Cet article décrit les capacités de Sécurité et Opérations Réseau de la plateforme Cato XOps, et ce qui est inclus dans les différents niveaux de licence XOps.
Remarque
Remarque : XOps est la couche analytique de Cato unifiée pour la sécurité et les opérations, offrant des aperçus et une remédiation guidée. XOps a remplacé XDR, pour plus d'informations, consultez FAQ sur XOps.
La plateforme Cato XOps (anciennement XDR) permet aux équipes des opérations de Sécurité et Réseau d'utiliser l'IA et l'automatisation pour surveiller le réseau de l'organisation à la fois pour les menaces de sécurité et les problèmes de performance du réseau. XOps transforme des quantités ingérables d'événements bruts de sécurité et de réseau en histoires consommables, cross-fonctionnelles et actionnables.
La plateforme inclut des moteurs de corrélation avancés de nombreux types différents qui analysent les données de trafic pour identifier des correspondances avec des indications spécifiques d'activités de menace ou de problèmes de réseau. Lorsqu'un moteur trouve une correspondance, il génère une histoire qui peut être examinée et étudiée dans l'Application de Gestion de Cato (CMA). CMA désigne ces moteurs comme Producteurs.
Chaque histoire XOps contient des données provenant des flux de trafic avec des propriétés communes qui se rapportent à la même menace ou à un problème de réseau. La page de l'Établi des histoires montre les détails de chaque histoire pour vous aider à les comprendre et les analyser. Vous pouvez trier et filtrer les histoires pour trouver les attaques potentielles les plus importantes, puis explorer en profondeur une histoire pour examiner plus en détail ses détails.
Ce sont les noms et descriptions des différents producteurs d'histoires XOps :
-
Prévention des menaces - Le producteur de Prévention des Menaces de Cato XOps détecte un ensemble spécifique de comportements d'attaque dans les événements générés par les services de sécurité en temps réel de Cato, tels que IPS et Anti-Malware. Les histoires de Prévention des Menaces aident les analystes à se concentrer sur les menaces immédiates et de haute confiance.
Les histoires de Prévention des Menaces sont généralement basées sur des événements bloqués corrélés, ce qui signifie des événements pour le trafic qui a été bloqué par l'un des services de Sécurité. Cependant, même si le trafic a déjà été bloqué, il est possible que ce trafic soit lié à une menace en cours. L'histoire XOps vous permet d'examiner le contexte et les détails du trafic suspect pour aider à déterminer s'il y a toujours une menace nécessitant une atténuation supplémentaire.
Pour en savoir plus sur les histoires de Prévention des Menaces, consultez Exploration et Analyse des Histoires de Sécurité XOps.
-
Recherche de Menaces - Le producteur de Recherche de Menaces scanne en continu la vaste quantité de données de trafic historiques stockées dans le lac de données pour détecter des modèles de trafic qui indiquent des menaces potentielles. Contrairement au producteur de Prévention des Menaces, qui se concentre sur les événements récents, le producteur de Chasse aux Menaces recherche des corrélations au fil du temps dans les données de trafic stockées. Les corrélations sont identifiées sur les données de un semaines pour garantir l'exactitude. De plus, alors que le producteur de Prévention des Menaces examine les données dans les journaux d'événements, le producteur de Recherche de Menaces analyse un ensemble de données plus large provenant des flux de trafic. Cela permet au producteur de Recherche de Menaces de détecter des menaces plus évasives qui sont difficiles à identifier avec des méthodes conventionnelles parce qu'elles génèrent une signature plus faible et plus difficile à détecter.
Voici la page Vue d'ensemble d'une histoire de Recherche de Menaces qui a identifié 40 flux de trafic différents (signaux) liés à une menace de phishing par cybersquattage :
Pour en savoir plus sur les histoires de Recherche de Menaces, consultez Exploration et Analyse des Histoires de Sécurité XOps.
-
Anomalie d'Usage - Dans le cadre des capacités d'Analyse du Comportement des Utilisateurs et Entités (UEBA) de Cato, ce producteur compare l'activité réseau des utilisateurs et des sites à des lignes de base calculées par des algorithmes d'apprentissage automatique, et génère des histoires pour les écarts suspects par rapport aux niveaux d'usage de base. Par exemple, un utilisateur spécifique est détecté utilisant plus de bande passante ascendante que d'habitude.
Pour en savoir plus sur les histoires d'Anomalie d'Utilisation, consultez Analyse des Histoires XOps UEBA pour les Anomalies d'Utilisation et d'Événements.
-
Anomalie d'Événements - Un autre élément des capacités UEBA de Cato, ce producteur détecte des indices impliquant une entité sur le réseau déclenchant un nombre inhabituel d'événements de Sécurité. Par exemple, un utilisateur est associé à un nombre inhabituellement élevé d'événements de blocage IPS pour le trafic vers une direction spécifique, ce qui peut indiquer une infection potentielle sur le dispositif de l'utilisateur.
Pour en savoir plus sur les histoires d'Anomalie d'Événements, consultez Analyse des Histoires XOps UEBA pour les Anomalies d'Utilisation et d'Événements.
-
Alertes des points de terminaison Microsoft - Les clients qui utilisent Microsoft Defender pour les points de terminaison peuvent intégrer les données d'alerte Defender avec Cato XOps pour produire des histoires pour les appareils. Le producteur d'Alertes Endpoint de Microsoft crée une histoire en corrélant les données des alertes de Defender qui se sont produites sur le même dispositif au cours d'une période de 24 heures. Les histoires d'Alerte Endpoint incluent toutes les preuves pertinentes pour l'alerte détectée par Defender. En élargissant le focus au endpoint, ces histoires vous aident à obtenir une image plus complète des menaces potentielles dans votre réseau.
Pour en savoir plus sur l'intégration de Défenseur pour les terminaux avec Cato XOps, consultez Défenseur pour les terminaux Microsoft : Configurer l'Intégration XOps.
-
Alertes Microsoft Entra ID - Vous pouvez intégrer des données d'alerte de Microsoft Entra ID Protection pour générer des histoires en Cato XOps. Cela permet aux analystes d'inclure des données provenant des connexions risquées dans le contexte plus large des investigations XOps. Le moteur d'Alerte d'Identité Cato Entra crée une histoire en corrélant les données des alertes de Protection Entra ID qui ont eu lieu pour le même utilisateur sur une période de 24 heures.
Pour en savoir plus sur l'intégration des Alertes Entra ID avec Cato XOps, consultez Microsoft Entra ID : Configurer l'Intégration XOps.
-
Alertes des Points de Terminaison Cato - La solution Cato EPP intègre avec Cato XOps pour générer des histoires pour les appareils. Le producteur d'Alertes Endpoint de Cato crée une histoire en corrélant les données de toutes les alertes EPP de Cato qui se sont produites sur le même dispositif en l'espace de 24 heures. Les histoires d'Alertes Endpoint de Cato incluent toutes les preuves pertinentes détectées par le EPP de Cato.
Pour en savoir plus sur les histoires d'Alertes des Points de Terminaison Cato, consultez Protection des Points Terminaux Complet (EPP) : Configurer l'Intégration XOps.
-
Alertes SentinelOne - Les clients qui utilisent SentinelOne peuvent intégrer les données de SentinelOne EDR pour générer des histoires pour les appareils. Le producteur SentinelOne crée une histoire en corrélant les données des incidents SentinelOne EDR en fonction de l'Identifiant de l'appareil (Agent UUID) et du Hash du fichier de menace sur une période de 90 jours. Ces histoires incluent toutes les preuves pertinentes pour les incidents détectés par SentinelOne.
Pour en savoir plus sur l'intégration des Alertes SentinelOne, consultez SentinelOne EDR : Configurer l'Intégration XOps.
-
Alertes CrowdStrike - Les clients qui utilisent CrowdStrike peuvent intégrer les données des détections CrowdStrike en fonction de l'ID d'Incident. Ces histoires incluent toutes les preuves pertinentes pour la détection identifiée par CrowdStrike.
Pour en savoir plus sur l'intégration des Alertes CrowdStrike, consultez CrowdStrike : Configurer l'Intégration XOps.
-
AIOps - Cato XOps propose le producteur AIOps unique appelé Site Operations (anciennement connu sous le nom de Réseau XDR) qui converge les Opérations Réseau avec les Opérations de Sécurité en une seule Plateforme. Ce producteur détecte différentes indications et métriques liées à la connectivité et à la performance, et génère des histoires qui corrèlent des données pour des problèmes concernant le réseau. Par exemple, si un lien WAN subit par intermittence des pertes de paquets élevées, le producteur crée une seule histoire avec toutes les données pertinentes pour le lien.
Pour plus d'informations sur les histoires de Réseau dans Cato XOps, consultez Revue des Histoires de Site Operations.
Votre licence XOps détermine les producteurs disponibles pour votre compte, et si le service est géré par Cato. Tous les niveaux de licence bénéficient des outils de la plateforme XOps dans l'Application de gestion Cato, y compris :
Le tableau ci-dessous décrit les niveaux de licence XOps qui entreront en vigueur à partir du 6 août 2025. et explique quels producteurs sont disponibles pour chaque niveau. Veuillez contacter votre représentant Cato ou revendeur officiel pour plus d'informations sur l'achat de licences XOps.
|
Licence |
Description |
|---|---|
|
Pas de licence |
Si un connecteur est configuré, les événements sont créés par les producteurs suivants :
|
|
XOps |
Un niveau payé, non géré, qui comprend le groupe de producteurs suivant qui corrèle des données dans une histoire, la plateforme pour les enquêter, les recommandations d'atténuation et les actions d'atténuation :
|
|
MDR |
Un niveau payé incluant un service SOC géré 24/7 améliorant la sécurité et la gestion des histoires. Ce service est fourni par l'équipe Gérée de Détection et Réponse de Cato et inclut :
|
0 commentaire
Vous devez vous connecter pour laisser un commentaire.