Cato XOps 서비스에 오신 것을 환영합니다

위협 방지 - Cato XOps 위협 방지 생산자는 Cato의 실시간 보안 서비스가 생성한 이벤트에서 특정 공격 행동을 탐지합니다. 예를 들어 IPS, 안티멀웨어와 같은 서비스입니다. 위협 방지 스토리는 분석가들이 즉각적이고 신뢰도 높은 위협에 집중할 수 있도록 도와줍니다．

위협 방지 스토리는 일반적으로 보안 서비스 중 하나에 의해 차단된 트래픽에 대한 이벤트, 즉 관련된 차단된 이벤트를 기반으로 합니다． 그러나 이미 차단된 트래픽이라 할지라도 이 트래픽이 지속적인 위협과 관련이 있을 수 있습니다． XOps 스토리를 통해 의심스러운 트래픽의 컨텍스트와 세부 정보를 조사하여 추가 완화 조치가 필요한 위협이 여전히 있는지 판단할 수 있습니다.

위협 방지 스토리에 대한 더 많은 정보는 XDR 보안 스토리 심층 분석 및 조사를 참조하세요．

위협 탐지 - 위협 탐지 생산자는 데이터 레이크에 저장된 방대한 양의 역사적 트래픽 데이터를 지속적으로 스캔하여 잠재적 위협을 나타내는 트래픽 패턴을 탐지합니다． 최근 이벤트에 초점을 맞추는 위협 방지 생산자와 달리, 위협 탐지 생산자는 저장된 트래픽 데이터에서 시간 경과에 따른 상관 관계를 찾습니다. 정확성을 보장하기 위해 일주일의 데이터에서 상관 관계가 식별됩니다. 또한, 위협 방지 생산자가 이벤트 로그의 데이터를 확인하는 반면, 위협 탐지 생산자는 트래픽 흐름에서 더 광범위한 데이터 세트를 분석합니다． 이 방법은 위협 탐지 생산자가 일반적인 방법으로는 식별하기 어려운 낮고 감지하기 힘든 서명을 가진 더욱 은밀한 위협을 감지할 수 있게 해줍니다.

다음은 사이버스쿼팅 피싱 위협과 관련된 40개의 다양한 트래픽 흐름(신호)을 식별한 위협 탐지 스토리에 대한 개요 페이지입니다:

위협 탐지 스토리에 대한 더 많은 정보는 XDR 보안 스토리 심층 분석 및 조사를 참조하세요.

사용량 이상 현상 - Cato의 사용자 및 엔터티 행동 분석(UEBA) 기능 중 일부로, 이 생산자는 사용자와 사이트 네트워크 활동을 기계 학습 알고리즘으로 계산된 기준과 비교하여, 의심스러운 기준 사용 수준에서 벗어난 편차에 대한 스토리를 생성합니다． 예시로, 특정 사용자가 평소보다 더 많은 상향 대역폭을 사용하는 것이 감지되었습니다．

사용량 이상 현상 스토리에 대한 더 많은 정보는 사용량 및 이벤트 이상 현상에 대한 XDR UEBA 스토리 분석을 참조하세요．

이상 이벤트 - Cato의 UEBA 기능의 또 다른 요소로, 이 생산자는 네트워크에서 엔터티가 비정상적으로 많은 수의 보안 이벤트를 발생시키는 지표를 감지합니다． 예시로, 사용자가 특정 방향으로의 트래픽에 대해 비정상적으로 많은 수의 IPS 차단 이벤트와 연관되어 있을 수 있으며, 이는 사용자 장치에 잠재적인 감염이 있을 수 있음을 나타냅니다．

이상 이벤트 스토리에 대한 더 많은 정보는 사용량 및 이벤트 이상 현상에 대한 XDR UEBA 스토리 분석을 참조하세요．

Microsoft 엔드포인트 경고 - Microsoft Defender for Endpoint를 사용하는 고객은 Defender 경고 데이터를 Cato XOps와 통합하여 엔드포인트 장치에 대한 스토리를 생성할 수 있습니다. Microsoft 엔드포인트 경고 생산자는 같은 장치에서 24시간 내 발생한 모든 Defender 경고 데이터를 연관하여 스토리를 만듭니다． 엔드포인트 경고 스토리는 Defender가 감지한 경고에 대한 모든 관련 증거를 포함합니다． 엔드포인트에 대한 초점을 확장함으로써, 이러한 스토리는 네트워크 내 잠재적인 위협에 대한 보다 완전한 그림을 얻는 데 도움이 됩니다．

Defender for Endpoint와 Cato XOps 통합에 대한 더 많은 정보는 Microsoft Defender for Endpoint Alerts: XOps 통합 구성을 참조하세요.

Microsoft Entra ID 알림 - Microsoft Entra ID 보호에서 알림 데이터를 통합하여 Cato XOps 스토리를 생성할 수 있습니다. 이를 통해 분석가는 XOps 조사라는 더 넓은 맥락에서 위험한 로그인에 대한 데이터를 포함할 수 있습니다. Cato Entra 신원 경고 엔진은 동일한 사용자에 대해 24시간 동안 발생한 Entra ID 보호 경고 데이터를 상관 분석하여 스토리를 생성합니다.

Entra ID Alerts와 Cato XOps 통합에 대한 더 많은 정보는 Microsoft Entra ID: XOps 통합 구성을 참조하세요.

Cato 엔드포인트 경고 - Cato EPP 솔루션은 Cato XOps와 통합하여 엔드포인트 장치에 대한 스토리를 생성합니다. Cato 엔드포인트 경고 생산자는 같은 장치에서 24시간 내에 발생한 모든 Cato EPP 경고 데이터를 연관하여 스토리를 만듭니다． Cato 엔드포인트 경고 스토리는 Cato EPP가 감지한 모든 관련 증거를 포함합니다．

Cato 엔드포인트 경고 스토리에 대한 더 많은 정보는 Cato 엔드포인트 보호 (EPP): XOps 통합 구성을 참조하세요.

SentinelOne Alerts - SentinelOne을 사용하는 고객은 SentinelOne EDR 데이터를 통합하여 엔드포인트 장치에 대한 스토리를 생성할 수 있습니다. SentinelOne 생산자는 Agent UUID(디바이스 ID) 및 위협 파일 해시를 기반으로 SentinelOne EDR 사건 데이터를 상관 분석하여 90일 이내에 스토리를 생성합니다. 이 스토리들은 SentinelOne이 감지한 사건에 대한 모든 관련 증거를 포함합니다.

SentinelOne Alerts 통합에 대한 더 많은 정보는 SentinelOne EDR: XOps 통합 구성을 참조하세요.

CrowdStrike Alerts - CrowdStrike를 사용하는 고객은 사건 ID를 기반으로 CrowdStrike 감지 데이터를 통합할 수 있습니다. 이 스토리들은 CrowdStrike가 확인한 감지에 대한 모든 관련 증거를 포함합니다.

CrowdStrike Alerts 통합에 대한 더 많은 정보는 CrowdStrike: XOps 통합 구성을 참조하세요.

AIOps - 카토 XOps는 네트워크 운영과 보안 운영을 단일 플랫폼으로 융합하는 Site Operations(이전에는 네트워크 XDR로 알려짐)라는 고유한 AIOps 생산자를 특징으로 합니다. 이 생산자는 연결성 및 성능과 관련된 다양한 지표와 메트릭을 감지하고, 네트워크 문제에 대한 데이터를 연관하여 이야기를 생성합니다. 예시로, WAN 링크가 간헐적으로 높은 패킷 손실률을 겪고 있는 경우, 생산자는 링크에 대한 모든 관련 데이터로 단일 이야기를 생성합니다.

Cato XOps의 네트워크 스토리에 대한 더 많은 정보는 사이트 오퍼레이션 스토리 검토를 참조하세요.

XDR 발견 사건

XDR 대응 정책

스토리 무시 정책

XDR 대시보드