Problème

Dans Cato, il existe deux types de quotas : l'un concerne les événements, tandis que l'autre concerne les alertes. La limite par défaut varie en fonction de la licence DPA que le client possède.

• Pour un client avec une licence DPA 2021, le seuil par défaut pour la génération d'événements est de 2,5 millions d'événements par heure, par sous-type. 
• Sur le DPA 23, le seuil est déterminé par le nombre d'unités de données que le client acquiert lors du processus de renouvellement ou d'intégration. Spécifiquement, 1 unité de données équivaut à 2,5 millions d'événements par heure. (agrégation de tous les sous-types). 

Note : Le taux de vitesse de l'eventsFeed de l'API Cato n'est pas limité par le quota d'événements, mais suit plutôt différents limites de vitesse d'API comme expliqué dans Understanding Cato API Rate Limiting

Pour les alertes, le plafond par défaut pour la génération d'alertes est fixé à 50 alertes par heure, par sous-type. 

Pour savoir quelle licence DPA vous avez, allez à Administration > Licence

Par exemple. de DPA 2021

Par exemple. de DPA 2023

Pour plus d'informations, consultez Seuils et Limites de Cato Cloud.

Cet article vise à fournir des indications sur la manière de traiter les situations où vous avez reçu un e-mail vous informant qu'un quota d'événements et/ou de alertes a été dépassé.

Dépannage

1. Quota d'Événements Cato Dépassée
2. Quota d'Alertes Cato Dépassée

Quota d'Événements Cato Dépassée

Lorsque le nombre d'événements dépasse le quota maximum pour le compte, Cato génère une alerte par e-mail. 

La capture d'écran suivante montre un exemple d'alerte de message de quota d'événements dépassée pour les événements de pare-feu Internet : 

Solution 

Cato génère l'alerte Quota d'Événements Dépassé lorsque le nombre d'événements pour un type d'événement spécifique dépasse les limites maximales pour événements par heure. Pour plus d'informations sur les limites d'événements, voir Seuils et Limites de Cato Cloud.

Événements WAN et Internet

Vous pouvez identifier la règle de WAN ou Internet qui génère le grand nombre d'événements et ensuite désactiver l'option Track > Événement. 

Pour identifier la règle de pare-feu et désactiver l'option détection des événements : 

1. Ouvrez l'application de gestion Cato et allez à Accueil > Événements. 
2. Développez le champ sous la section des champs. 
3. Localisez la règle de pare-feu qui génère la grande quantité d'événements. 

La capture d'écran suivante montre un exemple de règle de pare-feu (Autoriser tout le trafic sortant) qui génèrait 5,6 millions d'événements : 

    4. Allez à Sécurité > WAN ou Pare-feu Internet, localisez la règle (depuis l'étape précédente) et modifiez les paramètres de Suivi.

   5. Désactivez l' option d'Événement pour cette règle.  

   6. Cliquez sur Appliquer puis cliquez sur Enregistrer.

Événements IPS

Si c'est le moteur IPS qui bloque le trafic attendu, tel que les analyses de vulnérabilité, générant un grand nombre d'événements, vous pouvez autoriser la source du trafic comme expliqué dans Autorisations des Signatures IPS

Pour identifier la source IP et l'ajouter à la liste blanche : 

1. Ouvrez l'application de gestion Cato et allez à Accueil > Événements. 
2. Sélectionnez le préréglage IPS
3. Étendez le champ Source IP sous la section Champs et sélectionnez l'adresse IP avec le plus grand nombre d'événements IPS.
4. Cliquez sur l'ID de Signature et configurez la liste blanche comme souhaité. Assurez-vous que le Suivi est désactivé.
5. Cliquez sur Appliquer

Quota d'Alertes Cato Dépassée

Un courriel sera envoyé à la liste de diffusion du client, sous Notification Générale, lorsque le nombre d'alertes générées par heure dépasse 50 pour le compte. Le client recevra un e-mail avec le sujet, "alertes Cato Quota Dépassée".

Solution

1. Déterminez pour quelle fonctionnalité de Cato l'e-mail de quota d'alertes dépassé a été généré. Par exemple, dans l'e-mail de Quota d'Alertes Dépassée ci-dessus, c'était pour des alertes IPS. 
2. Connectez-vous à CMA pour vérifier l'authenticité de cette alerte
   • Allez à Accueil > Événements
   • Sous Sélectionner les Préréglages, sélectionnez l'IPS et personnalisez la période de temps en fonction du moment où l'e-mail a été reçu. Puisque le seuil pour générer l'email de Quota d'Alertes Dépassée est de 50 alertes par heure, personnalisez la période de temps, en commençant une heure avant que l'email ait été reçu.  
     
3. Parcourez les événements pour déterminer la raison de l'alerte. Par exemple, dans la capture d'écran ci-dessous, on peut observer qu'il y avait plusieurs événements pour une éventuelle attaque, et elle provenait de la même source.
   
4. Examinez les événements et prenez les mesures nécessaires.
5. Si ces alertes s'avèrent être des faux positifs, contactez le Support Cato. Pour ouvrir un cas de Support, consultez Soumettre-un-Ticket-de-Support.
6. Si vous ne souhaitez pas être informé des alertes similaires suivantes, vous pouvez aller à la règle ou fonction respective relative à cette alerte, et désactiver la notification par e-mail.