Cet article explique comment utiliser l'Atelier d'Histoires pour examiner les histoires XOps pour les alertes EPP de Cato.
Remarque
Remarque : XOps est la couche d'analyse unifiée de Cato pour la sécurité et les opérations, offrant des informations et une remédiation guidée. XOps a remplacé XDR, pour plus d'informations, voir FAQ XOps.
La solution EPP Cato s'intègre avec Cato XOps (anciennement XDR) pour générer des histoires pour les appareils de point de terminaison. Les histoires de point de terminaison vous aident à obtenir une image plus complète des menaces potentielles dans votre réseau, et vous pouvez mener des enquêtes sur une plateforme XOps unifiée s'étendant à la fois au réseau et au point de terminaison.
Le moteur d'alertes Cato Endpoint crée une histoire en corrélant les données de toutes les alertes Cato EPP qui sont apparues sur le même appareil en l'espace de 24 heures. Les histoires d'alerte Cato Endpoint incluent toutes les preuves pertinentes détectées par Cato EPP. Le Stories Workbench montre les histoires Cato EPP avec les autres types d'histoires, et vous pouvez trier et filtrer les histoires pour vous concentrer sur les histoires d'alerte Cato Endpoint.
Pour plus d'informations sur l'examen des histoires XOps, y compris les données de Cato EPP Microsoft, voir Drilling-Down and Analyzing XOps Security Stories
-
Si l'agent EPP Cato est déconnecté d'Internet pendant plus de 8 heures, il est possible que des histoires XOps ne soient pas créées pour certains événements EPP de cette période. Cependant, l'agent EPP continue de détecter et de bloquer les menaces, et les événements seront disponibles sur la page des événements.
Une fois que vous avez créé le connecteur, les histoires seront visibles dans l'Atelier des Histoires.
Pour afficher la page Atelier des Histoires :
-
Depuis le menu de navigation, cliquez sur Home > Stories Workbench.
Pour des informations sur les colonnes dans le Stories Workbench, voir Understanding the Stories Columns.
La colonne État sur la page Paramètres des Connecteurs montre l'état de la connexion entre l'application CrowdStrike et votre compte Cato. Voici les explications des statuts :
-
Connecté - Votre compte est connecté à l'application et fonctionne correctement
-
Consentement de l'utilisateur en attente - Les autorisations n'ont pas été accordées pour permettre à Cato d'accéder à l'application CrowdStrike. Pour résoudre ce problème, actualisez le navigateur. Si État change en Connecté, le problème est résolu, si État ne change pas, supprimez et recréez le connecteur.
-
Erreur - Il y a un problème de connectivité, d'autorisations, de licence ou autre avec le connecteur. Supprimez et recréez le connecteur.
Une fois que vous avez créé le connecteur, les histoires seront visibles dans l'Atelier des Histoires.
Pour afficher la page Atelier des Histoires :
-
Depuis le menu de navigation, cliquez sur Accueil > Atelier des Histoires.
Pour des informations sur les colonnes de l'Atelier des Histoires voir Understanding the Stories Columns
Pour plus d'informations sur l'examen des histoires XOps, y compris les données de Microsoft Defender, voir Drilling-Down and Analyzing XOps Security Stories
Vous pouvez regrouper et filtrer les histoires selon le type d'histoire Cato Endpoint Alert pour trouver rapidement des histoires pour les appareils endpoint. Pour en savoir plus sur le regroupement et le filtrage des histoires, voir Revue des Histoires de Détection & Réponse XOps dans l'Atelier d'Histoires.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.