XOpsストーリーの対応ポリシーの作成

この記事では、ウェブフックやその他の通知を使用して、XOps対応ポリシーで新規および更新されたXOpsストーリーの通知を受け取るタイミングとイベントが生成されるタイミングを定義する方法を説明します。

さらなる情報については、XOpsストーリーを参照してください、ストーリー作業台で検知&対応XOpsストーリーを確認する

注意

注意: XOpsはセキュリティと運用のためのカトの統合分析レイヤーで、洞察と指示付きの修正を提供します。 XOpsはXDRに取って代わりました。詳細はXOps FAQをご覧ください。

概要

対応ポリシーは、XOpsストーリーの監視を支援し、ストーリーの通知が管理者およびアナリストに送信されるタイミングや、ストーリーのイベントが生成されるタイミングを定義します。 通知の送信およびイベントの生成を目的としたストーリー基準を定義するルールを作成できます。また、サブスクリプショングループ、メーリングリスト、サードパーティの統合を使用して、どの管理者が通知を受信するかを設定できます。

例えば、通知を送信するルールを作成できます:

  • ストーリーの重大度が高い場合

  • 特定の送信元(サイトまたはIP 範囲など)の新しいストーリーが作成された場合

  • ストーリーターゲットが更新されたとき

  • 特定の攻撃の兆候を示すセキュリティストーリーの場合

  • 特定の問題に関するサイト運用、例えばサイトやリンクがダウンしている場合

注意

注意: デフォルトでは、サイト操作に一致するストーリーをミュートするルールについての通知は送信されません。

XOpsストーリーのイベントを生成し、サードパーティサービスにエクスポートする

デフォルトでは、XOpsストーリーイベントは生成されません。 イベントは設定されたルールに従ってのみ生成されます。 XOpsストーリーのイベントを生成するルールを定義すると、そのイベントはイベントページで表示できます。詳細についてはネットワーク内のイベントの分析を参照してください。

また、XOpsストーリーのイベントを既存のサードパーティサービスやワークフローと統合することもできます。

イベントページには、各イベントごとに一定数のフィールドが表示されます。 ストーリーデータ全体にアクセスするには、それを追加データフィールドに利用可能なJSONファイルとしてエクスポートします。 必要なデータのみをエクスポートするフィルタを作成することもできます。 XOpsイベントフィールドについては、以下を参照してください、XOpsストーリーイベントのCatoイベントとAPIフィールド

XOps対応ポリシーにルールを追加する

対応ポリシーにルールを追加するときは、通知を送信またはイベントを生成する条件を定義するために必要な各セクションを設定します。

例えば、作成または更新されたすべてのXOpsストーリーのイベントを生成したい場合、ソース任意としてルールを設定し、トリガーストーリーの作成または更新として設定します。

注意

注意: MDRのお客様は、アカウント向けの対応ポリシールールを定義するために、にご連絡ください。

Response_Policy.png

対応ポリシーのルール設定

対応ポリシーのルールには、次のセクションがあります:

  • 名前 - ルールに割り当てる名前

  • ルールの説明

  • ソース - ストーリーに関わるネットワーク上のトラフィックの発信元。 例: サイト、IPアドレス、またはユーザー

    ルールのソース項目については、ルールオブジェクトのリファレンスを参照してください。

  • 基準 - ルールを一致させるためのストーリーの特徴。 基準を追加するときは、基準の種類、値、および基準と値の関係を決定するオペレータを選択します。 例えば:重要度 | より大きい | 6

    設定可能なストーリー基準には、以下が含まれます:重大度、セベリティ、表示、アナリストの判断、プロデューサー、追加されたターゲット、ステータス。 これらのストーリー基準については、ストーリー作業台で検知&対応XOpsストーリーを確認するを参照してください

    • Producerはストーリーを生成するエンジンです。 サイト操作についての詳細は、サイト操作ストーリーをレビューするを参照してください。 XOpsエンジンとその必要なライセンスタイプについての詳細は、インディケーションカタログの使用を参照してください

    • 次の基準に対して複数の値を設定できます:インディケーション、アナリストの判断、セベリティ、プロデューサー。 単一の基準入力に複数の値を追加すると、それらの間にまたは関係が存在します。

  • トリガー - 対応ポリシーエンジンがストーリーがルールに一致するかどうかを確認するタイミングを定義します。 設定には以下が含まれます:

    • ストーリー作成 - 新しいストーリーが作成されたときに、対応ポリシーエンジンがルールの一致を確認します。 更新された既存のストーリーは、ルールの一致が確認されません。

    • ストーリーが作成または更新された場合 - 新しいストーリーが作成されたときや既存のストーリーが更新されたときに、対応ポリシーエンジンがルールの一致を確認します。 更新には、ステータス、アナリストの判断、セベリティ、およびストーリーのターゲットの変更が含まれる可能性があります。

  • 対応 - ルールが一致したときの対応を選択します。 サブスクリプショングループメーリングリスト、またはWebhooksアラート統合の作成によって定義されたイベントと通知の生成を含む回答が可能です。

新しい対応ポリシーのルールを作成する

新しい対応ポリシーのルールを作成し、いつストーリー通知が送信されるかを定義するためにルールの設定を構成します。

Response_Policy_New_rule_panel.png

新しい対応ポリシーのルールを作成するには:

  1. ナビゲーションメニューから、ホーム > Detection & Response Policyをクリックします。

  2. 対応ポリシータブを選択します。

  3. 新規をクリックします。 対応ポリシーに追加パネルが開きます。

  4. ルールの名前を入力します。

  5. ソースセクションで種類(例:ホストIP範囲サイト)を選択し、このルールのストーリーソースのために1つ以上のオブジェクトを選択するか、IPアドレスを入力します。

    デフォルトのソース値は全てです。

  6. (オプション) ルールに一致するためにストーリーが持つべき特徴を指定する基準を定義します。

  7. ルールのトリガーを選択します。

  8. 対応を選択します。 通知を送信を選択した場合、通知を受信する<サブスクリプショングループ、メーリングリスト、または統合を定義してください。

  9. 保存をクリックしてください。 ルールがポリシーに追加されます。

WebHookの統合を作成

Webhook統合を使用してXOpsストーリーからサードパーティにデータを送信するには、次の手順を実行する必要があります。

  1. CMAでサードパーティ統合を設定

  2. 対応ポリシーで必要なルールを作成

ステップ1: サードパーティ統合の設定

サービスNow、Jira (JIRA)、Slackなどのサードパーティプラットフォームにアラートを送信し、アラートに基づく自動化フローを作成できるWebHook統合を定義できます。 CatoのWebHookは、組織の特定のニーズに応じて、カスタマイズ可能なHTTPヘッダーとメッセージをアラートにサポートします。 さらなる情報については、Webhooksアラート統合の作成を参照してください。

ステップ2: 必要なルールの作成

サードパーティ統合を定義した後、対応ポリシーにルールを作成します。

Response.png

サードパーティ統合のルールを作成するには:

  1. 新しい応答ポリシールールを作成するのステップ1-7を順に追います。

  2. 対応セクションで、通知を送信を選択します。

  3. 通知を送信先ドロップダウンで、統合を選択します。

  4. 統合ドロップダウンで、ルールで使用する統合を選択します。

  5. 保存をクリックしてください。 そのルールはポリシーに追加されます。

XOpsストーリーイベントのためのCatoイベントとAPIフィールド

イベントページには、アカウントのために生成されたすべてのXOpsストーリーイベントが表示されます。 イベントタイプDetection and Responseを使用してイベントを表示するためにページをフィルタリングできます。

以下はストーリーイベントに関連するフィールドです。 Cato APIのeventsFeedクエリは、イベントフィールド名のタイプに対してXOpsストーリー用のデータを表示します。

API列挙値

イベントフィールド

コメント

ユーザー表示名

ユーザーディスプレイ名

  

アナリストの判定

アナリストの判断

  

重大度

重大度

  

デバイス名

デバイス名

  

イベント数

イベント数

XOpsストーリーでは、イベントは自動的には集約されず、したがってイベントカウントの値は通常1になります。

サブタイプ

サブタイプ

  

イベントタイプ

イベントタイプ

XOpsストーリーイベントのイベントタイプはDetection and Responseです。

表示

インディケーション

  

イベント内部ID

イベント内部ID

  

プロデューサー

製造元

このストーリーを生成したエンジンです。 可能な値: 脅威防止、脅威ハンティング、使用量の異常、イベント異常、Microsoftエンドポイントアラート。

ルール

ルール

イベントを生成した対応ポリシーのルール名。

ソースIP

ソースIP

  

ソースがサイトまたはSDPユーザーか

送信元はサイトまたはユーザー

  

ソースサイト

送信元サイト

  

ステータス

ステータス

  

ストーリーID

ストーリーID

  

脅威名

脅威名

  

脅威タイプ

脅威の種類

  

時間

時間

  

ベンダー

ベンダー

可能な値: Microsoft(Microsoftエンドポイントアラートストーリー用)、Cato。

追加データ

該当なし

イベントフィールドに含まれないストーリーデータ。 このフィールドはエクスポートされたイベントに含まれていますが、イベントページには表示されません。

注意: このフィールドは生の解析されていないデータとしてエクスポートされ、エスケープ文字が含まれる場合があります。 このフォーマットは変更される可能性があります。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント