XOpsストーリーのミュート

この記事では、XOpsストーリーがストーリーワークベンチに表示されないようにするルールを作成する方法について説明します。

注意

注: XOpsはCatoの統合分析層であり、セキュリティと運用の洞察とガイド付きの対応を提供します。 XOpsはXDRに取って代わりました。詳細については、XOps FAQを参照してください。

概要

XOpsの相関エンジンは、潜在的な脅威やネットワークの劣化を見つけるためにトラフィックデータを分析します。一致が特定されると、ストーリーワークベンチにストーリーが生成され、問題を理解して分析するのを助けます。ストーリーを作成したくない場合は、ミュートされたストーリーのルールを設定できます。これにより、誤検知によるストーリーの生成が減少し、実際の潜在的な脅威やネットワークの問題に対する分析に集中できます。ストーリーは、特定または無制限の時間範囲でミュートできます

以下のエンジンによって生成されたストーリーをミュートできます：

脅威防御
脅威ハンティング
サイト運用
使用量の異常
イベント異常

ストーリーをミュートにするには、正確に一致しているか、ミュートストーリー規則に挿入された述語を含んでいる必要があります。例として、ルールに3つのドメインが含まれているが、ストーリーには2つだけの場合、ストーリーはミュートされます。ルールに2つのドメインが含まれていて、ストーリーに3つが含まれている場合はミュートされません。

注意

注: MDR顧客はサイト運用エンジンのためにミュートストーリールールを作成および編集できます。他のエンジンのミュートストーリーを定義したい場合は、mdr@catonetworks.comに連絡してください。

脅威予防と脅威ハンティングストーリーのミュート

信頼できるリソースからのトラフィックを定義して、それをストーリーから除外することができます。例えば、XOpsストーリーは、スキャン試行の可能性を検出するために生成されますが、スキャン元が既知の無害なペネトレーションテストである場合があります。ペネトレーションテストトラフィックのためにミュートストーリーのルールが作成されると、それに対してさらにストーリーは生成されません。

脅威防止および脅威ハンティングストーリーのミュートストーリールールを追加する方法は2つあります：

検出＆応答ページでルールを作成します
XDR インシデント検出内にあるストーリーからルールを作成する。この方法は、ベニンだとわかっている特定のトラフィックをストーリーで見つけたときに役立ちます

UEBA 使用異常およびイベント異常ストーリーのミュート

使用量の異常およびイベント異常ストーリーのミュートストーリールールを追加する方法は2つあります：

検出＆応答ページでルールを作成します
XDR インシデント検出からストーリーのルールを作成する。この方法は、ストーリーの中で特定のトラフィックを発見したときに役立ちますが、それが良性であることが分かっている場合に限ります

以下のセクションでは、使用量の異常およびイベント異常のミュートストーリールールに利用可能な設定について説明します。

使用異常ストーリーのミュートストーリー設定を理解する

XOps使用異常エンジンは、アプリケーションの異常な使用に関する異常を特定し、異常が検出されるとストーリーを生成します。ミュートストーリーポリシーでは、アプリケーションやアプリケーションカテゴリを指定して、XOpsエンジンが除外する使用異常ストーリーのルールを設定できます。例として、特定のユーザーが仕事の要求としてOneDriveに異常な量のデータをアップロードすることが分かっている場合、ソースとして特定のユーザーを、アプリケーションとしてOneDriveを設定するルールを作成してください。

使用量の異常ストーリーにおいて一つ以上のアプリケーションが関与することがあります。このような場合、設定されたアプリケーションはストーリー内のトップアプリケーションを指します。例えば、アプリケーションをOneDriveとして設定した場合、使用異常ストーリーでのトップアプリケーションがOneDriveであれば、XOpsエンジンはストーリーを生成しません。しかし、トップアプリケーションがDropboxのような別のアプリケーションで、OneDriveが使用量の二位である場合は、ストーリーが生成されます。

イベント異常ストーリーのミュートストーリー設定を理解する

XOpsイベント異常エンジンは、ネットワーク上のエンティティが異常な数のセキュリティイベントを引き起こす異常を検出し、異常が検出されるとストーリーを生成します。ミュートストーリーポリシーでは、イベントタイプを指定して、XOpsエンジンが除外するイベント異常ストーリーのルールを設定できます。その後、特定のルールやIPS脅威によって生成されたイベントのみを除外するように指定できます。

例えば、ユーザーが既知のアクティビティを行っている際に、WANファイアウォールイベントを異常に多く生成する場合、ユーザーをソースとして設定し、イベントの異常メトリックをイベントタイプとして設定したルールを作成します。その後、WANファイアウォールルールベース内でルールを指定します。

サイト運用ストーリーのミュート

特定のネットワーク問題によって生成されたストーリーをミュートすることができます。例えば、ローカルISPが計画的な停止を持っていることを知っている場合、停止期間中にサイトダウンの指標によって生成されたストーリーをミュートすることができます。

ストーリーは生成されますが、XDR インシデント検出からフィルターされます。

ストーリーのインシデントタイムラインのミュート済み列で、ストーリーがミュートされたかどうかを確認できます。

検出＆応答ページでルールを作成してサイト運用ストーリーのミュートルールを追加できます。

前提条件

XOpsライセンスが必要です：

Detection & Response Mute Stories ルール内の項目

次の表は、検出 & 対応ミュートストーリールールの設定を定義するために使用できるアイテムについて説明しています。設定で複数のオブジェクトを設定すると、それらの間には「または」関係があります。例えば、サイトとユーザーを含むソースでルールが設定されている場合、トラフィックがサイトまたはユーザーのいずれかに一致する場合にルールが適用されます。

項目	説明
プロデューサー	そのルールが適用されるDetection & Responseエンジンまたはエンジン群。これらのエンジンとそれが検出するストーリーの種類について詳しくは、インディケーションカタログの使用を参照してください。
インディケーションID	Detection & Responseエンジンによって使用されるインディケーションの識別子。各インディケーションIDは、特定のトラフィックパラメータを識別するDetection & Responseエンジンのクエリに関連付けられています。インディケーションIDを定義すると、そのルールはそのインディケーションIDに関連する特定のエンジンクエリによって生成されたストーリーからのみトラフィックを除外します。インディケーションIDが定義されていない場合、ルール設定に一致するすべてのエンジンクエリからトラフィックは除外されます。インディケーションについて詳しくは、インディケーションカタログの使用を参照してください。
方向（脅威予防、脅威ハンティング、使用異常、イベント異常ストーリー）	そのルールが適用されるトラフィックフローの方向を定義する。方向には以下が含まれます：インバウンド - 外部ソースから発信されるネットワークへのトラフィックアウトバウンド - ネットワークから外部ソースへのトラフィック WANバウンド - ネットワーク内の別のサイトへのトラフィック上記すべて
タイムフレーム	そのルールが適用されるタイムフレームを選択するか、無制限を選択してルールが終了せずに継続して適用されるようにする。期限日が設定されている場合：脅威予防と脅威ハンティングストーリーでは、ルールはその日付の開始時に有効期限が切れ、Cato Management Applicationのユーザープロファイル設定で設定されたタイムゾーンで適用されます。サイト運用ストーリーの場合、適用される時間帯を選択できます。有効期限を設定することは、効果的なセキュリティポスチャーを維持するための推奨ベストプラクティスです。
ソース	このルールに対するトラフィックのソース。以下のソースタイプを1つまたは複数選択できます：脅威予防と脅威ハンティングストーリーサイト IP IP範囲ユーザ任意サイト運用サイトネットワークインターフェイス (LANリンク) WANリンクサイト接続タイプ任意
デバイス（脅威予防、脅威ハンティング、使用異常、イベント異常ストーリー）	OSで定義されたそのルールが適用されるデバイスのタイプ。
宛先 (脅威予防、脅威ハンティング、使用異常、イベント異常ストーリー)	このルールに対するトラフィックの宛先。以下の宛先タイプを1つまたは複数選択できます： IP URL ドメイン FQDN アプリケーションアプリケーションカテゴリ（使用異常ストーリーにのみ適用）任意これらのオブジェクトの定義については、ルールオブジェクトの参照を参照してください。
イベントの異常メトリック (イベント異常に関するストーリー)	ミュートするイベントのタイプを選択します。イベントタイプを選択した後、ルール名または脅威名を指定できます。次のイベントタイプの1つを選択できます： WANファイアウォールインターネットファイアウォール IPS アンチマルウェア次世代アンチマルウェアすべて

上記の設定に加えて、各ミュートされたストーリーのルールに関して以下の情報が表示されます：

作成者 - ルールを作成したユーザーのユーザー名。
作成日時 - ルールが作成された日付。

Detection & Response ミュートされたストーリーのルールベースの表示

Detection & Response ミュートされたストーリーのルールベースを表示するには：

ナビゲーションメニューから、ホーム > Detection & Response ポリシー をクリックします。

Detection & Response ページでのミュートされたストーリーのルールの作成

新しいミュートされたストーリーのルールを追加し、Detection & Response エンジンによって無視されるトラフィックを定義する設定を構成します。

Detection & Response ミュートされたストーリーのルールを作成するには：

ナビゲーションメニューから、ホーム > 対応ポリシーをクリックします。
ミュートされたストーリー タブを選択します。
新規をクリックします。 ミュートストーリーに追加パネルが開きます。
上記のとおりにルールの設定を行います。
保存をクリックしてください。ルールはミュートストーリーのルールベースに追加されます。

ストーリーからミュートストーリーのルールを作成する

ストーリーのドリルダウンをXDR インシデント検出で表示し、ストーリーアクションパネルを使用してミュートストーリーのルールを作成します。

以下のルール設定はストーリーのデータに基づいて自動入力されます：

方向
送信元
- ストーリーに送信元の複数の種類のデータが含まれている場合、それらはすべて送信元設定に追加されます。例として、ストーリーが送信元としてIPとサイトを識別した場合、ルールの送信元セクションにIPとサイトが自動入力されます。
宛先 - ストーリーのターゲットに基づいて自動入力
- ストーリーに複数のターゲットが識別されている場合、それらはすべて宛先設定に追加されます

ストーリーからミュートストーリーのルールを作成するには：

ナビゲーションメニューから、ホーム > XDR インシデント検出をクリックします。
ストーリーをクリックして、ストーリーのドリルダウンページを開きます。
をクリックして、ストーリーアクション パネルを開いてください。
新規ミュートされたストーリーに追加をクリックします。 新規ミュートされたストーリールールに追加パネルが開きます。
上記のようにルールの設定を行います。
保存をクリックしてください。ルールはミュートされたストーリーのルールベースに追加されます。
ナビゲーションメニューからホーム > 検出とレスポンスポリシーをクリックして、検出とレスポンスミュートストーリー規則ベースを表示します。