XOps 스토리에 대한 응답 정책 생성

이 문서에서는 웹훅 및 기타 알림을 사용하여 새 및 업데이트된 XOps 스토리에 대한 알림 시점과 이벤트 생성 시점을 정의하는 XOps 응답 정책을 사용하는 방법을 설명합니다.

XOps 스토리에 대한 더 많은 정보는 스토리 작업대에서 탐지 및 대응 XOps 스토리 검토를 참조하세요.

참고

참고: XOps는 보안 및 운영을 위한 Cato의 통합 분석 레이어로 인사이트와 안내된 해결책을 제공합니다. XOps가 XDR을 대체했습니다. 자세한 내용은 XOps FAQ를 참조하세요.

개요

응답 정책은 스토리에 대한 알림이 관리 및 분석가에게 전송되는 시점과 스토리에 대한 이벤트가 생성되는 시점을 정의함으로써 XOps 스토리를 모니터링하는 데 도움이 됩니다. 스토리 기준을 정의하여 알림을 보내고 이벤트를 생성하는 규칙을 만들 수 있으며, 어떤 관리자가 알림을 받을지 구성하기 위해 구독 그룹, 메일링 리스트, 타사 통합을 사용할 수 있습니다.

예를 들어, 알림을 전송하는 규칙을 생성할 수 있습니다:

  • 스토리 중요도가 높을 경우

  • 특정 소스(예: 사이트 또는 IP 범위)에 대해 새로운 스토리가 생성될 때

  • 스토리 대상이 업데이트될 때

  • 특정 공격 표시가 있는 보안 스토리의 경우

  • 사이트 또는 링크 다운과 같은 특정 문제에 대한 사이트 운영

참고

참고: 기본적으로 무음 스토리 규칙에 맞는 사이트 운영에 대한 알림은 전송되지 않습니다. 스토리 무음처리 규칙을 참조하세요.

XOps 스토리 이벤트 생성 및 제3자 서비스로 내보내기

기본적으로, XOps 스토리 이벤트는 생성되지 않습니다. 이벤트는 설정된 규칙에 따라 생성됩니다. XOps 스토리에 대한 이벤트를 생성하는 규칙을 정의하면 이벤트 페이지에서 그들을 볼 수 있습니다. 자세한 내용은 네트워크에서 이벤트 분석을 참조하세요.

기존 타사 서비스 및 워크플로와 XOps 스토리에 대한 이벤트를 통합할 수도 있습니다.

  • Cato 이벤트에 대해 공급업체가 지원하는 통합 목록은 Cato 데이터: 타사 지원 통합을 참조하세요.

  • AWS 또는 Azure와 같은 타사 저장소 계정으로 이벤트를 푸시하는 것에 대한 자세한 정보는 이벤트 통합 섹션의 기사를 참조하십시오

이벤트 페이지는 이벤트당 정해진 수의 필드를 표시합니다. 전체 스토리 데이터를 액세스하려면 추가_data 필드에서 사용할 수 있는 JSON 파일로 내보내십시오. 필요한 데이터를 내보내기 위해 필터를 생성할 수도 있습니다. XOps 이벤트 필드에 대한 자세한 내용은 아래 내용을 참조하세요. Cato 이벤트 및 API의 XOps 스토리 이벤트 필드.

XOps 응답 정책에 규칙 추가

대응 정책에 규칙을 추가할 때, 각 섹션을 구성하여 알림 전송 또는 이벤트 생성 조건을 정의합니다.

예를 들어, 생성되거나 업데이트된 모든 XOps 스토리에 대해 이벤트를 생성하려면, 소스를 '모든'으로 구성하고 트리거를 '스토리 생성 또는 업데이트됨'으로 구성하세요.

Note

참고: MDR 고객의 경우 에 연락하여 계정에 대한 대응 정책 규칙을 정의하세요.

Response_Policy.png

대응 정책 규칙 설정

대응 정책 규칙은 다음과 같은 섹션으로 구성됩니다:

  • 이름 - 규칙에 할당한 이름

  • 설명 - 규칙에 대한 설명

  • 소스 - 스토리에 포함된 네트워크 트래픽의 출처입니다. 예시: 사이트, IP 주소, 또는 사용자

    규칙의 원본 항목에 대한 자세한 내용을 보려면 규칙 개체에 대한 참조를 참조하세요.

  • 기준 - 규칙에 맞는 스토리의 특성입니다. 기준을 추가할 때, 기준 유형, 값, 및 기준과 값 사이의 관계를 결정하는 연산자를 선택하세요. 예시: 위험 수준 | 보다 큼 | 6

    구성 가능한 스토리 기준에는 다음이 포함됩니다: 위험 수준, 심각도, 지표, 분석가 판단, 생산자, 추가된 대상, 상태. 이러한 스토리 기준에 대한 자세한 내용은 스토리 작업대에서 탐지 및 대응 XOps 스토리 검토를 참조하세요.

    • 생성자는 스토리를 생성하는 엔진입니다. 사이트 운영에 대한 더 많은 내용을 보려면 사이트 운영 스토리 검토를 참조하세요. XOps 엔진 및 해당 라이선스 유형에 대한 자세한 내용을 보려면 지시사항 카탈로그 사용을 참조하세요.

    • 다음 기준에 대해 여러 값을 구성할 수 있습니다: 지표, 분석가 판단, 심각도, 생산자. 단일 기준 항목에 여러 값을 추가할 때, 이들 사이에는 OR 관계가 존재합니다.

  • 트리거 - 대응 정책 엔진이 스토리가 규칙과 일치하는지를 확인하는 시점을 정의합니다. 설정에는 다음이 포함됩니다:

    • 스토리 생성됨 - 새로운 스토리가 생성될 때 대응 정책 엔진이 규칙과의 일치 여부를 확인합니다. 기존 스토리가 업데이트되어도 규칙과의 일치 여부를 확인하지 않습니다.

    • 스토리가 생성되거나 업데이트됨 - 새로운 스토리가 생성되거나 기존 스토리가 업데이트될 때 대응 정책 엔진이 규칙과의 일치 여부를 확인합니다. 업데이트에는 스토리의 상태, 분석가 판단, 심각도 및 대상의 변경이 포함될 수 있습니다.

  • 대응 - 규칙이 일치할 때 대응할 방식을 선택합니다. 응답에는 구독 그룹, 메일링 리스트, 또는 웹훅 통합 생성에 의해 정의된 이벤트 생성을 포함할 수 있습니다.

새로운 대응 정책 규칙 만들기

새로운 대응 정책 규칙을 생성하고, 스토리 알림이 전송될 시점을 정의하기 위해 규칙의 설정을 구성합니다.

Response_Policy_New_rule_panel.png

새로운 대응 정책 규칙을 만들려면:

  1. 네비게이션 메뉴에서 홈페이지 > 탐지 및 대응 정책을 클릭합니다.

  2. 대응 정책 탭을 선택합니다.

  3. 새로 만들기를 클릭합니다. 대응 정책에 추가 패널이 열립니다.

  4. 규칙의 이름을 입력합니다.

  5. 소스 섹션에서 유형을 선택하고 (예: 호스트, IP 범위, 사이트), 이 규칙의 스토리 소스를 위한 하나 이상의 객체를 선택하거나 IP 주소를 입력합니다.

    기본 소스 값은 모든입니다.

  6. (선택 사항) 규칙과 일치해야 하는 스토리의 특성을 지정하는 기준을 정의합니다.

  7. 규칙에 대한 트리거를 선택합니다.

  8. 대응을 선택합니다. 알림 보내기를 선택한 경우, 알림을 받을 구독 그룹, 메일링 리스트 또는 통합을 정의하세요.

  9. 저장을 클릭합니다. 규칙이 정책에 추가됩니다.

Webhook 통합 생성

Webhooks 통합을 사용하여 XOps 스토리에서 타사로 데이터를 전송하려면 필요합니다:

  1. CMA에서 타사 통합을 구성합니다

  2. 응답 정책에서 필요한 규칙을 만듭니다

1단계: 타사 통합을 구성합니다

ServiceNow, Jira 및 Slack과 같은 타사 플랫폼에 알림을 보내고 알림 기반 자동화 흐름을 만들기 위해 웹훅 통합을 정의할 수 있습니다. Cato의 웹훅은 조직의 특정 요구를 충족하기 위해 알림의 사용자 지정 가능한 HTTP 헤더 및 메시지를 지원합니다. 자세한 내용은 웹훅 경보 통합 생성을 참조하세요.

2단계: 필요한 규칙을 만듭니다

타사 통합을 정의한 후 응답 정책에서 규칙을 만드세요.

Response.png

타사 통합을 위한 규칙을 만들려면:

  1. 새로운 응답 정책 규칙 생성의 1-7단계를 따르십시오.

  2. 대응 섹션에서 알림 보내기를 선택합니다.

  3. 알림 보내기 대상 드롭다운에서 통합을 선택합니다.

  4. 통합 드롭다운에서 규칙에 사용할 통합을 선택합니다.

  5. 저장을 클릭합니다. 규칙이 정책에 추가됩니다.

XOps 스토리 이벤트에 대한 Cato 이벤트 및 API 필드

이벤트 페이지는 계정에 생성된 모든 XOps 스토리 이벤트를 보여줍니다. 페이지를 필터링하여 이벤트 유형 탐지 및 대응을 사용하여 이벤트를 표시할 수 있습니다.

아래는 스토리 이벤트에 대한 관련 필드입니다. Cato API의 eventsFeed 쿼리는 이벤트 필드 이름 유형에 대한 이 필드에서 XOps 스토리에 대한 데이터를 표시합니다.

API 열거형 값

이벤트 필드

댓글

user_display_name

사용자 표시 이름

  

analyst_verdict

분석가 판단

  

criticality

위험 수준

  

device_name

장치 이름

  

event_count

이벤트 수

XOps 스토리의 경우, 이벤트는 자동으로 집계되지 않으므로 이벤트 카운트는 일반적으로 1의 값을 갖습니다.

sub-type

하위 유형

  

event_type

이벤트 유형

XOps 스토리 이벤트의 경우, 이벤트 유형은 탐지 및 응답입니다.

지표

지표

  

event_internal_id

이벤트 내부 ID

  

생산자

생산자

스토리를 생성한 엔진입니다. 가능한 값: 위협 방지, 위협 탐지, 사용량 이상 현상, 이상 이벤트, Microsoft 엔드포인트 경고.

규칙

규칙

이벤트를 생성한 대응 정책 규칙의 이름입니다.

source_ip

소스 IP

  

source_is_site_or_sdp_user

소스는 사이트 또는 사용자입니다.

  

source_site

출발지 사이트

  

상태

상태

  

story_id

스토리 ID

  

threat_name

위협 이름

  

threat_type

위협 유형

  

time

시간

  

vendor

공급업체

가능한 값: Microsoft (Microsoft 엔드포인트 경고 스토리에 대해), Cato.

additional_data

해당 없음

다른 이벤트 필드에 포함되지 않은 스토리 데이터. 이 필드는 내보내진 이벤트에 포함되지만, 이벤트 페이지에는 표시되지 않습니다.

참고: 이 필드는 원시 분석되지 않은 데이터로 내보내지며, 이스케이프 문자가 포함될 수 있습니다. 이 형식은 변경될 수 있습니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개