Le CLI de Cato fournit des méthodes simples de syntaxe de ligne de commande pour accéder aux points de terminaison de l'API GraphQL de Cato. Plusieurs des points de terminaison de requêtes peuvent fournir des rapports d'analyse personnalisés riches au-delà des tableaux de bord et rapports prédéfinis dans l'application de gestion Cato (CMA). Ces requêtes permettent aux administrateurs d'extraire des données brutes de performance et de sécurité, rationalisant le processus pour analyser la consommation de bande passante des utilisateurs et des applications, le trafic Socket et la gigue, et bien d'autres points de données. Il prend également en charge l'intégration avec des outils d'analyse externes, SIEM, ou de reporting.
En utilisant ces requêtes d'analyse de base avec le CLI Cato, vous pouvez automatiser la collecte de données pour la supervision du réseau, l'analyse des tendances et les cas d'utilisation de la conformité. Chaque requête récupère des types spécifiques de télémétrie du Cloud Cato, tels que la performance des sites, l'utilisation des applications, ou l'activité des menaces, offrant aux équipes NOC et SOC une plus grande flexibilité dans l'analyse des indicateurs opérationnels.
Voici quelques-unes des analyses personnalisées pour le CLI Cato :
-
Métriques de Compte - Métriques de performance réseau par site, utilisateur ou interface
-
Statistiques des Applications - Analyse de l'activité des utilisateurs et de l'utilisation des applications
-
Séries Chronologiques des Événements - Événements de sécurité, connectivité et analyse des menaces
-
Métriques des Ports Socket - Analyse de la performance des interfaces Socket et du trafic
Pour la liste complète des champs pris en charge, des filtres et des options d'agrégation, voir la documentation CLI de Cato sur GitHub : CLI Cato - Opérations de requête de rapport personnalisé
La requête d'analyse de risque fournit une visibilité sur les applications avec des scores de risque élevés, basée sur l'utilisation dans votre organisation. Cette requête aide les équipes SOC à identifier les utilisateurs accédant à des applications à risque élevé et à évaluer l'exposition aux risques de shadow IT ou de partage de données.
La commande suivante récupère les applications avec un score de risque supérieur ou égal à 7 pour les 7 derniers jours :
catocli query appStats '{
"appStatsFilter": [
{
"fieldName": "risk_score",
"operator": "gte",
"values": ["7"]
}
],
"dimension": [
{"fieldName": "application_name"},
{"fieldName": "risk_score"},
{"fieldName": "user_name"}
],
"measure": [
{"aggType": "sum", "fieldName": "traffic"},
{"aggType": "sum", "fieldName": "flows_created"}
],
"timeFrame": "last.P7D"
}'
Renvoie des statistiques agrégées pour les applications avec un score de risque ≥ 7, incluant le trafic total et le nombre de flux par utilisateur. Les équipes SOC et NOC peuvent utiliser ce résultat pour identifier l'utilisation des applications à risque élevé et prioriser les politiques d'application dans le CMA.
0 commentaire
Cet article n'accepte pas de commentaires.