यह लेख एक XOps कहानी में खतरे को कम करने के तरीके पर चर्चा करता है।
XOps कहानियाँ अक्सर संदिग्ध गतिविधियों से संबंधित होती हैं, जो या तो एक विशिष्ट उपयोगकर्ता या एक लक्ष्य (जैसे कि एक आईपी पता या FQDN) से उत्पन्न होती हैं। उदाहरण के लिए, एक कहानी संकेत कर सकती है कि एक उपयोगकर्ता का रिमोट सेशन समझौता किया गया था या कि एक उपकरण एक संदेहास्पद फिशिंग डोमेन के साथ संचार कर रहा है। कहानियों कार्यस्थल में कहानी अवलोकन पृष्ठ आपको दोनों प्रकार के खतरों को प्रभावी ढंग से कम करने की अनुमति देता है या तो:
-
उपयोगकर्ता सेशन रद्द करें: आप कहानी से सीधे उपयोगकर्ता के सत्र को रद्द कर सकते हैं। यह उपयोगकर्ता को लॉग आउट करता है और उन्हें वापस पहुँच के लिए क्लाइंट लॉगिन स्क्रीन के माध्यम से पुन: प्रमाणीकरण के लिए प्रोत्साहित करता है। यदि उपयोगकर्ता जोखिम को कम करते समय कनेक्टेड नहीं है, तो उनकी प्रमाणीकरण टोकन को रद्द कर दिया जाता है और फिर से कनेक्शन पर उन्हें पुन: प्रमाणीकरण करने की आवश्यकता होगी।
-
लक्ष्य को ब्लॉकलिस्ट में जोड़ें: आप संदेहास्पद लक्ष्यों को एक कंटेनर में जोड़ सकते हैं जिसे आप अपनी ब्लॉकलिस्ट नीतियों में शामिल कर सकते हैं। यह सुनिश्चित करता है कि कोई भी उपयोगकर्ता जो Cato से कनेक्टेड है, उस लक्ष्य तक नहीं पहुंच सके।
कंटेनर उपयोगकर्ता-परिभाषित श्रेणियां हैं जो आपको आईपी पते या पूर्ण डोमेन नाम (FQDN) जैसी वस्तुओं के समूहों का प्रबंधन करने में मदद करती हैं। एक बार जब आप एक कंटेनर बनाते हैं, तो इसे ब्लॉक क्रिया के साथ फ़ायरवॉल नियम में जोड़ा जा सकता है। संदिग्ध लक्ष्यों को केवल तब ब्लॉक किया जाता है जब कंटेनर को फ़ायरवॉल नियम में शामिल किया जाता है। जब आप एक XOps कहानी से खतरे को कम करते हैं, तो आप एक लक्ष्य को एक मौजूदा कंटेनर में जोड़ सकते हैं या एक नया उत्पन्न कर सकते हैं। उपयोगकर्ता उस लक्ष्य तक पहुंच सकते हैं जो कंटेनर में जोड़े गए हैं लेकिन फ़ायरवॉल नियम में शामिल नहीं हैं।
Example Corp. के विश्लेषकों ने अवलोकन पृष्ठ में एक XOps कहानी की जांच की और एक उपयोगकर्ता का पता लगाया जो एक फाइल शेयरिंग एप्लिकेशन के लिए बहुत सारे डेटा अपलोड कर रहा था। उन्हें यकीन नहीं है कि अपलोड गतिविधि वैध कारणों से है या नहीं। विश्लेषकों ने यह भी देखा कि इस अपलोड गतिविधि के लिए उपयोग में उपयोगकर्ता एजेंट इस उपयोगकर्ता के लिए अनियमित है, जो दर्शाता है कि एक प्रतिद्वंद्वी द्वारा प्रमाणपत्र चोरी का संभावित मामला है। इसलिए वे उपयोगकर्ता सत्र रद्द करने का निर्णय लेते हैं ताकि डिवाइस पर पुन: प्रमाणीकरण करने के लिए मजबूर किया जा सके। इसके बाद विश्लेषक अपनी जांच तब जारी रख सकते हैं जब यह जानकर कि केवल एक वैध प्रमाणीकृत उपयोगकर्ता नेटवर्क से कनेक्टेड है।
एक सुरक्षा विश्लेषक अवलोकन पृष्ठ में एक XOps कहानी की जांच करता है और एक IP पता पहचानता है जो मैलवेयर से संबंधित है। अतिरिक्त जांच के बाद, विश्लेषक इसकी पुष्टि करता है कि यह एक ज्ञात दुर्भावनापूर्ण अभिनता से उत्पन्न किया गया हमले का मामला है।
विश्लेषक लक्षित IP पते को कंपनी की संदेहास्पद IP पता कंटेनर में जोड़ देता है जो इंटरनेट फ़ायरवॉल नियम में एक ब्लॉक क्रिया के साथ शामिल है।
खतरा निहित है क्योंकि कोई अन्य उपयोगकर्ता IP पते तक नहीं पहुंच सकता।
कहानी के अवलोकन पृष्ठ पर, क्रियाएँ मेनू से खतरों को घटाएं।
खतरों को कम करने के लिए:
-
कहानी अवलोकन में, क्रियाएँ बटन पर क्लिक करें।
-
आप जो घटाव क्रिया लेना चाहते हैं उसे चुनें:
-
उपयोगकर्ता को रद्द करने के लिए, क्लिक करें उपयोगकर्ता सत्र रद्द करें। रद्द उपयोगकर्ता सत्र पैनल खुलता है। उस उपयोगकर्ता का चयन करें जिसका सक्रिय सत्र आप रद्द करना चाहते हैं। यह पैनल स्वचालित रूप से कहानी में पहचाने गए उपयोगकर्ता को दिखाता है।
-
किसी लक्ष्य को अवरोध सूची में जोड़ने के लिए, लक्ष्य को अवरोध सूची में जोड़ें पर क्लिक करें। किसी लक्ष्य को घटाने के लिए चुनें और इसे जोड़ने के लिए किसी मौजूदा कंटेनर को चुनें, या एक नया कंटेनर उत्पन्न करने के लिए नई बनाएँ पर क्लिक करें। सुनिश्चित करें कि कंटेनर को फ़ायरवॉल नियम में शामिल किया गया है।
-
-
(वैकल्पिक) एक नोट जोड़ें।
-
अपनी कार्रवाई की पुष्टि करें।
होम > डिटेक्शन & प्रतिक्रिया नीति पृष्ठ में एक्शन सेंटर टैब आपको आपके खाते में लिए गए XOps घटाव क्रियाओं की समीक्षा करने देता है।
कार्रवाई केंद्र प्रत्येक घटाव क्रिया के लिए निम्नलिखित जानकारी दिखाता है:
-
समय - जब घटाव क्रिया भेजी गई थी उसके लिए समय टिकट
-
कार्रवाई - घटाव क्रिया का वर्णन
-
विषय - जिस उपयोगकर्ता पर कार्रवाई की गई थी
-
स्थिति - कार्रवाई की स्थिति। लक्ष्य को ब्लॉकलिस्ट में जोड़ें क्रिया के लिए, ये हैं स्थिति मान:
-
सफलता - सत्र को रद्द करने के लिए अनुरोध Cato उपयोगकर्ता सेवा को भेजा गया था
-
विफलता - सत्र को रद्द करने के अनुरोध में एक समस्या थी
-
-
लेखक - व्यवस्थापक द्वारा की गई कार्रवाई
-
ट्रिगर - स्टोरी आईडी कहानी ID है जिसके माध्यम से कार्रवाई भेजी गई थी। कहानी के लिए अवलोकन पृष्ठ खोलने के लिए क्लिक करें
-
नोट - व्यवस्थापक द्वारा दर्ज वैकल्पिक नोट
-
रिमोट उपयोगकर्ता सेशन रद्द करें कार्रवाई केवल Cato क्लाइंट के साथ नेटवर्क से कनेक्ट करने वाले दूरस्थ उपयोगकर्ताओं के लिए उपलब्ध है। यह साइट के पीछे के उपयोगकर्ताओं के लिए समर्थित नहीं है
-
प्रयोगकर्ता सत्र रद्द करें क्रिया उन कहानियों के लिए समर्थित है जिसमें एक उपयोगकर्ता की पहचान होती है और जो निम्नलिखित उत्पादकों में से एक द्वारा उत्पन्न की जाती हैं:
-
खतरा निवारण
-
खतरा शिकार
-
घटनाएं विसंगति
-
उपयोग विसंगति
-
Cato एंडपॉइंट अलर्ट
-
-
उपयोगकर्ता सत्र को रद्द करने में 10 मिनट तक का समय लग सकता है
-
एक कंटेनर को ब्लॉक फ़ायरवॉल नियम में जोड़ने और लक्ष्य के ब्लॉक होने के बीच थोड़ी देरी हो सकती है
0 टिप्पणियां
लेख टिप्पणियों के लिए उपलब्ध नहीं है.