この記事では、いつ新しいまたは更新されたXOpsストーリーの通知を受けるか、イベントが生成されるかを定義するレスポンス ポリシーを使用してWebhookやその他の通知を活用する方法を説明します。
さらに詳しくXOpsストーリーについての情報は、ストーリーワークベンチでの検出&対応XOpsストーリーのレビューを参照してください。
レスポンス ポリシーは、管理者およびアナリストへの通知を送信するタイミング、およびストーリーのためにイベントが生成されるタイミングを定義することによって、XOpsストーリーを監視するのに役立ちます。 通知を送信したりイベントを生成するためのストーリーの基準を定義するルールを作成でき、どの管理者が通知を受け取るかを設定するために、サブスクリプショングループ、メーリングリスト、およびサードパーティインテグレーションを利用できます。
たとえば、次のようなルールを作成できます。
-
ストーリーの重要度が高い場合
-
特定のソース (たとえばサイトやIP範囲) に対して新しいストーリーが作成された場合
-
ストーリー対象が更新された場合
-
特定の攻撃の兆候があるセキュリティストーリーの場合
-
特定の問題に対するサイト運用、たとえばサイトやリンクがダウンしている場合
注意
注: デフォルトでは、ミュートされたストーリールールに一致するサイトオペレーションの各種通知は送信されません。ミュートされたストーリー
デフォルトでは、XOpsストーリーのイベントは生成されません。 イベントは設定されたルールに従ってのみ生成されます。 ルールを定義すると、XOpsストーリーのイベントが発生します。それらはイベントページに表示できます。詳細については、ネットワーク内でのイベントの解析を参照してください。
また、既存のサードパーティサービスやワークフローとXOpsストーリーのイベントを統合することもできます。
-
Catoイベントのためのベンダーサポート付き統合のリストについては、Catoデータの第三者サポートされた統合を参照してください。
-
サードパーティのストレージアカウント (例えばAWSやAzure) にイベントをプッシュする方法について詳しくは、イベント統合セクション内の記事を参照してください。
イベントページは、イベントごとに特定のフィールド数を表示します。 ストーリーデータを完全にアクセスするには、JSONファイルとして書き出して、additional_dataフィールド内で利用可能です。 必要なデータだけをエクスポートするフィルターも作成できます。 XOpsイベントフィールドの詳細は、以下のXOpsストーリーイベントのCatoイベントとAPIフィールドを参照してください。
レスポンス ポリシーにルールを追加する際、通知送信またはイベント生成の条件を定義するために必要な各セクションを構成します。
たとえば、すべてのXOpsストーリーが作成または更新されるたびにイベントを生成したい場合、ソースを任意、トリガをストーリーが作成または更新されたときでルールを構成します。
注意
注意: MDRのお客様につきましては、<mdr@catonetworks.com>までご連絡ください。アカウントのレスポンス ポリシールールの定義を承ります。 これは条件として選択することで上書きできます。
レスポンス ポリシールールは次のセクションを含みます。
-
名前 - ルールに割り当てる名前
-
ルールの説明
-
ソース - ストーリーに関与するネットワーク上のトラフィックのソース。 たとえば: サイト、IPアドレス、またはユーザー
ルールのソース項目の詳細については、ルールオブジェクトの参照をご覧ください。
-
基準 - ルールに一致させるためにストーリーが持つべき特性。 基準を追加すると、基準のタイプ、値、そして基準と値の関係を決定する演算子を選択します。 たとえば: 重要度 | より大きい | 6。
設定可能なストーリーの基準には、重大度、セベリティ、表示、アナリストの判断、プロデューサー、追加されたターゲット、ステータスが含まれます。 これらのストーリー基準について詳しくは、ストーリーワークベンチでの検出&対応(XDR)ストーリーのレビューをご覧ください。
-
プロデューサーはストーリーを生成するエンジンです。 さらに詳しくサイトオペレーションについての情報は、サイトオペレーションストーリーのレビューを参照してください。 XOpsエンジンとそれに必要なライセンスタイプの詳細については、インディケーションカタログの使用をご覧ください。
-
表示、アナリストの判断、セベリティ、プロデューサーの基準について、複数の値を設定できます。 単一の基準エントリに複数の値を追加すると、それらの間には「または」関係があります。
-
-
トリガ - レスポンス ポリシー エンジンがストーリーをチェックしてルールに一致させる場合。 設定には以下が含まれます。
-
ストーリー作成 - 新しいストーリーが作成されるときにレスポンス ポリシーエンジンがルールへの一致をチェックします。 既存のストーリーが更新されても、ルールへの一致はチェックされません。
-
ストーリー作成または更新 - 新しいストーリーが作成されたとき、または既存のストーリーが更新されたときにレスポンス ポリシーエンジンがルールへの一致をチェックします。 更新にはストーリーのステータス、アナリスト判定、重大度、および対象の変更が含まれることがあります。
-
-
対応 - ルールが一致したときの対応を選択します。 反応には、サブスクリプショングループ、メーリングリスト、またはWebhooks統合によって定義されたイベントおよび各種通知の生成が含まれることがあります。サブスクリプショングループ、メーリングリストWebhooks統合
新しいレスポンス ポリシールールを作成し、ストーリー通知が送信される際のルール設定を構成します。
新しいレスポンス ポリシールールを作成するには:
-
ナビゲーションメニューから、ホーム > 検出 & 対応ポリシーをクリックします。
-
レスポンス ポリシー タブを選択します。
-
新規をクリックします。 レスポンス ポリシーに追加パネルが開きます。
-
ルールのための名前を入力します。
-
ソース セクションで、タイプ (たとえば: ホスト、IP範囲、サイト) を選択し、このルールのストーリーソースのために1つ以上のオブジェクトを選択します (またはIPアドレスを入力できます)。
デフォルトのソース値は任意です。
-
(オプション) ルールと一致するためにストーリーが持つべき特性を指定する基準を定義します。
-
ルールのトリガを選択します。 ストーリーが作成、更新、または両方の場合にトリガーされるかどうかを設定できます。
-
対応を選択します。 通知を送信を選択した場合は、通知を受け取るサブスクリプショングループ、メーリングリスト、またはインテグレーションを定義します。
-
保存をクリックします。 ルールがポリシーに追加されます。
Webhookインテグレーションを使用して、XOpsストーリーからサードパーティにデータを送信するには、次の手順を実行してください:
-
CMAでサードパーティインテグレーションを設定します
-
レスポンス ポリシーで必要なルールを作成します
Webhookインテグレーションを定義して、サードパーティプラットフォーム (ServiceNow, Jira, Slackなど) にアラートを送信し、アラートに基づく自動化フローを作成できます。 CatoのWebhooksは、組織の特定のニーズに応じて、アラート内のHTTP ヘッダとメッセージをカスタマイズすることをサポートします。 詳細情報は、Webhooksを使用したCMA通知の送信をご覧ください。
サードパーティインテグレーションを定義した後、レスポンス ポリシーにルールを作成します。
サードパーティインテグレーションのためのルールを作成するには:
-
対応ポリシールールを新規作成する段階でのステップ1-7を追従してください。
-
対応セクションで、通知を送信を選択します。
-
通知の送信先ドロップダウンで、インテグレーションを選択します。
-
インテグレーションドロップダウンで、ルールで使用するインテグレーションを選択します。
-
保存をクリックします。 ルールがポリシーに追加されます。
イベントページには、あなたのアカウントに対して生成されたすべての XOps ストーリーイベントが表示されます。 イベントタイプ イベントタイプ「Detection and Response」にフィルタリングできます。
以下は、ストーリーイベントの関連するフィールドです。 Cato API の eventsFeed クエリは、eventFieldName タイプのフィールドに XOps ストーリーのデータを表示します。
|
API 列挙値 |
イベント項目 |
コメント |
|---|---|---|
|
user_display_name |
ユーザー表示名 |
|
|
analyst_verdict |
アナリストの判定 |
|
|
criticality |
重要度 |
|
|
device_name |
デバイス名 |
|
|
event_count |
イベント数 |
XOps ストーリーでは、イベントは自動的に集約されないため、イベント数は通常 1 になります。 |
|
sub-type |
サブタイプ |
|
|
event_type |
イベントタイプ |
XOps ストーリーイベントのイベントタイプは「Detection and Response」です。 |
|
indication |
兆候 |
|
|
event_internal_id |
イベント内部 ID |
|
|
producer |
プロデューサー |
ストーリーを生成したエンジン。 可能な値: 脅威防御、脅威ハンティング、利用異常、イベント異常、マイクロソフトエンドポイント警告。 |
|
rule |
ルール |
イベントを生成したレスポンスポリシールールの名前。 |
|
source_ip |
送信元 IP |
|
|
source_is_site_or_sdp_user |
ソースはサイトまたはユーザー |
|
|
source_site |
ソースサイト |
|
|
status |
ステータス |
|
|
story_id |
ストーリー ID |
|
|
threat_name |
脅威名 |
|
|
threat_type |
脅威タイプ |
|
|
time |
時間 |
|
|
vendor |
ベンダー |
可能な値: マイクロソフト(マイクロソフトエンドポイント警告ストーリー用)、カト。 |
|
additional_data |
N/A |
他のイベントフィールドに含まれていないストーリーデータ。 このフィールドはエクスポートされたイベントには含まれますが、イベントページには表示されません。 注意: このフィールドは生の未解析データとしてエクスポートされるため、エスケープ文字を含むことがあります。 この形式は変更される可能性があります。 |
0件のコメント
サインインしてコメントを残してください。