이 문서는 카토 EPP 경고에 대한 XOps 스토리를 검토하기 위해 스토리 워크벤치를 사용할 수 있는 방법에 대해 설명합니다.
캐토 EPP 솔루션은 캐토 XOps와 통합하여 엔드포인트 장치에 대한 스토리를 생성합니다. 엔드포인트 스토리는 네트워크의 잠재적 위협에 대한 보다 완전한 그림을 제공하며, 네트워크 및 엔드포인트 모두에 확장된 통합 XOps 플랫폼에서 조사를 수행할 수 있게 합니다.
카토 엔드포인트 경고 엔진은 24시간 이내에 동일한 장치에서 발생한 모든 카토 EPP 경고 데이터를 상관 분석하여 스토리를 생성합니다. 카토 엔드포인트 경고 스토리에는 카토 EPP에 의해 감지된 모든 관련 증거가 포함됩니다. 스토리 워크벤치에는 카토 EPP 스토리와 다른 스토리 유형이 함께 표시되며, 카토 엔드포인트 경고 스토리에 집중할 수 있도록 스토리를 정렬하고 필터링할 수 있습니다.
Microsoft 캐토 EPP의 데이터를 포함한 XOps 스토리 검토에 대한 추가 정보는 XOps 보안 스토리 깊이 분석 및 분석를 참조하십시오.
-
Cato EPP 에이전트가 인터넷에 연결되지 않은 상태로 8시간 이상 지속될 경우, 해당 기간 동안 일부 EPP 이벤트에 대한 XOps 스토리가 생성되지 않을 수 있습니다. 그러나 EPP 에이전트는 계속해서 위협을 탐지하고 차단하며, 이벤트는 이벤트 페이지에서 확인할 수 있습니다.
-
Cato EPP XOps 스토어는 이벤트 페이지에서 최대 4시간까지 표시될 수 있습니다.
-
엔드포인트 커넥터를 추가하려면 자원 섹션의 통합에 대한 편집자 권한이 있어야 합니다. 자세한 내용은 관리자 역할 관리(RBAC 사용 중)를 참조하십시오.
커넥터 설정 페이지의 상태 열에는 CrowdStrike 앱과 카토 계정 간의 연결 상태가 표시됩니다. 이것들은 상태의 설명입니다:
-
연결됨 - 계정이 앱에 연결되어 정상적으로 작동합니다
-
사용자 동의 보류 중 - Cato가 CrowdStrike 앱에 접근할 수 있도록 권한이 부여되지 않았습니다. 이 문제를 해결하려면 브라우저를 새로 고칩니다. 상태가 연결됨으로 변경되면 문제가 해결되었으며, 상태가 변경되지 않으면 커넥터를 삭제하고 다시 생성합니다.
-
오류 - 커넥터에 연결성, 권한, 라이센스 또는 기타 문제가 있습니다. 커넥터를 삭제하고 다시 생성하십시오.
커넥터를 생성하면 스토리는 스토리 워크벤치에서 표시됩니다.
스토리 작업대의 열에 대한 정보는 스토리 열 이해하기를 참조하십시오.
Microsoft Defender의 데이터를 포함한 XOps 스토리 검토에 대한 추가 정보는 XOps 보안 스토리 깊이 분석 및 분석를 참조하십시오.
엔드포인트 장치에 대한 스토리를 빠르게 찾기 위해 카토 엔드포인트 경고 스토리 유형에 따라 스토리를 그룹화하고 필터링할 수 있습니다. 스토리 그룹화 및 필터링에 대한 자세한 내용은 XDR 발견 사건에서 탐지 및 대응 XOps 스토리 검토를 참조하십시오.
댓글 0개
댓글을 남기려면 로그인하세요.