Cet article explique comment utiliser le Stories Workbench XDR et la page d'analyse détaillée pour analyser les histoires XDR pour des comportements anormaux détectés par le moteur d'anomalie de surveillance de l'expérience.
Pour plus de détails sur l'utilisation de l'Atelier des Histoires, voir Revue des Histoires de Détection & Réponse XOps dans l'Atelier des Histoires.
Le service XDR de Cato détecte des activités anormales basées sur la surveillance de l'expérience, ce qui peut indiquer un problème avec une application ou la performance du réseau vers une application. Le moteur d'anomalie surveille et analyse le trafic réseau de chaque site et chaque application pendant une période initiale de 14 jours pour établir une ligne de base pour chaque nouvelle application en fonction du TTFB (Time to First Byte).
Après cette période, le moteur s'exécute une fois par jour sur les données de la veille et vérifie s'il y a eu un écart significatif par rapport à la ligne de base. En cas d'anomalie, une histoire est générée.
Remarque
Remarque : Si plusieurs écarts surviennent le même jour, une seule histoire est générée pour tous.
Même après l'établissement de la ligne de base, il s'agit d'une mesure dynamique qui est mise à jour avec les données de chaque jour. Autrement dit, la ligne de base initiale est établie après les 14 premiers jours, mais continue à évoluer avec les données de chaque nouveau jour.
Lorsque le moteur d'anomalie génère une histoire, vous pouvez la revoir dans le Stories Workbench et approfondir pour une analyse plus détaillée des données de l'histoire.
Voici les indications de comportement anormal détecté par le moteur d'Anomalie de Surveillance de l'Expérience pour générer des histoires :
|
Indication |
Description |
|---|---|
|
Anomalie du Temps de Réponse de l'Application sur le Site |
Détecte des anomalies dans la métrique Temps jusqu'au Premier Octet (TTFB) pour une application à un site spécifique. |
|
Panne Potentielle d'Application Due à des Erreurs HTTP Massives |
Détecte des anomalies dans le ratio des échecs HTTP par rapport aux réussites pour des applications spécifiques dans le trafic sur le réseau mondial Cato. |
Vous pouvez cliquer sur une histoire d'anomalie d'expérience dans le Stories Workbench pour approfondir et enquêter sur les détails sur une autre page. Cette page contient des informations supplémentaires pour vous aider à commencer votre enquête sur l'incident.
Cliquez sur une histoire d'anomalie d'expérience dans la page du Stories Workbench pour afficher les détails de l'histoire UEBA.
Voici les widgets pour une histoire d'anomalie d'expérience :
|
Élément |
Nom |
Description |
|---|---|---|
|
1 |
Résumé de l'histoire |
Un résumé des informations de base sur l'histoire, y compris :
|
|
2 |
Détails |
Détails de base sur l'histoire, y compris :
|
|
3 |
Widget d'Anomalie d'Expérience |
Indication visuelle de l'expérience de l'application le jour de l'histoire |
|
4 |
Widget de Détails de Connexion |
Fournit des informations sur les problèmes possibles dans différents nœuds sur le chemin de connexion |
Une fois que vous avez les informations de base sur l'anomalie, y compris le site où elle s'est produite, l'application et l'heure, vous pouvez utiliser les widgets de surveillance de l'expérience pour approfondir l'enquête sur l'histoire.
Par exemple, vous pouvez filtrer par application et, en utilisant l'onglet Performance de l'Application, afficher plus d'informations sur les problèmes possibles survenus au moment de l'anomalie. De plus, vous pouvez utiliser l'onglet Tunnel pour voir s'il y a eu un problème avec le tunnel, ou peut-être dans l'onglet Hôtes, vous pouvez voir qu'il y a eu une augmentation soudaine du nombre d'utilisateurs qui accédaient à l'application, ce qui pourrait avoir causé la dégradation de l'expérience.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.