यह लेख समझाता है कि वेबहुक्स और अन्य सूचनाओं का उपयोग कैसे करें XOps प्रतिक्रिया नीति के साथ जो परिभाषित करता है कि जब आपको नई और अपडेटेड XOps कहानियों के लिए सूचित किया जाता है, और जब घटनाएँ उत्पन्न होती हैं।
अधिक जानकारी के लिए XOps कहानियों के बारे में, देखें XOps कहानियों की समीक्षा">XDR स्टोरीज़ वर्कबेंच में डिटेक्शन & प्रतिक्रिया XOps कहानियों की समीक्षा
प्रतिक्रिया नीति आपको XOps कहानियों की निगरानी करने में मदद करती है यह परिभाषित करके कि एडमिन और विश्लेषकों को कहानियों के लिए सूचनाएं कब भेजी जाती हैं, और कहानियों के लिए घटनाएं कब उत्पन्न होती हैं। आप नियम बना सकते हैं जो सूचनाएं भेजने और घटनाएं उत्पन्न करने के लिए कहानी मानदंड को निर्धारित करते हैं, और यह कॉन्फ़िगर करने के लिए सदस्यता समूह, मेलिंग सूची, और तीसरे पक्ष के एकीकरण का उपयोग कर सकते हैं कि कौन से प्रबंधनकर्ता सूचनाएं प्राप्त करते हैं।
उदाहरण के लिए, आप ऐसे नियम बना सकते हैं जो सूचनाएं भेजें:
-
यदि कहानी की गंभीरता उच्च है
-
जब किसी विशेष स्रोत (जैसे कि साइट या आईपी रेंज) के लिए नई कहानियां बनाई जाती हैं
-
जब कहानी लक्ष्य अपडेट होते हैं
-
विशिष्ट हमले के संकेत के साथ सुरक्षा कहानियों के लिए
-
साइट संचालन के लिए विशेष समस्याएं, जैसे कि कोई साइट या लिंक डाउन है
नोट
नोट: डिफ़ॉल्ट रूप से, साइट ऑपरेशन्स जो म्यूट की गई कहानियां नियम से मेल खाते हैं, उनके लिए नोटिफिकेशन नहीं भेजे जाते।
डिफ़ॉल्ट रूप से, XOps कहानी घटनाएं उत्पन्न नहीं होती हैं। घटनाएं केवल विन्यस्त किए गए नियमों के अनुसार उत्पन्न होती हैं। जब आप नियमों को परिभाषित करते हैं जो XOps कहानियों के लिए घटनाएँ उत्पन्न करते हैं, तो आप उन्हें घटनाएँ पृष्ठ पर देख सकते हैं, अधिक जानकारी के लिए देखें अपने नेटवर्क में घटनाओं का विश्लेषण।
आप XOps कहानियों के लिए घटनाओं को मौजूदा थर्ड-पार्टी सेवाओं और कार्यप्रवाहों के साथ भी एकीकृत कर सकते हैं।
-
Cato घटनाओं के लिए विक्रेता-समर्थित एकीकरणों की सूची के लिए, देखें Cato डेटा: थर्ड-पार्टी समर्थित एकीकरण
-
तिर्वांस्टोरी डेटा को एक तृतीय-पक्ष संग्रहण खाता (जैसे कि AWS या Azure) तक पहुँच भेजने के बारे में अधिक जानकारी के लिए, इवेंट इंटीग्रेशन अनुभाग में आलेख देखें
घटनाएं पृष्ठ प्रति घटना एक निर्धारित संख्या में फ़ील्ड्स दिखाता है। पूर्ण कहानी डेटा तक पहुँचने के लिए, इसे अतिरिक्त_डेटा फ़ील्ड में उपलब्ध JSON फ़ाइल के रूप में निर्यात करें। आप केवल आवश्यक डेटा को निर्यात करने के लिए एक फ़िल्टर भी बना सकते हैं। XOps घटना फ़ील्ड्स के बारे में अधिक जानकारी के लिए, नीचे देखें XOps कहानी घटनाओं के लिए Cato घटना और API फ़ील्ड्स।
जब आप प्रतिक्रिया नीति में एक नियम जोड़ते हैं, तो यह परिभाषित करने के लिए कि अधिसूचना भेजने या घटना उत्पन्न करने की शर्तें आवश्यक हैं, नियम के प्रत्येक अनुभाग को कॉन्फ़िगर करें।
उदाहरण के लिए, यदि आप हर XOps कहानी के लिए एक घटना उत्पन्न करना चाहते हैं जो बनाया गया या अद्यतन किया गया है, तो एक नियम कॉन्फ़िगर करें जिसके स्रोत को कोई भी, और ट्रिगर को कहानी बनाई या अद्यतन किया गया के रूप में कॉन्फ़िगर करें।
नोट
नोट: एमडीआर ग्राहकों के लिए, कृपया अपने # खाता के लिए प्रतिक्रिया नीति नियमों को परिभाषित करने के लिए <mdr@catonetworks.com> से संपर्क करें। इसे एक शर्त के रूप में चुन कर ओवरराइड किया जा सकता है।
एक प्रतिक्रिया नीति नियम में निम्नलिखित अनुभाग हैं:
-
नियम का नाम - नियम के लिए आप जो नाम असाइन करते हैं
-
नियम के विवरण
-
स्रोत - आपके नेटवर्क पर ट्रैफ़िक का स्रोत जो कहानी में शामिल है। उदाहरण के लिए: साइट, आईपी पता, या उपयोगकर्ता
स्रोत वस्तुओं के बारे में अधिक जानकारी के लिए स्रोत नियम के लिए, देखें नियम वस्तुएं के संदर्भ।
-
मापदंड - नियम से मेल खाने के लिए कहानी की विशेषताएँ। जब आप मापदंड जोड़ते हैं, तो मापदंड प्रकार, मान, और ऑपरेटर का चयन करें जो मापदंड और मान के बीच के संबंध को निर्धारित करता है। उदाहरण: गंभीरता | से अधिक | 6.
अनुकूलन योग्य कहानी मानदंडों में निम्नलिखित शामिल हैं: गंभीरता, संकेत, विश्लेषक का निर्णय, उत्पादक, जोड़े गए लक्ष्य, और स्थिति। इन कहानी मानदंडों के बारे में अधिक जानकारी के लिए, देखें XDR स्टोरीज़ वर्कबेंच में डिटेक्शन & रिस्पॉन्स (XDR) कहानियों की समीक्षा करना
-
उत्पादक वह इंजन है जो कहानी उत्पन्न करता है। साइट ऑपरेशन्स के बारे में अधिक जानकारी के लिए, देखें साइट ऑपरेशन्स कहानियों की समीक्षा। XOps इंजनों और उनके आवश्यक लाइसेंस प्रकारों के बारे में अधिक जानकारी के लिए, देखें संकेत कैटलॉग का उपयोग करना
-
आप निम्नलिखित मानदंडों के लिए बहुविकल्पीय मान कॉन्फ़िगर कर सकते हैं: संकेत, विश्लेषक का निर्णय, गंभीरता, और उत्पादक। जब आप एक ही मापदंड प्रविष्टि में कई मान जोड़ते हैं, तो उनके बीच एक या संबंध होता है।
-
-
ट्रिगर - परिभाषित करता है कि जब प्रतिक्रिया नीति इंजन कहानी के नियम से मेल होने की जांच करता है। सेटिंग्स में शामिल हैं:
-
कहानी बनाई गई - प्रतिक्रिया नीति इंजन तब नियम से मेल की जांच करता है जब एक नई कहानी बनाई जाती है। मौजूदा कहानियाँ जो अपडेट की जाती हैं वे नियम से मेल की जांच नहीं होतीं।
-
कहानी बनाई गई या अपडेट की गई - प्रतिक्रिया नीति इंजन तब नियम से मेल की जांच करता है जब एक नई कहानी बनाई जाती है या जब एक मौजूदा कहानी अपडेट होती है। अपडेट में कहानी की स्थिति, विश्लेषक फैसला, गंभीरता, और लक्ष्य में परिवर्तन शामिल हो सकते हैं।
-
-
प्रतिक्रिया - चुनें जब नियम मेल खाता है उसके लिए प्रतिक्रिया। प्रतिक्रियाओं में घटना उत्पन्न करना और सदस्यता समूह, मेलिंग सूची, या वेबहुक एकीकरण से परिभाषित अधिसूचनाएं शामिल हो सकती हैं।
नया प्रतिक्रिया नीति नियम बनाएं और कहानी सूचनाएं कब भेजी जाती है, यह परिभाषित करने के लिए नियम का कॉन्फ़िगरेशन करें।
नया प्रतिक्रिया नीति नियम बनाने के लिए:
-
नेविगेशन मेनू से, होम > डिटेक्शन & रेस्पॉन्स नीति पर क्लिक करें।
-
प्रतिक्रिया नीति टैब चुनें।
-
नया क्लिक करें। प्रतिक्रिया नीति में जोड़ें पैनल खुलता है।
-
नियम के लिए एक नाम दर्ज करें।
-
स्रोत अनुभाग में, प्रकार चुनें (उदाहरण के लिए: होस्ट, आईपी रेंज, साइट), और फिर नियम के लिए कहानी के स्रोत के लिए एक या अधिक ऑब्जेक्ट चुनें (अथवा आप एक आईपी पता दर्ज कर सकते हैं)।
स्रोत डिफ़ॉल्ट मान कोई भी है।
-
(वैकल्पिक) मानदंड परिभाषित करें जो कहानी को नियम से मेल खाने वाली विशेषताओं को निर्दिष्ट करता है।
-
नियम के लिए ट्रिगर चुनें। आप कॉन्फ़िगर कर सकते हैं कि जब कहानी बनाई जाए, अपडेट की जाए, या दोनों हो, तब ट्रिगर होना चाहिए।
-
प्रतिक्रिया चुनें। यदि आप सूचना भेजें चुनते हैं, तो सदस्यता समूह, मेलिंग सूची, या एकीकरण को विधिवत करें जो अधिसूचना प्राप्त करेगा।
-
सेव करें पर क्लिक करें। नियम नीति में जोड़ा गया है।
XOps कहानियों से डेटा को तृतीय-पक्ष को एक वेबहुक एकीकरण का उपयोग करते हुए भेजने के लिए, आपको आवश्यकता है:
-
CMA में तीसरे पक्ष के एकीकरण को कॉन्फ़िगर करें
-
प्रतिक्रिया नीति में आवश्यक नियम बनाएं
आप तीसरे पक्ष के प्लेटफार्म जैसे ServiceNow, Jira, और Slack को अलर्ट भेजने और अलर्ट-आधारित स्वचालन फ़्लो बनाने के लिए वेबहुक इंटीग्रेशन को परिभाषित कर सकते हैं। Cato के वेबहुक्स कस्टमाइज़ेबल HTTP हेडर्स और संदेशों का समर्थन करते हैं जिन्हें आपके संगठन की विशेष जरूरतों को पूरा करने के लिए अलर्ट में समायोजित किया जा सकता है। अधिक जानकारी के लिए, देखें वेबहुक के माध्यम से CMA नोटिफिकेशन भेजना।
तीसरे पक्ष के एकीकरण को परिभाषित करने के बाद, प्रतिक्रिया नीति में एक नियम बनाएं।
तीसरे पक्ष के एकीकरण के लिए एक नियम बनाने के लिए:
-
नई प्रतिक्रिया नीति नियम बनाना में चरण 1-7 का पालन करें।
-
प्रतिक्रिया अनुभाग में, सूचना भेजें चुनें।
-
सूचना भेजने को ड्रॉप-डाउन में, एकीकरण चुनें।
-
उस एकीकरण को चुनें जिसे आप नियम में उपयोग करना चाहते हैं।
-
सेव पर क्लिक करें। नियम नीति में जोड़ा जाता है।
इवेंट्स पृष्ठ आपके खाते के लिए उत्पन्न सभी XOps स्टोरी इवेंट्स दिखाता है। आप पृष्ठ को फिल्टर कर सकते हैं ताकि इवेंट्स केवल इवेंट प्रकार Detection and Response का उपयोग कर दिखाई दें।
नीचे स्टोरी इवेंट्स के लिए प्रासंगिक फील्ड्स दिए गए हैं। Cato API के eventsFeed क्वेरी में इन फील्ड्स में XOps स्टोरीज का डेटा इवेंटफील्डनेम प्रकार के लिए दिखता है।
|
API एनेम मान |
इवेंट फ़ील्ड |
टिप्पणियाँ |
|---|---|---|
|
user_display_name |
उपयोगकर्ता का नाम प्रदर्शित करें |
|
|
analyst_verdict |
विश्लेषक का निर्णय |
|
|
criticality |
गंभीरता |
|
|
device_name |
उपकरण का नाम |
|
|
event_count |
इवेंट गिनती |
XOps स्टोरीज के लिए, इवेंट्स अपने आप संग्रहीत नहीं होते हैं, इसलिए इवेंट गिनती का मान आमतौर पर 1 होगा। |
|
sub-type |
उप-प्रकार |
|
|
event_type |
इवेंट प्रकार |
XOps स्टोरी इवेंट्स के लिए, इवेंट प्रकार Detection and Response होता है। |
|
indication |
संकेत |
|
|
event_internal_id |
इवेंट आंतरिक ID |
|
|
producer |
निर्माता |
इंजन जिसने कहानी उत्पन्न की। संभावित मान: खतरे की रोकथाम, खतरा शिकार, उपयोग विसंगति, इवेंट्स विसंगति, Microsoft Endpoint चेतावनी। |
|
rule |
नियम |
प्रतिक्रिया नीति का नियम का नाम जिसने इवेंट उत्पन्न किया। |
|
source_ip |
स्रोत IP |
|
|
source_is_site_or_sdp_user |
स्रोत साइट या उपयोगकर्ता है |
|
|
source_site |
स्रोत साइट |
|
|
स्थिति |
स्थिति |
|
|
story_id |
स्टोरी ID |
|
|
threat_name |
खतरे का नाम |
|
|
threat_type |
खतरे का प्रकार |
|
|
time |
समय |
|
|
विक्रेता |
विक्रेता |
संभवित मान: Microsoft (Microsoft Endpoint चेतावनी स्टोरीज के लिए), Cato। |
|
additional_data |
N/A |
स्टोरी डेटा जो अन्य इवेंट फील्ड्स में शामिल नहीं है। यह फ़ील्ड निर्यात किए गए इवेंट्स में शामिल है, लेकिन इवेंट्स पृष्ठ में नहीं दिखाई जाती है। नोट: यह फ़ील्ड कच्चे पार्स न किए गए डेटा के रूप में निर्यात की जाती है, और इसमें एस्केप कैरेक्टर्स हो सकते हैं। यह प्रारूप बदलने के अधीन है। |
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.