Cet article décrit les capacités des opérations de sécurité et de réseau de la plateforme Cato XOps, et ce qui est inclus dans les différents niveaux de licence XOps.
La plateforme Paramètres DNS XOps permet aux équipes d'Opérations de Sécurité et d'Opérations Réseau d'utiliser l'IA et l'automatisation pour surveiller le réseau de l'organisation pour les menaces de sécurité et les problèmes de performance du réseau. XOps transforme des quantités ingérables d'événements réseau et de sécurité bruts en histoires consommables, transversales et exploitables.
La plateforme inclut des moteurs de corrélation avancés de plusieurs types qui analysent les données de trafic pour trouver des correspondances pour des indications spécifiques d'activités menaçantes ou de problèmes de réseau. Lorsqu'un moteur trouve une correspondance, il produit une histoire qui peut être examinée et enquêtée dans l'application de gestion Cato (CMA). CMA désigne ces moteurs comme des producteurs.
Chaque histoire XOps contient des données provenant de flux de trafic avec des propriétés communes liées à la même menace ou problème réseau. La page Stories Workbench montre les détails de chaque histoire pour vous aider à les comprendre et les analyser. Vous pouvez trier et filtrer les histoires pour trouver les attaques potentielles les plus importantes, puis approfondir une histoire pour enquêter plus en détail.
Voici les noms et descriptions des différents producteurs d'histoires XOps :
-
Prévention des Menaces - Le producteur de Prévention des Menaces de Cato XOps détecte un ensemble spécifique de comportements d'attaque dans les événements générés par les services de sécurité en temps réel de Cato, tels que l'IPS et l'antimalware. Les histoires de Prévention des Menaces aident les analystes à se concentrer sur les menaces immédiates et de haute confiance.
Les histoires de Prévention des Menaces sont généralement basées sur des événements de blocage corrélés, c'est-à-dire des événements pour le trafic qui a été bloqué par l'un des services de Sécurité. Cependant, même si le trafic a déjà été bloqué, il est possible que ce trafic soit lié à une menace en cours. L’histoire XOps vous permet d'enquêter sur le contexte et les détails du trafic suspect afin de déterminer s'il y a encore une menace qui nécessite une atténuation supplémentaire.
Pour plus sur les histoires de Prévention des Menaces, voir Exploration et analyse des histoires de sécurité XOps.
-
Chasse aux Menaces - Le producteur de Chasse aux Menaces scanne en continu l'immense volume de données de trafic historiques stockées dans le data lake pour détecter des modèles de trafic indiquant des menaces potentielles. Contrairement au producteur de Prévention des menaces, qui se concentre sur les événements récents, le producteur de Chasse aux menaces recherche des corrélations au fil du temps dans les données de trafic stockées. Les corrélations sont identifiées sur une semaine de données pour garantir la précision. De plus, tandis que le producteur de Prévention des menaces examine les données dans les journaux d'événements, le producteur de Chasse aux menaces analyse un ensemble plus large de données issues des flux de trafic. Cela permet au producteur de Chasse aux menaces de détecter des menaces plus évasives qui sont difficiles à identifier avec les méthodes conventionnelles car elles génèrent une signature plus faible et plus difficile à détecter.
Voici la page Vue d'ensemble d'une histoire de Chasse aux menaces qui a identifié 40 flux de trafic différents (signaux) liés à une menace de phishing par cybersquatting :
Pour plus d'informations sur les histoires de Chasse aux Menaces, consultez Exploration et analyse des histoires de sécurité XOps.
-
Anomalie d'Utilisation - Faisant partie des capacités d'Analyse comportementale des utilisateurs et des entités (UEBA) de Cato, ce producteur compare l'activité réseau des utilisateurs et des sites avec des lignes de base calculées par des algorithmes d'apprentissage machine, et génère des histoires pour les écarts suspects par rapport aux niveaux d'utilisation baselines. Par exemple, un utilisateur spécifique est détecté utilisant plus de bande passante montante que d'habitude.
Pour plus d'informations sur les histoires d'Anomalies d'Utilisation, voir Analyser les histoires UEBA XOps pour les anomalies d'utilisation et d'événements.
-
Anomalie d'Événements - Un autre élément des capacités d'UEBA de Cato, ce producteur détecte des indications impliquant une entité sur le réseau déclenchant un nombre inhabituel d'événements de sécurité. Par exemple, un utilisateur est associé à un nombre inhabituel d'événements de blocage IPS pour le trafic vers une direction spécifique, ce qui peut indiquer une infection potentielle sur le dispositif de l'utilisateur.
Pour plus d'informations sur les histoires d'Anomalies d'Événements, voir Analyser les histoires UEBA XOps pour les anomalies d'utilisation et d'événements.
-
Anomalie d'expérience: Détecte des modifications inhabituelles dans l'expérience des sites et des applications spécifiques. Après la surveillance d'une application pendant 14 jours, un point de référence est créé en utilisant le TTFB (Temps jusqu'au Premier Octet). Le producteur vérifie le trafic une fois par jour et génère un code d'enregistrement lorsque l'expérience de l'application diffère significativement du point de référence. L'histoire permet de revoir le site affecté, l'application, les flux de trafic, et les problèmes de performance éventuels.
-
Opérations de Compte: Détecte les problèmes au niveau des comptes qui peuvent affecter les utilisateurs, les sites et les services. Cela inclut des problèmes tels que les échecs de synchronisation de répertoire, l'épuisement des licences, les certificats expirés, les problèmes de connecteurs, et d'autres problèmes de configuration ou opérationnels. Le producteur génère des histoires qui vous aident à comprendre le problème, à revoir sa portée et son impact, et à suivre les étapes de rémédiation guidées pour rétablir le fonctionnement normal.
-
Aperçu Prédictif: Détecte les risques potentiels de performance et de disponibilité avant qu'ils n'affectent le service. Il analyse les tendances du réseau, l'utilisation des ressources, et le contexte de configuration pour prévoir les problèmes émergents. Par exemple, il peut générer un code d'enregistrement lorsque la prise du site est susceptible de dépasser une utilisation acceptable du processeur. L'histoire vous aide à réviser le pronostic, à comprendre quand le problème risque de devenir critique, et à suivre les étapes de rémédiation guidées.
-
Alertes Microsoft Endpoint - Les clients qui utilisent Microsoft Defender for Endpoint peuvent intégrer les données d'alerte de Defender avec Cato XOps pour produire des histoires pour les appareils de point de terminaison. Le producteur d'Alertes Endpoint de Microsoft crée une histoire en corrélant les données des alertes de Defender qui se sont produites sur le même dispositif au cours d'une période de 24 heures. Les histoires d'Alertes Endpoint incluent toutes les preuves pertinentes pour l'alerte détectée par Defender. En étendant le focus sur l'extrémité, ces histoires vous aident à obtenir une image plus complète des menaces potentielles dans votre réseau.
Pour plus d'informations sur l'intégration de Microsoft Defender for Endpoint avec Cato XOps, voir Microsoft Defender for Endpoint Alerts: Configurer l'Intégration XOps.
-
Alertes Microsoft Entra ID - Vous pouvez intégrer les données d'alerte de Microsoft Entra ID Protection pour générer des histoires Cato XOps. Cela permet aux analystes d'inclure des données issues des connexions risquées dans le cadre plus large des enquêtes XOps. Le moteur d'Alerte d'identité Entra Cato crée une histoire en corrélant les données des alertes Entra ID Protection survenues pour le même utilisateur pendant une période de 24 heures.
Pour plus de détails sur l'intégration des alertes Entra ID avec Cato XOps, voir Microsoft Entra ID: Configurer l'Intégration XOps.
-
Détection et Réponse Cloud: Utilise les problèmes Wiz pour détecter les risques dans les environnements cloud. Cela inclut des configurations non sécurisées, des applications vulnérables, des identifiants exposés, et des détections de menaces. Le producteur traite les problèmes Wiz en temps quasi réel et génère des histoires dans l'Atelier des Histoires. Ces histoires combinent l'intelligence cloud de Wiz avec le contexte Cato, vous aidant à enquêter sur les risques cloud et à identifier d'éventuelles attaques inter-environnement.
-
Alertes Cato Endpoint - La solution EPP de Cato s'intègre avec XOps de Cato pour générer des histoires pour les dispositifs d'extrémité. Le producteur d'Alertes Cato Endpoint crée une histoire en corrélant les données de toutes les alertes EPP de Cato survenues sur le même dispositif pendant une période de 24 heures. Les histoires d'Alertes Cato Endpoint incluent toutes les preuves pertinentes détectées par EPP de Cato.
Pour plus d'informations sur les histoires d'Alertes de Points de Terminaison Cato, voir Protection d'Endpoint Cato (EPP): Configurer l'Intégration XOps.
-
Alertes SentinelOne - Les clients qui utilisent SentinelOne peuvent intégrer les données de SentinelOne EDR pour générer des histoires pour les appareils de points de terminaison. Le producteur SentinelOne crée une histoire en corrélant les incidents EDR de SentinelOne sur la base de l'UUID de l'Agent (ID du dispositif) et du Hash du fichier menaçant dans un délai de 90 jours. Ces histoires incluent toutes les preuves pertinentes pour les incidents détectés par SentinelOne. Les histoires sont créées en quasi temps réel après que l'alerte d'origine a été générée.
Pour plus sur l'intégration des alertes SentinelOne, voir SentinelOne EDR: Configurer l'Intégration XOps.
-
Alertes CrowdStrike - Les clients qui utilisent CrowdStrike peuvent intégrer les données des détections CrowdStrike basées sur l'ID d'Incident. Ces histoires incluent toutes les preuves pertinentes pour la détection identifiée par CrowdStrike. Les histoires sont créées en quasi temps réel après que l'alerte d'origine a été générée.
Pour plus sur l'intégration des alertes CrowdStrike, voir CrowdStrike: Configurer l'Intégration XOps.
-
Opérations de Site - Cato XOps propose le producteur AIOps unique appelé Opérations de Site (également connu sous le nom de Réseau XDR) qui converge les opérations de réseau et de sécurité en une seule plateforme. Ce producteur détecte différentes indications et métriques liées à la connectivité et aux performances, et génère des histoires qui corrèlent les données pour les problèmes concernant le réseau. Par exemple, si un lien WAN subit de manière intermittente une forte perte de paquets, le producteur crée une seule histoire avec toutes les données pertinentes pour le lien.
Pour plus d'informations sur les histoires de réseau dans Cato XOps, voir Révision des histoires d'Opérations Site.
Cette section fournit des cas d'utilisation pour chaque producteur :
Scénario
Un utilisateur clique sur un lien de phishing et est redirigé vers un site qui héberge un kit d'exploitation.
Comment ça fonctionne
L'IPS de Cato détecte la tentative d'exploitation en temps réel et bloque le trafic avant qu'il n'atteigne le terminal.
Histoire
Le producteur de Prévention des Menaces crée une histoire montrant :
-
Identité de l'utilisateur et localisation
-
Signature du kit d'exploitation (par exemple, référence CVE)
-
Action effectuée (trafic bloqué)
Résultat
Les équipes de sécurité savent rapidement qu'une tentative d'exploitation a eu lieu, sans infection du terminal. Ils peuvent retracer si l'e-mail de phishing a atteint des utilisateurs supplémentaires. L'onglet Histoires Similaires affiche les utilisateurs ayant tenté d'accéder au même domaine, et la page Événements fournit une analyse approfondie de la signature IPS et du CVE pour identifier s'ils ont émergé ailleurs dans le réseau.
Scénario
Un appareil communique avec une IP externe rare chaque nuit à 2h du matin. L'IP n'est pas dans les flux de menaces mais le modèle de communication semble suspect.
Comment ça fonctionne
Le moteur de Chasse aux Menaces analyse le trafic historique dans le data lake. Il repère ce modèle de balisage inhabituel sur plusieurs semaines.
Histoire
Le producteur construit une histoire reliant :
-
Flux répétés depuis le même hôte
-
Caractéristiques de destination suspectes (faible réputation, ASN peu commun)
-
Chronologie de l'activité
Résultat
Les analystes SOC enquêtent et découvrent un malware utilisant un canal de commandement et de contrôle. La détection précoce empêche l'exfiltration de données.
Scénario
Un employé RH téléverse habituellement ~50 Mo de fichiers par semaine. Soudainement, il téléverse 5 Go vers un site de partage de fichiers externe.
Comment cela fonctionne
Le producteur d'Anomalies d'Utilisation utilise le Machine Learning pour comparer l'activité actuelle à la ligne de base de l'utilisateur. Le pic est signalé.
Histoire
L'histoire montre :
-
Ligne de base normale vs. nouveau comportement
-
Destination (Dropbox, Google Drive, etc.)
-
Horodatage et volume de trafic
Résultat
La sécurité enquête et apprend que l'utilisateur a accidentellement téléversé des fichiers confidentiels sur un compte personnel. Les fichiers sont supprimés et Cato recommande de renforcer les contrôles DLP pour empêcher de tels cas à l'avenir.
Scénario
Un appareil IoT commence à communiquer dans une nouvelle direction de trafic, envoyant des données vers l'extérieur, une direction de trafic jamais vue auparavant par cet appareil, dont le comportement habituel est de communiquer uniquement au sein du WAN.
Comment ça fonctionne
Le producteur d'Anomalies d'Événements identifie la déviation dans la fréquence des événements, chez les utilisateurs, sites ou appareils.
Histoire
L'histoire met en avant :
-
Comportement habituel observé de cet appareil (communication WAN)
-
Comportement anormal : plusieurs demandes vers des adresses IP externes, associées à des flux de renseignement sur les menaces
Résultat
L'équipe confirme une tentative de commandement et de contrôle via un appareil IoT. L'appareil est contenu et la communication malveillante est bloquée.
Scénario
Microsoft Defender for Endpoint détecte un script PowerShell malveillant sur un poste de travail.
Comment ça fonctionne
L'alerte est transférée de Microsoft Defender vers Cato via le connecteur.
Histoire
La plateforme XOps corrèle les histoires de ce producteur, alertes de points de terminaison, avec des histoires connexes d'autres producteurs (par ex., trafic sortant vers des IPs suspectes).
Résultat
L'équipe SOC dispose d'une vue unifiée des malwares sur le point de terminaison et du comportement du réseau correspondant, permettant un confinement plus rapide et une analyse de la cause racine.
Scénario
Une succursale rencontre des problèmes de connectivité intermittents, le lien ISP principal monte et descend de manière répétée (flapping), perturbant l'accès aux applications cloud et aux tunnels VPN.
Comment cela fonctionne
Le moteur des Opérations Site de Cato surveille continuellement la santé des liens. Lorsque plusieurs événements Lien vers le bas et Lien vers le haut se produisent à proximité, il les regroupe en une seule histoire - identifiant un schéma d'instabilité plutôt que des incidents isolés.
Histoire
L'histoire affiche :
-
Site affecté et lien WAN spécifique
-
Chronologie des flapping des liens corrélés sur la fenêtre de surveillance
-
Analyse identifiant le comportement de flapping (par exemple, cinq événements de lien en panne en 10 minutes)
Résultat
Le moteur des Opérations de Site agrège tous les événements liés en une seule histoire corrélée, réduisant le bruit d'alerte et mettant en évidence un problème de lien potentiellement chronique. L'équipe IT est informée de manière proactive, bascule vers le lien ISP de secours, et travaille avec le fournisseur pour résoudre la cause première - minimisant les temps d'arrêt et évitant les perturbations de service répétées.
Votre licence XOps détermine les producteurs disponibles pour votre compte, et si le service est géré par Cato. Tous les niveaux de licence bénéficient des outils de la plateforme XOps dans l'Application de gestion Cato, y compris :
Le tableau ci-dessous décrit les niveaux de licence XOps qui prendront effet à partir du 6 août 2025. et explique quels producteurs sont disponibles pour chaque niveau. Veuillez contacter votre représentant Cato ou revendeur officiel pour plus d'informations sur l'achat de licences XOps.
|
Licence |
Description |
|---|---|
|
Pas de licence |
Si un connecteur est configuré, les événements sont créés par les producteurs suivants :
|
|
XOps |
Un niveau payant non géré incluant le jeu de producteurs suivant qui corrèlent des données dans une histoire, la plateforme pour les enquêter, des recommandations de mitigation et des actions de mitigation :
|
|
MDR |
Un niveau payant incluant un service SOC géré 24/7 améliorant la sécurité et la gestion des histoires. Ce service est fourni par l'équipe de détection et réponse gérée de Cato et inclut :
|
0 commentaire
Vous devez vous connecter pour laisser un commentaire.