Cato XOpsサービスへようこそ

脅威防御 - Cato XOpsの脅威防御プロデューサーは、IPSやマルウェア対策などのCatoのリアルタイムセキュリティサービスによって生成されたイベントにおいて特定の攻撃行動を検出します。 脅威防御についてのストーリーは、アナリストが即時の高信頼な脅威に集中できるようにします。

脅威防御ストーリーは通常、相関されたブロックイベントに基づいています。つまり、セキュリティサービスの一つによってブロックされたトラフィックのイベントです。 しかし、トラフィックはすでにブロックされていても、継続中の脅威に関連している可能性があります。 XOpsストーリーでは、疑わしいトラフィックのコンテキストと詳細を調査して、さらなる緩和が必要な脅威がまだ存在するかどうかを判断するのに役立ちます。

脅威防止についてのストーリーの詳細については、Drilling-Down and Analyzing XOps Security Storiesを参照してください。

脅威ハンティング - 脅威ハンティングプロデューサーは、データレイクに保存されている大量の履歴トラフィックデータを継続的にスキャンして、潜在的な脅威を示すトラフィックパターンを検出します。 最近のイベントに焦点を当てる脅威防止プロデューサーとは対照的に、脅威ハンティングプロデューサーは、保存されたトラフィックデータの中で長期間にわたる相関関係を探します。 正確性を確保するために、1週間のデータに基づいて相関が特定されます。 さらに、脅威防止プロデューサーがイベントログのデータを見ているのに対し、脅威ハンティングプロデューサーはトラフィックフローからのより広範なデータセットを分析します。 これにより、一般的な方法では検出が難しい低く検出しにくい署名を生成するため、より回避が困難な脅威を脅威ハンティングプロデューサーが検出できます。

以下は、サイバースクワッティングフィッシング脅威に関連する40の異なるトラフィックフロー（シグナル）を識別した脅威ハンティングストーリーの概要ページです：

脅威ハンティングストーリーの詳細については、XDRセキュリティストーリーの詳細と分析を参照してください。

使用量の異常 - Catoのユーザとエンティティの行動分析 (UEBA) 機能の一部として、このプロデューサーは、機械学習アルゴリズムによって計算されたベースラインとユーザーおよびサイトのネットワークアクティビティを比較し、基準の使用レベルからの疑わしいずれに対してストーリーを生成します。 例として、特定のユーザーが通常より多くの上り帯域幅を使用していると検出された場合。

使用量の異常に関するストーリーの詳細については、使用とイベントの異常に関するXDR UEBAストーリーの分析を参照してください。

イベント異常 - CatoのUEBA機能のもう1つの要素で、このプロデューサーはネットワーク上のエンティティが通常以上の数のセキュリティイベントを引き起こす兆候を検出します。 例として、特定の方向へのトラフィックに対して異常に多くのIPSブロックイベントに関連付けられているユーザーがいる場合、これはユーザーデバイスの潜在的感染を示す可能性があります。

イベント異常のストーリーについてさらに詳しくは、使用量の異常およびイベント異常に関するXDR UEBAストーリーの分析を参照してください。

Microsoft エンドポイント アラート - Microsoft Defender for Endpointを使用する顧客は、DefenderアラートデータをCatoXOpsと統合して、エンドポイントデバイス用のストーリーを生成できます。 Microsoftエンドポイントアラートのプロデューサーは、Defender アラートを同一デバイス上で24時間以内に関連付けてストーリーを作成します。 エンドポイントアラートのストーリーには、Defenderによって検出されたアラートのすべての関連証拠が含まれます。 エンドポイントに焦点を拡大することで、これらのストーリーはネットワーク内の潜在的な脅威のより包括的な見解を得るのに役立ちます。

Microsoft Defender for EndpointをCato XOps に統合する方法についてさらに詳しくは、Microsoft Defender for Endpoint Alerts: Configuring the XOps Integration を参照してください。

Microsoft Entra IDアラート - Microsoft Entra ID保護からのアラートデータを統合し、Cato XOps ストーリーを生成することができます。 これにより、アナリストは< span class="phrase">XOps調査の広範な文脈にリスクのあるサインインからのデータを含めることができます。 Cato Entra Identityアラートエンジンは、24時間以内に同じユーザーで発生したEntra ID Protectionアラートデータを相関させることでストーリーを生成します。

Microsoft Entra ID AlertsをCato XOps に統合する方法についてさらに詳しくは、Microsoft Entra ID: Configuring the XOps Integration を参照してください。

Catoエンドポイントアラート - Cato EPPソリューションはCatoXOpsと統合してエンドポイントデバイス用のストーリーを生成します。 Catoエンドポイントアラートのプロデューサーは、同一デバイス上で24時間以内に発生したすべてのCato EPPアラートを関連付けてストーリーを作成します。 Catoエンドポイントアラートのストーリーには、Cato EPPによって検出されるすべての関連証拠が含まれます。

Catoエンドポイントアラートストーリーについてさらに詳しくは、Cato Endpoint Protection (EPP): Configuring the XOps Integrationを参照してください。

SentinelOne Alerts - SentinelOneを使用する顧客は、SentinelOne EDRからのデータを統合してエンドポイントデバイス用のストーリーを生成できます。 SentinelOneプロデューサーは、Agent UUID（デバイスID）と脅威ファイルのハッシュ値に基づいて90日以内に発生したSentinelOne EDRインシデントのデータを相関させることでストーリーを生成します。 これらのストーリーには、SentinelOneによって検出されたインシデントのすべての関連証拠が含まれています。

SentinelOne Alertsを統合する方法についてさらに詳しくは、SentinelOne EDR: Configuring the XOps Integrationを参照してください。

CrowdStrike Alerts - CrowdStrikeを使用する顧客は、インシデントIDに基づいたCrowdStrike検出からのデータを統合できます。 これらのストーリーには、CrowdStrikeによって特定された検出のすべての関連証拠が含まれています。

CrowdStrike Alertsを統合する方法についてさらに詳しくは、CrowdStrike: Configuring the XOps Integration を参照してください。

AIOps - カトXOpsは、ネットワーク運用とセキュリティオペレーションを単一のプラットフォームに統合するサイトオペレーション（以前はネットワークXDRとして知られていた）という特有のAIOpsプロデューサーを備えています。 このプロデューサーは、接続性とパフォーマンスに関連するさまざまな指標とメトリックを検出し、ネットワークの問題に関するデータを関連付けてストーリーを生成します。 例えば、WANリンクが断続的に高いパケットロスを経験している場合、そのリンクに関するすべての関連データを含む一つのストーリーを作成します。

Cato XOps におけるネットワークのストーリーについてさらに詳しくは、サイト運用ストーリーの確認を参照してください。

XDR インシデント検出

XDR対応ポリシー

ミュートされたストーリーポリシー

XDRのストーリーダッシュボード