XOps के साथ आरंभ करें

यह लेख Cato XOps प्लेटफॉर्म के साथ खतरों की जाँच के लिए सर्वोत्तम प्रथाओं का वर्णन करता है।

अवलोकन

Cato XOps प्लेटफार्म दोनों सुरक्षा संचालन और नेटवर्क संचालन टीमों को एआई और ऑटोमेशन का उपयोग करके संगठन के नेटवर्क की निगरानी करने के लिए सक्षम करता है, दोनों सुरक्षा खतरों और नेटवर्क प्रदर्शन समस्याओं के लिए। XOps अप्रबंधनीय मात्रा में रॉ सुरक्षा और कनेक्टिविटी इवेंट्स को उपभोग करने योग्य, क्रॉस-फंक्शनल और तथ्यों पर आधारित कहानियों में बदल देता है।

यह लेख XOps का अधिकतम लाभ उठाने के लिए सर्वोत्तम प्रथाओं का वर्णन करता है ताकि आपके संगठन की सुरक्षा निगरानी और खतरों की रोकथाम को काफी बढ़ाया जा सके। पहला, हम एकीकरण को विन्यस्त करने पर चर्चा करते हैं ताकि XOps क्षमताएं विस्तृत हो सकें, और फिर हम वर्णन करते हैं कि कहानियाँ कार्यक्षेत्र में एक कहानी की जांच कैसे की जाए, जिसमें निम्नलिखित चरण शामिल हैं:

  1. XOps एकीकरण विन्यस्त करें
  2. ध्यान केंद्रित करने के लिए महत्वपूर्ण कहानियों की पहचान
  3. जांच शुरू करने के लिए कदम
  4. निर्णय सेट करें और खतरे को सुधारें

XOps के लिए एकीकरण सेट करें

XOps प्लेटफ़ॉर्म की उपयोगिता को अधिकतम करने के लिए, हम अनुशंसा करते हैं कि समर्थित कनेक्शन प्रकार कॉन्फ़िगर करने की अनुशंसा करते हैं जो अधिक व्यापक निर्माता की संख्या और प्रकार को विस्तार करता है XOps कहानियाँ। हम अनुशंसा करते हैं कि आप निम्नलिखित में से एक एंडपॉइंट सुरक्षा एकीकरण को विन्यस्त करें ताकि आप संभावित खतरों की अधिक संपूर्ण तस्वीर प्राप्त कर सकें और नेटवर्क और एंडपॉइंट दोनों तक विस्तारित एकीकृत XOps प्लेटफ़ॉर्म में जांच कर सकें। XOps उत्पादकों की पूरी सूची के लिए, देखें Cato XOps सेवा में आपका स्वागत है

  • Microsoft Defender for Endpoint कनेक्टर - वे ग्राहक जो Defender for Endpoint का उपयोग करते हैं, रक्षा चेतावनी डेटा को एकीकृत करने और एंडपॉइंट उपकरणों के लिए XOps कहानियाँ उत्पन्न करने के लिए Microsoft API का लाभ उठा सकते हैं। इस एकीकरण के बारे में अधिक जानकारी के लिए, देखें Microsoft Defender for Endpoint Alerts: XOps एकीकरण विन्यस्त करें.

  • SentinelOne अलर्ट्स - ग्राहक जो SentinelOne का उपयोग करते हैं, वे SentinelOne ईडीआर से डेटा को एकीकृत कर सकते हैं ताकि एंडपॉइंट उपकरणों के लिए कहानियाँ उत्पन्न की जा सकें। सेंटिनलवन निर्माता एजेंट UUID (उपकरण ID) और धमकी फ़ाइल हैश के आधार पर 90 दिनों के अंदर सेंटिनलवन EDR घटनाओं के डेटा को सहसंबंधित करके एक कहानी उत्पन्न करता है। ये कहानियाँ सेंटिनलवन द्वारा पहचान किए गए घटनाओं के लिए सभी प्रासंगिक सबूत शामिल करते हैं।

    SentinelOne अलर्ट्स को एकीकृत करने के बारे में अधिक जानकारी के लिए देखें SentinelOne ईडीआर: XOps एकीकरण को विन्यस्त करना

  • क्राउडस्ट्राइक अलर्ट्स - ग्राहक जो क्राउडस्ट्राइक का उपयोग करते हैं, घटना आईडी के आधार पर क्राउडस्ट्राइक पहचान से डेटा को एकीकृत कर सकते हैं। इन कहानियों में क्राउडस्ट्राइक द्वारा पहचान किए गए पहचान की सभी प्रासंगिक सबूत शामिल हैं।

    CrowdStrike अलर्ट्स को एकीकृत करने के बारे में अधिक जानकारी के लिए देखें CrowdStrike: XOps एकीकरण को विन्यस्त करना

  • Cato Endpoint Protection - Cato EPP समाधान कैटो XOps के साथ मूल रूप से एकीकृत होता है ताकि एंडपॉइंट उपकरणों के लिए कहानियाँ उत्पन्न की जा सकें, बिना कनेक्टर को विन्यस्त किए। इस एकीकरण के बारे में अधिक जानकारी के लिए, देखें Cato Endpoint Protection (EPP): XOps एकीकरण विन्यस्त करें.

महत्वपूर्ण कहानियों की पहचान

कहानियों के कार्य बेंच में सही कहानियों को चुनना XOps प्लेटफ़ॉर्म का प्रभावी उपयोग करने के लिए एक महत्वपूर्ण पहला कदम है। आप कार्य बेंच में उपलब्ध उपकरण और जानकारी का उपयोग करके जांच के लिए उच्च प्राथमिकता वाली कहानियों की तेजी से पहचान कर सकते हैं। हम निम्नलिखित चरणों की अनुशंसा करते हैं:

  1. कहानी समूहबद्ध करें - समूह के द्वारा विकल्प आपके खाते में विभिन्न प्रकार की कहानियों का त्वरित अवलोकन प्राप्त करने के लिए उपयोगी हो सकते हैं, साथ ही नेटवर्क पर विशेष रुचिकर वस्तुओं जैसे स्रोतों या उपयोगकर्ता पर संकेत कर सकते हैं। ये उपयोगकर्ता समूह के द्वारा विकल्पों के उदाहरण हैं:

    • स्रोत और स्रोत IP - कहानियों में शामिल उपयोगकर्ताओं, उपकरणों और IP पतों को जल्दी से देखें
    • उत्पादक - जल्दी से पता लगाई गई विभिन्न प्रकार की कहानियों की समीक्षा करें। विभिन्न प्रकार के उत्पादकों के बारे में अधिक जानकारी के लिए, देखें कैटो XOps सेवा में स्वागत है.
    • संकेत - हमले के विशेष संकेतकों का अवलोकन प्राप्त करें जो पता लगाए गए

    हम अनुशंसा करते हैं कि विभिन्न समूह द्वारा विकल्पों के माध्यम से चक्र करें ताकि आप विभिन्न दृष्टिकोणों से अपने नेटवर्क पर कहानियों की त्वरित समझ प्राप्त कर सकें, जो आपको जांच पर ध्यान केंद्रित करने के लिए विशेष रुचिकर क्षेत्रों की पहचान करने में मदद कर सकते हैं।

    Stories_Workbench_Grouping2.png
  2. महत्व के आधार पर प्राथमिकता दें - उच्च महत्व स्कोर वाली कहानियों पर ध्यान केंद्रित करके शुरुआत करें। ये संभावित खतरे हैं जो आपके नेटवर्क पर सबसे महत्वपूर्ण प्रभाव डाल सकते हैं। आप महत्व स्तंभ शीर्षक पर क्लिक करके कहानियों को महत्व के आधार पर क्रमबद्ध कर सकते हैं, या विशेष महत्व स्तरों के लिए कहानियों को फ़िल्टर कर सकते हैं। इसके अलावा, जब आप समूह के आधार पर विकल्पों का उपयोग करते हैं, तो प्रत्येक समूह समूह के लिए उच्च महत्व वाली कहानियों की संख्या दर्शाता है।

जांच शुरू करना

एक बार जब आपने जांच करने के लिए एक कहानी चुन ली है, तो आप कहानी पर क्लिक करके डिटेक्शन और प्रतिक्रिया कहानी अवलोकन पृष्ठ में विवरण देखने के लिए ड्रिल-डाउन कर सकते हैं। हम अनुशंसा करते हैं कि कहानी में क्या हो रहा है, इसकी प्रारंभिक समझ पाने के लिए निम्नलिखित चरणों का पालन करें:

  1. एक ए आई सारांश उत्पन्न करें - विवरण विजेट में एक उपकरण शामिल होता है जो आपको एक चरण-वार प्रक्रिया में उत्पन्न ए आई कहानी का विन्यास करने देता है, जो समृद्ध सामग्री प्रदान करता है और आपको कहानी का तेजी से मूल्यांकन करने में मदद करता है। जेनरेट ए आई सारांश बनाने के लिए जेनरेट ए आई सारांश बटन पर क्लिक करें।

    XDR_Core_Story_Summary.png

  2. जांच करें कि क्या ट्रैफ़िक अवरुद्ध किया गया था - लक्ष्य कार्रवाइयाँ तालिका कहानियों में शामिल प्रत्येक लक्ष्य से संबंधित घटनाओं को दिखाती है, जिसमें यह भी शामिल है कि क्या किसी एक सुरक्षा सेवाएँ जैसे कि IPS द्वारा ट्रैफ़िक पर ब्लॉक कार्रवाई लागू की गई थी। अगर कुछ लक्ष्यों के लिए ट्रैफ़िक अवरुद्ध नहीं किया गया था, तो कहानी का खतरे का स्तर उच्च है। यहाँ तक कि यदि सभी लक्ष्यों के लिए ट्रैफ़िक अवरुद्ध हो गया था, तो संभव है कि यह ट्रैफ़िक एक चल रही धमकी से संबंधित हो जो आगे की जांच की आवश्यकता होती है।

    XDR_Core_Target_Actions.png

  3. लक्ष्य का आकलन करें - कहानी से संबंधित आपके नेटवर्क साइट के बाहर संभावित खतरनाक स्रोतों के लिए लक्ष्यों की तालिका डेटा दिखाती है। जब आप अपनी जाँच शुरू करते हैं, तो निम्नलिखित कॉलम पर ध्यान केंद्रित करने की सिफारिश की जाती है:

    • हानिकारक स्कोर आपको बताता है कि लक्ष्य के हानिकारक होने की संभावना है, Cato खतरा खुफिया मशीन सीखने के एल्गोरिदम के अनुसार। स्कोर 0 (सौम्य) से 1 (हानिकारक) तक होते हैं
    • लक्ष्य लिंक आपको विभिन्न बाहरी खतरे के खुफिया स्रोतों में लक्ष्य की तलाश करके लक्ष्य प्रतिष्ठा को समझने में मदद करते हैं
    XDR_Core_Targets_table.png
  4. काम करें XOps प्लेबुक्स - Cato XOps सुरक्षा प्लेबुक्स विशेष प्रकार की कहानियों की जांच करने के लिए एक संरचित दृष्टिकोण प्रदान करते हैं। वे जांच प्रक्रिया के माध्यम से आपका मार्गदर्शन करते हैं और आपको कार्रवाई की वस्तुओं की पहचान करने में मदद करते हैं। जिन कहानियों के लिए प्रासंगिक प्लेबुक होती है, आप विवरण विजेट में प्लेबुक के लिए लिंक पा सकते हैं। XOps सुरक्षा प्लेबुक्स भी यहाँ उपलब्ध हैं।
  5. टिप्पणियों का उपयोग करें - यदि कहानी जांच में टीम के सदस्यों के बीच सहयोग शामिल है, तो टिप्पणियों का उपयोग करें ताकि यह दस्तावेज किया जा सके कि क्या काम किया गया है और अगले विश्लेषक के लिए महत्वपूर्ण जानकारी और संदर्भ प्रदान करें जो कहानी में देखता है। टिप्पणियों के उपयोग के बारे में अधिक जानकारी के लिए, देखें XOps कहानी जांच का प्रबंधन.

निर्णय सेट करना और सुधारात्मक कदम उठाना

कहानी कार्रवाइयाँ पैनल आपको अपनी जांच को समाप्त करते समय महत्वपूर्ण कार्रवाइयों का प्रदर्शन करने और महत्वपूर्ण जानकारी को दर्ज करने की सुविधा देता है। कुछ विश्लेषक यह गलती करते हैं कि वे कहानी को बिना निर्णय सेट किए बंद कर देते हैं, और जांच प्रक्रिया के लाभ को बहुत खो देते हैं। जब आप एक निर्णय सेट करते हैं, तो आप कहानी के बारे में भावनात्मक जानकारी रिकॉर्ड करते हैं जो भविष्य के संदर्भ के लिए होती है, और खत्म करने के लिए अनुशंसित कार्रवाइयों के बारे में जान सकते हैं। यह एक उदाहरण कार्यप्रवाह है जब आप पहचाने जाते हैं कि एक उपकरण एक ज्ञात कमजोरियों के शोषण प्रयास द्वारा समझौता किया गया है:

  1. कहानी कार्रवाइयाँ पैनल खोलने के लिए क्रियाएँ > कहानी प्रबंधित करें पर क्लिक करें।

    XDR_Comment_buttons.png
  2. विश्लेषक निर्णय को हानिकारक पर सेट करें।
  3. खतरे की गंभीरता को परिभाषित करें।

  4. प्रकार को शोषण प्रयास के रूप में परिभाषित करें, और यदि संभव हो तो खतरे के लिए एक अधिक विशिष्ट वर्गीकरण परिभाषित करें। जांच प्रक्रिया या परिणामों के बारे में विवरण रिकॉर्ड करने के लिए अतिरिक्त विवरण फ़ील्ड का उपयोग करें।

    XDR_Core_Example_Verdict.png

  5. अनुशंसित क्रियाओं का पालन करें, जिसमें शामिल हैं:

    1. कहानी में आपने पहचाने गए हानिकारक लक्ष्यों और स्रोतों को अवरुद्ध करने के लिए फ़ायरवॉल नियम बनाएं।
    2. भेद्यता को सुधारने और भविष्य में शोषण हमलों से बचने के लिए उपकरण सॉफ़्टवेयर अपडेट करें।
  6. यदि आप किसी समझौता किए गए उपयोगकर्ता की पहचान करते हैं, तो नेटवर्क तक पहुंच को रोकने के लिए उपयोगकर्ता के रिमोट सत्र को रद्द कर सकते हैं। रिमोट सत्र को रद्द करने के बारे में और अधिक जानकारी के लिए, दूरस्थ उपयोगकर्ता सत्र को रद्द करना देखें।
  7. कहानी की स्थिति को बंद पर सेट करें।

क्या यह लेख उपयोगी था?

1 में से 1 के लिए उपयोगी रहा

0 टिप्पणियां