XOps 스토리를 위한 대응 정책 생성

이 문서는 새로 생성되거나 업데이트된 XOps 스토리에 대해 알림을 받는 시점과 이벤트가 생성되는 시점을 정의한 XOps 대응 정책에 웹훅 및 기타 알림을 사용하는 방법을 설명합니다.

XOps 스토리에 대한 더 많은 정보는 스토리 작업대에서 탐지 및 대응 XOps 스토리 검토하기를 참조하세요

개요

대응 정책은 관리자 및 분석가에게 스토리 알림을 보내는 시점과 이벤트가 생성되는 시점을 정의함으로써 XOps 스토리를 모니터링하는 데 도움을 줍니다. 알림을 보내고 이벤트를 생성하기 위한 스토리 기준을 정의하는 규칙을 생성할 수 있으며, 구독 그룹, 메일링 리스트, 제3자 통합을 사용하여 어떤 관리자가 알림을 받을지 구성할 수 있습니다.

예를 들어, 알림을 보낼 규칙을 생성할 수 있습니다:

  • 스토리 중대성이 높은 경우

  • 특정 소스(예: 사이트 또는 IP 범위) 새 스토리가 생성되는 경우

  • 스토리 타겟이 업데이트된 경우

  • 특정 공격 징후가 있는 보안 스토리에 대해

  • 사이트 또는 링크가 다운된 것과 같은 특정 문제에 대한 사이트 운영

참고

참고: 기본적으로, 뮤트된 스토리 규칙과 일치하는 사이트 운영에 대해서는 알림이 전송되지 않습니다.

XOps 스토리의 이벤트 생성 및 제3자 서비스로 내보내기

기본적으로, XOps 스토리 이벤트는 생성되지 않습니다. 이벤트는 구성된 규칙에 따라 생성됩니다. XOps 스토리에 대한 이벤트를 생성하는 규칙을 정의할 때, 이벤트 페이지에서 볼 수 있습니다. 더 많은 정보는 네트워크에서 이벤트 분석하기를 참조하세요.

기존 타사 서비스 및 워크플로우와 XOps 스토리에 대한 이벤트를 통합할 수도 있습니다.

  • Cato 이벤트의 벤더 지원 통합 목록은 카토 데이터: 타사 지원 통합을 참조하세요

  • AWS나 Azure와 같은 제3자 스토리지 계정에 이벤트를 푸시하는 것에 대한 자세한 내용은 이벤트 통합 섹션의 문서를 참조하십시오.

이벤트 페이지는 이벤트당 일정 수의 필드를 표시합니다. 전체 스토리 데이터를 액세스하려면, 추가_data 필드에서 JSON 파일로 내보내십시오. 필요한 데이터만 내보낼 수 있는 필터를 만들 수도 있습니다. XOps 이벤트 필드에 대한 더 많은 정보는 아래의 Cato 이벤트 및 API 필드 XOps 스토리 이벤트를 참조하세요.

XOps 대응 정책에 규칙 추가

대응 정책에 규칙을 추가할 때, 알림 전송 또는 이벤트 생성을 위한 조건을 정의하는 데 필요한 규칙의 각 섹션을 구성하십시오.

예를 들어, 생성되거나 업데이트된 XOps 스토리에 대해 이벤트를 생성하려면, 소스모든으로, 트리거스토리 생성됨 또는 업데이트됨으로 규칙을 구성하십시오.

참고

참고: MDR 고객은 계정에 대한 대응 정책 규칙을 정의하려면 으로 문의하십시오. 이를 조건으로 선택하여 무시할 수 있습니다.

Response_Policy.png

대응 정책 규칙 설정

대응 정책 규칙에는 다음과 같은 섹션이 있습니다:

  • 이름 - 규칙에 지정된 이름

  • 규칙에 대한 설명

  • 소스 - 스토리에 관련된 네트워크 트래픽의 소스. 예: 사이트, IP 주소, 또는 사용자

    규칙의 소스 항목에 대한 더 많은 정보는 규칙 객체 참고자료를 참조하세요.

  • 기준 - 규칙과 일치하도록 스토리가 갖추어야 할 특성. 기준을 추가할 때, 기준 유형, 값, 및 기준과 값 간의 관계를 결정하는 연산자를 선택하십시오. 예: 중대성 | 클 것 | 6.

    구성 가능한 스토리 기준에는 다음이 포함됩니다: 위험 수준, 심각도, 지표, 분석가 판단, 생산자, 추가된 대상 및 상태. 이러한 스토리 기준에 대한 더 많은 정보는 스토리 작업대에서 탐지 및 대응 XOps 스토리 검토하기를 참조하세요

    • 생산자는 스토리를 생성하는 엔진입니다. 사이트 운영에 대한 더 많은 정보는 사이트 운영 스토리 검토를 참조하세요. XOps 엔진 및 필요한 라이센스 유형에 대한 더 많은 정보는 지표 카탈로그 사용을 참조하세요

    • 다음 기준에 대해 여러 값을 구성할 수 있습니다: 지표, 분석가 판단, 심각도, 생상자. 단일 기준 항목에 여러 값을 추가하면 그들 간에는 OR 관계가 있습니다.

  • 트리거 - 규칙과 일치하는 스토리를 대응 정책 엔진이 확인 시점을 정의합니다. 설정에는 다음이 포함됩니다:

    • 스토리 생성 - 새로운 스토리가 생성될 때, 대응 정책 엔진은 규칙과의 일치를 확인합니다. 업데이트된 기존 스토리는 규칙과의 일치 여부를 확인하지 않습니다.

    • 스토리 생성됨 또는 업데이트됨 - 새로운 스토리가 생성되거나 기존 스토리가 업데이트될 때, 대응 정책 엔진은 규칙과의 일치를 확인합니다. 업데이트는 스토리의 상태, 분석가 평결, 심각도, 및 타겟 변경을 포함할 수 있습니다.

  • 대응 - 규칙과 일치할 경우의 대응을 선택하십시오. 응답에는 구독 그룹, 메일링 리스트, 또는 Webhook 통합에 의해 정의된 이벤트 생성 및 알림 포함이 가능합니다.

새로운 대응 정책 규칙 생성

새로운 대응 정책 규칙을 만들고 스토리 알림 전송 시점을 정의하기 위한 규칙 설정을 구성하십시오.

Response_Policy_New_rule_panel.png

새로운 대응 정책 규칙을 만들려면:

  1. 탐색 메뉴에서, 홈 > 탐지 및 대응 정책을 클릭하십시오.

  2. 대응 정책 탭을 선택하십시오.

  3. 새로 만들기를 클릭하십시오. 대응 정책에 추가 패널이 열립니다.

  4. 규칙의 이름을 입력하십시오.

  5. 소스 섹션에서, 유형(예: 호스트, IP 범위, 사이트)을 선택한 다음, 이 규칙의 스토리 소스를 위한 하나 이상의 객체를 선택하거나 IP 주소를 입력하십시오.

    기본 소스 값은 모든입니다.

  6. (선택사항) 기준을 정의하여 규칙과 일치하도록 스토리가 갖추어야 할 특성을 지정하십시오.

  7. 규칙의 트리거를 선택하십시오. 스토리가 생성되거나 업데이트되거나 모두 일 때 트리거할지 여부를 구성할 수 있습니다.

  8. 대응을 선택하십시오. 알림 보내기를 선택한 경우, 알림을 받을 구독 그룹, 메일링 리스트, 또는 통합을 정의하십시오.

  9. 저장을 클릭하십시오. 규칙이 정책에 추가됩니다.

웹훅 통합 만들기

웹훅 통합을 사용하여 XOps 스토리 데이터를 제3자에게 전송하려면 다음이 필요합니다:

  1. CMA에서 제3자 통합을 구성하십시오.

  2. 대응 정책에서 필요한 규칙을 생성하십시오.

1단계: 제3자 통합 구성

알림 기반 자동화 흐름을 생성하고 ServiceNow, Jira, Slack과 같은 제3자 플랫폼에 알림을 보낼 수 있도록 웹훅 통합을 정의할 수 있습니다. Cato의 웹훅은 사용자 정의 가능한 HTTP 헤더와 메시지를 통해 조직의 특정 요구 사항을 충족할 수 있도록 지원합니다. 더 많은 정보는 Webhook을 통해 CMA 알림 보내기를 참조하세요.

2단계: 필요한 규칙 생성

제3자 통합을 정의한 후, 대응 정책에 규칙을 생성하십시오.

Response.png

제3자 통합을 위한 규칙을 생성하려면:

  1. 새로운 대응 정책 규칙 만들기의 1-7단계에 따릅니다.

  2. 대응 섹션에서 알림 보내기를 선택하십시오.

  3. 알림 보낼 대상 드롭다운에서 통합을 선택하십시오.

  4. 통합 드롭다운에서 규칙에 사용할 통합을 선택하십시오.

  5. 저장을 클릭하십시오. 규칙이 정책에 추가됩니다.

Cato 이벤트 및 API 필드: XOps 스토리 이벤트

이벤트 페이지에는 계정에 대해 생성된 모든 XOps 스토리 이벤트가 표시됩니다. 이벤트 유형 탐지 및 대응을 사용하여 페이지를 필터링하여 이벤트를 표시할 수 있습니다.

아래는 스토리 이벤트에 대한 관련 필드입니다. Cato API의 eventsFeed 쿼리는 eventFieldName 유형의 이러한 필드에서 XOps 스토리에 대한 데이터를 표시합니다.

API 열거 값

이벤트 필드

코멘트

user_display_name

사용자 디스플레이 이름

analyst_verdict

분석가 판결

criticality

중요도

device_name

디바이스 이름

event_count

이벤트 수

XOps 스토리의 경우, 이벤트가 자동으로 집계되지 않으므로 이벤트 수는 일반적으로 1의 값을 가집니다.

sub-type

서브 유형

event_type

이벤트 유형

XOps 스토리 이벤트의 경우, 이벤트 유형은 탐지 및 대응입니다.

indication

표시

event_internal_id

이벤트 내부 ID

producer

생산자

스토리를 생성한 엔진입니다. 가능한 값: 위협 방지, 위협 사냥, 사용량 이상, 이벤트 이상, Microsoft 엔드포인트 경고.

rule

규칙

이벤트를 생성한 대응 정책 규칙 이름입니다.

source_ip

원본 IP

source_is_site_or_sdp_user

원본은 사이트 또는 사용자

source_site

원본 사이트

status

상태

story_id

스토리 ID

threat_name

위협 이름

threat_type

위협 유형

time

시간

vendor

제조사

가능한 값: Microsoft(Microsoft 엔드포인트 경고 스토리의 경우), Cato.

additional_data

N/A

다른 이벤트 필드에 포함되지 않은 스토리 데이터입니다. 이 필드는 내보낸 이벤트에 포함되지만, 이벤트 페이지에는 표시되지 않습니다.

참고: 이 필드는 원시 분석되지 않은 데이터로 내보내지며, 이스케이프 문자를 포함할 수 있습니다. 이 형식은 변경될 수 있습니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개