Configurer des Réponses Automatiques aux Histoires XOps

Cet article explique comment créer une réponse automatique à une histoire XOps pour contenir les menaces potentielles.

Vue d'ensemble

Les réponses automatiques aux histoires XOps vous permettent de définir des actions d'atténuation déclenchées lorsqu'une histoire répond à des critères spécifiques. Cela aide à contenir les menaces dès qu'elles sont détectées, réduit le temps de réponse et garantit une application cohérente de votre posture de sécurité et des politiques de trafic réseau dans votre environnement.

Vous pouvez définir des réponses automatiques dans les règles configurées dans la Politique de Réponse . Au lieu de se fier à une réponse manuelle, chaque règle évalue les attributs de l'histoire tels que la gravité, l'implication de l'utilisateur ou l'indication, et déclenche automatiquement l'action configurée.

Pour éviter une application excessive, une action automatique est appliquée à un utilisateur spécifique une fois toutes les 30 minutes. Pendant cette fenêtre de 30 minutes, les histoires supplémentaires correspondantes ne déclenchent pas d'actions répétées sur le même utilisateur. Cela évite les perturbations inutiles tout en assurant une réponse efficace aux véritables menaces.

Actions Prises en Charge

Les actions prises en charge sont listées ci-dessous :

Révocation de la Session Utilisateur : Cela déconnecte l'utilisateur et l'invite à se ré-authentifier via l'écran de connexion du Client, garantissant que seuls les utilisateurs légitimes retrouvent l'accès. Pour plus d'informations, voir Atténuer les Menaces dans les Histoires XOps.

Cas d'Utilisation - Répondre Automatiquement aux Histoires avec une Grande Criticité et Gravité

L'entreprise ABC fait face à un grand volume d'histoires XOps, rendant difficile d'assurer que les menaces les plus critiques soient traitées immédiatement. Pour réduire l'exposition et imposer une atténuation cohérente, ils configurent une règle de politique de réponse qui gère automatiquement les histoires avec les indicateurs de risque les plus élevés.

Ils créent une règle pour identifier toute histoire avec une Criticité élevée, et définissent l'action automatisée pour révoquer la session de l'utilisateur. Pour s'assurer que l'action automatique est utilisée en toute sécurité, l'administrateur ajoute un filtre par Indication et sélectionne uniquement les types d'histoires liés au phishing pour cette politique. Cela aide à équilibrer l'efficacité de la sécurité avec une application appropriée et garantit que seuls les utilisateurs qui en ont réellement besoin sont bloqués.

Tout utilisateur inclus dans une histoire qui correspond à ces critères est automatiquement contraint de se ré-authentifier. Cette approche garantit que les menaces critiques reçoivent une attention immédiate, améliore la cohérence de votre posture de sécurité et libère les analystes pour qu'ils se concentrent sur l'enquête plutôt que sur les tâches d'atténuation urgentes.

Créer des Réponses Automatiques

Les réponses automatiques sont configurées dans la Politique de Réponse.

Pour créer une réponse automatique :

Créer une règle de Politique de Réponse. Pour plus d'informations, voir Créer la Politique de Réponse pour les Histoires XOps.
Dans la section Réponse, sous Action choisissez l'action automatique à appliquer à la règle. Vous pouvez également sélectionner une notification.
Cliquez sur Sauvegarder. La règle est ajoutée à la politique.

Revoir les Actions d'Atténuation

Si une histoire correspond à une règle avec une réponse automatisée, l'action est automatiquement prise et la chronologie de l'histoire est mise à jour. L'action est également visible dans le Centre d'Action.

L'onglet Centre d'Action dans la page Accueil > Politique de Détection & de Réponse vous permet de revoir les actions d'atténuation XOps prises dans votre compte.

Le Centre d'Action montre les informations suivantes pour chaque action d'atténuation :

Temps - Horodatage pour quand l'action d'atténuation a été envoyée
Action - Description de l'action d'atténuation
Sujet - L'utilisateur sur lequel l'action a été effectuée
Statut - Statut de l'action. Pour l'action Ajouter la Cible à la Liste de Blocage, voici les valeurs du Statut :
- Succès - La demande de révoquer la session a été envoyée au service utilisateur Cato
- Échec - Il y a eu un problème avec la demande de révoquer la session
Auteur - Admin qui a effectué l'action
Déclencheur - L'ID de l'Histoire pour l'histoire à partir de laquelle l'action a été envoyée. Cliquez pour ouvrir la page Vue d'ensemble de l'histoire
Note - Pour les actions automatiques, aucune note n'est ajoutée