이 문서는 XOps 스토리에서 위협을 완화하는 방법을 다룹니다.
XOps 스토리는 종종 특정 사용자 또는 대상(IP 주소나 정규화된 도메인 이름(FQDN) 등)에서 시작된 의심스러운 활동을 포함합니다. 예를 들어, 스토리는 사용자의 원격 세션이 손상되었거나 장치가 의심스러운 피싱 도메인과 통신하고 있음을 나타낼 수 있습니다. 스토리 개요 페이지에서는 다음 방법을 통해 두 가지 유형의 위협을 효과적으로 완화할 수 있습니다.
-
사용자 세션 해제: 스토리에서 직접 사용자의 세션을 해제할 수 있습니다. 이렇게 하면 사용자가 로그아웃되고 클라이언트 로그인 화면에서 다시 인증하도록 요청하여, 정당한 사용자만이 다시 접근할 수 있게 보장합니다. 완화 시점에 사용자가 연결되어 있지 않으면 인증 토큰이 해제되고, 재연결 시 다시 인증해야 합니다.
-
대상 차단 목록에 추가: 컨테이너에 의심스러운 대상을 추가하여 차단 목록 정책에 포함시킬 수 있습니다. 이렇게 하면 Cato에 연결된 사용자가 대상을 접근할 수 없게 됩니다.
컨테이너는 IP 주소 또는 정규화된 도메인 이름(FQDN)과 같은 항목 그룹을 관리하는 데 도움이 되는 사용자 정의 카테고리입니다. 컨테이너를 생성하면 차단 작업과 함께 방화벽 규칙에 추가할 수 있습니다. 컨테이너가 방화벽 규칙에 포함된 경우에만 의심스러운 대상이 차단됩니다. XOps 스토리에서 위협을 완화할 때 기존 컨테이너에 대상을 추가하거나 새로 만들 수 있습니다. 컨테이너에 추가되었지만 방화벽 규칙에 포함되지 않은 대상은 여전히 사용자가 접근할 수 있습니다.
Example Corp.의 분석가는 개요 페이지에서 XOps 스토리를 조사하고, 사용자가 파일 공유 애플리케이션에 대량의 데이터를 업로드하고 있음을 확인했습니다. 이 업로드 활동이 정당한 이유인지 확신하지 못합니다. 분석가는 또 다른 사용자가 비정상적인 사용자 에이전트를 사용하여 업로드 활동을 하고 있는 것을 발견하는데, 이는 적대자가 자격 증명을 도용했을 가능성을 나타냅니다. 따라서 기기에 대한 재인증을 강제하기 위해 사용자 세션을 취소하기로 결정합니다. 분석가는 유일하게 정당한 인증된 사용자가 네트워크에 연결되어 있는지 알고 나서 조사를 계속할 수 있습니다.
스토리 개요 페이지에서 작업 메뉴를 통해 위협을 완화합니다.
위협을 완화하려면:
-
스토리 개요에서 작업 버튼을 클릭하십시오.
-
취하고자 하는 완화 작업을 선택하십시오:
-
사용자를 취소하려면 사용자 세션 취소를 클릭하십시오. 사용자 세션 취소 패널이 열립니다. 활성 세션을 취소할 사용자를 선택하십시오. 패널은 자동으로 스토리에서 식별된 사용자를 보여줍니다.
-
대상(d) 차단 목록에 추가하려면 대상 차단 목록에 추가을 클릭합니다. 완화할 대상을 선택하고 기존의 컨테이너에 추가하거나 새로 만들기를 클릭하여 새 컨테이너를 만드십시오. 컨테이너가 방화벽 규칙에 포함되었는지 확인하십시오.
-
-
(선택 사항) 메모를 추가하십시오.
-
작업을 확인하십시오.
홈 > 탐지 및 대응 정책 페이지의 작업 센터 탭에서 계정에서 수행된 XOps 완화 조치를 검토할 수 있습니다.
작업 센터는 각 완화 작업에 대한 다음 정보를 보여줍니다.
-
시간 - 완화 작업이 전송된 타임스탬프
-
조치 - 완화 작업에 대한 설명
-
제목 - 작업이 수행된 사용자
-
상태 - 작업의 상태. 대상 차단 목록에 추가 작업의 경우, 이는 상태 값입니다.
-
성공 - 세션 해제 요청이 Cato 사용자 서비스에 전송되었습니다.
-
실패 - 세션 해제 요청에 문제가 발생했습니다.
-
-
작성자 - 작업을 수행한 관리자
-
트리거 - 작업이 전송된 스토리의 스토리 ID. 스토리의 개요 페이지를 열려면 클릭하십시오.
-
참고 - 관리자가 입력한 선택적 메모
댓글 0개
이 문서에는 댓글을 달 수 없습니다.