Azure), voir les articles dans la section Intégration d'événements
La page Événements montre un nombre défini de champs par événement. Pour accéder à l'ensemble des données des histoires, exportez-les sous forme de fichier JSON disponible dans le champ additional_data. Vous pouvez également créer un filtre pour n'exporter que les données dont vous avez besoin. Pour Plus d'Infos sur les champs d'événement XOps, voir ci-dessous Cato Event and API Fields for XOps Story Events.
Lorsque vous ajoutez une règle à la politique de réponse, configurez chaque section de la règle nécessaire pour définir les conditions d'envoi d'une notification ou de génération d'un événement.
Par exemple, si vous souhaitez générer un événement pour chaque histoire XOps qui est créée ou mise à jour, configurez une règle avec la Source comme N'importe laquelle, et le Déclencheur comme Histoire créée ou mise à jour.
Note
Note : Pour les clients MDR, veuillez contacter <mdr@catonetworks.com> pour définir les règles de politique de réponse pour votre compte. Cela peut être remplacé en le sélectionnant comme condition.
Une règle de politique de réponse comporte les sections suivantes :
-
Nom - Le nom que vous attribuez à la règle
-
Description de la règle
-
Source - La source du trafic sur votre réseau impliqué dans l'histoire. Par exemple : Site, adresse IP ou utilisateur
Pour Plus d'Infos sur les éléments de Source pour une règle, voir Référence pour les Objets de Règle.
-
Critères - Caractéristiques de l'histoire pour correspondre à la règle. Lorsque vous ajoutez des critères, sélectionnez le type de critère, la valeur, et l'opérateur qui détermine la relation entre le critère et la valeur. Par exemple : Criticité | Supérieur à | 6.
Les critères d'histoire configurables incluent les éléments suivants : Criticité, Gravité, Indication, Verdict de l'analyste, Producteur, Cibles ajoutées, et Statut. Pour Plus d'Infos sur ces critères d'histoires, voir Examen des histoires de Détection & Réponse XOps dans l'Atelier des Histoires
-
Le Producteur est le moteur qui génère l'histoire. Pour plus de détails sur les Opérations de Site, voir Examen des Histoires d'Opérations de Site. Pour Plus de détails sur les moteurs XOps et leurs types de licences requis, voir Utilisation du Catalogue des Indications
-
Vous pouvez configurer plusieurs valeurs pour les critères suivants : Indication, Verdict de l'analyste, Gravité, et Producteur. Lorsque vous ajoutez plusieurs valeurs à une seule entrée de critère, il y a une relation OU entre elles.
-
-
Déclencheur - Définit quand le moteur de politique de réponse vérifie une histoire pour correspondre à la règle. Les paramètres incluent :
-
Histoire créée - Le moteur de politique de réponse vérifie une correspondance à la règle lorsqu'une nouvelle histoire est créée. Les histoires existantes qui sont mises à jour ne sont pas vérifiées pour correspondre à la règle.
-
Histoire créée ou mise à jour - Le moteur de politique de réponse vérifie une correspondance à la règle lorsqu'une nouvelle histoire est créée ou lorsqu'une histoire existante est mise à jour. Les mises à jour peuvent inclure des modifications au statut, verdict de l'analyste, sévérité, et cibles de l'histoire.
-
-
Réponse - Sélectionnez la réponse lorsque la règle est correspondue. Les réponses peuvent inclure la génération d'un événement et des notifications définies par Groupe d'Abonnement, Liste de Diffusion, ou Intégration Webhook.
Créez une nouvelle règle de politique de réponse et configurez les paramètres de la règle pour définir quand une notification d'histoire est envoyée.
Pour créer une nouvelle règle de politique de réponse :
-
Dans le menu de navigation, cliquez sur Accueil > Politique de détection et de réponse.
-
Sélectionnez l'onglet Politique de réponse.
-
Cliquez sur Nouveau. Le panneau Ajouter à la politique de réponse s'ouvre.
-
Entrez un Nom pour la règle.
-
Dans la section Source, sélectionnez le type (par exemple : Hôte, Plage d'IP, Site) puis sélectionnez un ou plusieurs objets pour la source de l'histoire pour cette règle (ou vous pouvez entrer une adresse IP).
La valeur par défaut de Source est N'importe laquelle.
-
(Optionnel) Définissez les Critères qui spécifient les caractéristiques qu'une histoire doit avoir pour correspondre à la règle.
-
Sélectionnez le Déclencheur pour la règle. Vous pouvez configurer si le déclencheur doit être lors de la création, la mise à jour, ou les deux.
-
Sélectionnez la Réponse. Si vous sélectionnez Envoyer la notification, alors définissez le groupe d'abonnement, la Liste de diffusion, ou l'intégration pour recevoir la notification.
-
Cliquez sur Enregistrer. La règle est ajoutée à la politique.
Pour envoyer des données d'histoires XOps à un tiers en utilisant une intégration Webhook, vous devez :
-
Configurer l'intégration tierce dans la CMA
-
Créer la règle requise dans la politique de réponse
Vous pouvez définir une intégration Webhook pour envoyer des alertes à des plateformes tierces telles que ServiceNow, Jira et Slack, et créer des flux d'automatisation basés sur des alertes. Les Webhooks de Cato prennent en charge des en-têtes et messages HTTP personnalisables dans l'alerte pour répondre aux besoins spécifiques de votre organisation. Pour Plus d'Infos, voir Envoi de Notifications CMA via Webhooks.
Après avoir défini l'intégration tierce, créez une règle dans la politique de réponse.
Pour créer une règle pour une intégration tierce :
-
Suivez les étapes 1-7 dans Création de Nouvelles Règles de Politique de Réponse.
-
Dans la section Réponse, sélectionnez Envoyer Notification.
-
Dans le menu déroulant Envoyer la notification à, sélectionnez Intégration.
-
Dans le menu déroulant Intégration, sélectionnez l'intégration que vous souhaitez utiliser dans la règle.
-
Cliquez sur Enregistrer. La règle est ajoutée à la politique.
La page des événements affiche tous les événements d'histoire XOps générés pour votre compte. Vous pouvez filtrer la page pour afficher les événements en utilisant le Type d'Événement Détection et Réponse.
Ci-dessous se trouvent les champs pertinents pour les événements d'histoire. La requête eventsFeed de l'API Cato montre les données pour les histoires XOps dans ces champs pour le type eventFieldName.
|
Valeur énum API |
Champ d'Événement |
Commentaires |
|---|---|---|
|
user_display_name |
Nom d'Affichage de l'Utilisateur |
|
|
analyst_verdict |
Verdict de l'Analyste |
|
|
criticality |
Criticité |
|
|
device_name |
Nom de l'Appareil |
|
|
event_count |
Nombre d'Événements |
Pour les histoires XOps, les événements ne sont pas agrégés automatiquement, donc le Nombre d'Événements aura généralement une valeur de 1. |
|
sub-type |
Sous-Type |
|
|
event_type |
Type d'Événement |
Pour les événements d'histoire XOps, le Type d'Événement est Détection et Réponse. |
|
indication |
Indication |
|
|
event_internal_id |
ID Interne de l'Événement |
|
|
producer |
Producteur |
Le moteur qui a généré l'histoire. Valeurs possibles : Prévention des menaces, Chasse aux menaces, Anomalie d'utilisation, Anomalie des événements, Alerte Microsoft Endpoint. |
|
rule |
Règle |
Nom de la règle de la Politique de Réponse qui a généré l'événement. |
|
source_ip |
IP Source |
|
|
source_is_site_or_sdp_user |
La source est Site ou Utilisateur |
|
|
source_site |
Site Source |
|
|
status |
Statut |
|
|
story_id |
ID de l'Histoire |
|
|
threat_name |
Nom de la Menace |
|
|
threat_type |
Type de Menace |
|
|
time |
Temps |
|
|
vendor |
Fournisseur |
Valeurs possibles : Microsoft (pour les histoires d'Alerte Microsoft Endpoint), Cato. |
|
additional_data |
N/A |
Données de l'histoire qui ne sont pas incluses dans les autres champs d'événements. Ce champ est inclus dans les événements exportés, mais n'est pas affiché dans la page des événements. Note : Ce champ est exporté en tant que données brutes non analysées et peut contenir des caractères d'échappement. Ce format est sujet à changement. |
0 commentaire
Vous devez vous connecter pour laisser un commentaire.