XOpsストーリーのミュート

この記事では、XOpsストーリーをミュートして、ストーリー作業台に表示されないようにするルールの作成方法について説明します。

概要

XOps相関エンジンは、潜在的な脅威やネットワークの劣化を検出するためにトラフィックデータを分析します。一致が見つかると、問題を理解して分析するためにXDR インシデント検出にストーリーが生成されます。ストーリーを作成したくない場合は、ストーリーミュートルールを設定できます。これにより、誤検知のストーリー生成が減り、実際の潜在的脅威やネットワーク問題に分析を集中させることができます。ストーリーは、特定の期間または無期限でミュートできます。

以下のエンジンによって作成されたストーリーをミュートできます:

脅威防止
脅威ハンティング
サイト操作
使用量の異常
イベント異常

ストーリーがミュートされるには、完全一致を持つか、ミュートストーリーのルールに挿入された述部を含んでいる必要があります。例として、ルールに3つのドメインが含まれているが、ストーリーには2つしか含まれていない場合、ストーリーはミュートされます。ルールに2つのドメインが含まれていて、ストーリーに3つ含まれている場合、それはミュートされません。ミュートされたストーリーはデフォルトで生成されませんが、条件として選択することでこれをオーバーライドできます。

注意

注意: MDRの顧客は、サイト運用エンジン用のミュートストーリールールを作成および編集できます。他のエンジンに対するミュートストーリーを定義したい場合は、mdr@catonetworks.comまでお問い合わせください。

脅威防止及び脅威ハンティングストーリーのミュート

信頼できるリソースからのトラフィックを定義し、それをストーリーから除外できます。例えば、XOpsストーリーは潜在的なスキャン試行の検出のために生成されますが、スキャンのソースは良性のペネトレーションテストです。

脅威防止及び脅威ハンティングストーリーの場合でも、ミュートされていても常にストーリーが作成されます。ミュートを適用すると、ストーリーにはミュートフラグが付けられ、脅威防止または脅威ハンティングフィルターが適用されるとレポートから除外され、ストーリーワークベンチには表示されません。ミュートされたストーリーは、デフォルトでは対応ポリシーに基づいてアラートをトリガーしません。

脅威防止および脅威ハンティングストーリー用にミュートストーリールールを追加する方法は2つあります:

Detection & Responseページでルールを作成
XDR インシデント検出でストーリーからルールを作成します。特定のトラフィックが良性であると知っている場合、ストーリーでそれを確認した際にこの方法が役立ちます。

UEBA使用量の異常とイベント異常ストーリーのミュート

使用量の異常およびイベント異常のストーリーをミュートするルールを追加する方法は2つあります:

Detection & Responseページでルールを作成
XDR インシデント検出でストーリーからルールを作成します。特定のトラフィックが良性であると知っている場合、ストーリーでそれを確認した際にこの方法が役立ちます。

以下のセクションでは、使用量の異常およびイベント異常のミュートストーリーのルールに利用可能な設定を説明します。

使用量の異常ストーリーのミュートされたストーリー設定の理解

XOps 使用量の異常エンジンは、アプリケーションでの異常な使用量に関連する異常を特定し、異常が検出されたときにストーリーを生成します。ミュートストーリーポリシーでは、XOps エンジンが除外するアプリケーションまたはアプリケーションカテゴリを指定して使用量の異常ストーリーのルールを設定できます。例えば、特定のユーザーが仕事の要件としてOneDriveに異常に大量のデータをアップロードすることを知っている場合、送信元として特定のユーザー、アプリケーションとしてOneDriveを設定してルールを作成します。

使用量の異常ストーリーには、複数のアプリケーションが関与する可能性があります。その場合、設定されたアプリケーションはストーリー内の主要なアプリケーションを指します。例えば、アプリケーションをOneDriveとして設定すると、使用量の異常ストーリーの主要なアプリケーションがOneDriveである場合、XOps エンジンはストーリーを生成しません。しかし、主要なアプリケーションがDropboxなど他のアプリケーションで、OneDriveが2番目に多く使用されている場合は、ストーリーは生成されます。

イベント異常ストーリーのミュートされたストーリー設定の理解

XOps イベント異常エンジンは、ネットワーク上のエンティティが異常な数のセキュリティイベントをトリガーする異常を検出し、異常が検出されたときにストーリーを生成します。ミュートストーリーポリシーでは、XOps エンジンが除外するイベントタイプを指定してイベント異常ストーリーのルールを設定できます。その後、特定のルールまたはIPS脅威によって生成されたイベントのみを除外するようにさらに指定できます。

例えば、ユーザーが既知の良性アクティビティを行う際に異常に多くのWANファイアウォールイベントを生成する場合、このユーザーを送信元として、イベントタイプにWANファイアウォールを設定するイベント異常メトリックを設定してルールを作成します。次に、WANファイアウォールルールベース内でルールを指定します。

サイト運用ストーリーのミュート

特定のネットワーク問題によって生成されたストーリーをミュートできます。例えば、ローカルISPが計画的な停止をしていると分かっている場合、停止期間中のサイトダウンの指標によって生成されたストーリーをミュートできます。

サイト運用ストーリーの場合、ストーリーはミュートされても常に作成されます。ミュートはストーリーにミュートフラグを適用し、ネットワーク運用フィルターが適用されるとレポートから除外され、ストーリーワークベンチから隠されます。ミュートされたストーリーはデフォルトで対応ポリシーによりアラートをトリガーしません。 ILMM顧客のみ、サイトのリンクがサービスにオンボードされていない場合、これらのストーリータイプはデフォルトでミュートされます。

サイトダウン
リンクダウン
ALT WANリンクダウン
品質SLA

インシデントタイムラインのミュート済み列で、ストーリーがミュートされているかどうかを確認できます。

サイト運用ストーリーのミュートされたストーリーのルールを追加するには、Detection & Responseページでルールを作成してください。

前提条件

XOpsライセンスが必須です

検出&リスポンスミュートストーリールールのアイテム

以下のテーブルでは、検出&リスポンスミュートストーリールールの設定を定義するために使用できるアイテムを説明します。設定に複数のオブジェクトを設定すると、それらの間にOR関係があります。例えば、サイトとユーザーを含む送信元で構成されているルールがある場合、そのルールはトラフィックがサイトまたはユーザーのいずれかに一致したときに適用されます。

アイテム	説明
プロデューサー	ルールが適用される検出&リスポンスエンジンまたはエンジン。これらのエンジンとそれらが検出するストーリーのタイプについて詳しくは、インディケーションカタログの使用をご覧ください。
指標ID	検出&リスポンスエンジンによって使用される指標の識別子。それぞれの指標IDは、特定のトラフィックパラメータを特定する検出&リスポンスエンジンクエリに関連付けられています。指標IDを定義すると、その指標IDに関連付けられた特定のエンジンクエリによって生成されたストーリーからのトラフィックのみが除外されます。指標IDが定義されていない場合、そのトラフィックはルール設定に一致するすべてのエンジンクエリから除外されます。インディケーションについて詳しくは、インディケーションカタログの使用をご覧ください。
方向（脅威防止、脅威ハンティング、使用量の異常、およびイベント異常のストーリー）	ルールが適用されるトラフィックフローの方向を定義します。方向には以下が含まれます: インバウンド - 外部ソースから始まるネットワークへのトラフィックアウトバウンド - ネットワークから外部ソースへのトラフィック WANバウンド - 自分のネットワークからネットワーク上の他のサイトへのトラフィック全て - 上記のすべて
時間枠	ルールが適用される時間枠を選択するか、無制限を選択して有効期限なしでルールを適用し続けます。有効期限が設定されると: 脅威防止および脅威ハンティングのストーリーの場合、ルールはCato管理画面のユーザープロファイル設定で設定されたタイムゾーンのその日付の開始時に期限切れになります。サイトオペレーションストーリーの場合、時間枠が適用されるタイムゾーンを選択できます。有効なセキュリティ姿勢を維持するために、有効期限を設定することは推奨されるベストプラクティスです。
送信元	このルールのトラフィックの送信元。次の送信元タイプのいずれか一つ以上を選択できます: 脅威防止および脅威ハンティングのストーリーサイト IP IP範囲ユーザーいずれかサイトオペレーションサイトネットワークインタフェース（LANリンク） WANリンクサイト接続タイプいずれか
デバイス（脅威防止、脅威ハンティング、使用量の異常、およびイベント異常のストーリー）	オペレーティングシステムによって定義されるルールが適用されるデバイスのタイプ。
宛先（脅威防止、脅威ハンティング、使用量の異常、イベント異常のストーリー）	このルールのトラフィックの宛先。次の宛先タイプのいずれか一つ以上を選択できます: IP URL ドメイン FQDN アプリケーションアプリケーションカテゴリ（使用量の異常ストーリーのみ）いずれかこれらのオブジェクトの定義については、規則オブジェクトのリファレンスをご覧ください。
イベントの異常メトリック（イベント異常のストーリー）	ミュートされるイベントのタイプを選択します。イベントタイプを選択した後、ルール名または脅威名を指定できます。次のイベントタイプのいずれかを選択できます: WANファイアウォールインターネットファイアウォール IPS アンチマルウェア次世代アンチマルウェアいずれか

上記の設定に加えて、各ミュートストーリールールについては以下の情報も表示されます:

作成者 - ルールを作成したユーザーのユーザー名。
作成日時 - ルールが作成された日付。

検出 & 対応ミュートストーリールールベースを表示する

検出 & 対応ミュートストーリールールベースを表示するには:

ナビゲーションメニューから、ホーム > 対応ポリシーをクリックします。

検出 & 対応ページでミュートストーリールールを作成する

新しいミュートストーリールールを追加し、検出 & 対応エンジンによって無視されるトラフィックを定義する設定を構成します。

検出 & 対応ミュートストーリールールを作成するには:

ナビゲーションメニューから、ホーム > 対応ポリシーをクリックします。
ストーリーをミュートするタブを選択します。
新規をクリックします。 ミュートストーリーに追加パネルが開きます。
上記で説明したルールの設定を行います。
保存をクリックしてください。ルールがミュートストーリールールベースに追加されます。

ストーリーからミュートストーリールールを作成する

ストーリーワークベンチでストーリードリルダウンを表示し、ストーリーアクションパネルを使用してミュートストーリールールを作成します。

以下のルール設定は、ストーリーからのデータに基づいて自動入力されます。

方向
送信元
- ストーリーに送信元の複数のデータタイプが含まれている場合、これらすべてがソース設定に追加されます。例えば、ストーリーが送信元としてIPとサイトを特定した場合、両方のIPとサイトがルールの送信元セクションに自動入力されます。
宛先 - ストーリーターゲットに基づいて自動入力されます
- ストーリーが複数のターゲットを特定した場合、それらすべてが宛先の設定に追加されます

ストーリーからミュートストーリールールを作成するには:

ナビゲーションメニューから、ホーム > XDR インシデント検出をクリックします。
ストーリーをクリックして、ストーリーのドリルダウンページを開きます。
をクリックして、ストーリーアクションパネルを開きます。
新規ミュートストーリーに追加をクリックします。 新規ミュートストーリールールに追加パネルが開きます。
上記で説明したルールの設定を行います。
保存をクリックしてください。ルールがミュートストーリールールベースに追加されます。
検出 & 対応ミュートストーリールールベースを表示するには、ナビゲーションメニューからホーム > 対応ポリシーをクリックします。