Este artigo discute como criar uma regra que silencie histórias XOps para que não apareçam na Bancada de Trabalho de Histórias.
Os motores de correlação XOps analisam dados de tráfego para encontrar correspondências para ameaças potenciais ou degradação da rede. Se uma correspondência for identificada, uma história é gerada na Bancada de Trabalho de Histórias para ajudar você a entender e analisar o problema. Se você não quiser que uma história seja criada, você pode configurar uma regra para Silenciar Histórias. Isso reduz a geração de histórias de falso positivo e ajuda a focar sua análise em ameaças potenciais reais ou problemas de rede. Histórias podem ser silenciadas para um intervalo de tempo específico ou ilimitado.
Você pode silenciar histórias criadas por esses motores:
- Prevenção de Ameaças
- Caça a Ameaças
- Operações do Site
- Anomalia de Uso
- Eventos Anômalos
Para que uma história seja silenciada, ela deve ter uma correspondência exata ou conter os predicados inseridos na regra de Histórias Silenciadas. Por exemplo, se uma regra contiver 3 domínios mas apenas 2 estiverem na história, a história é silenciada. Se uma regra contém 2 domínios e a história contém 3, ela não é silenciada. Histórias silenciadas não são geradas por padrão, no entanto, isso pode ser alterado selecionando como uma condição.
Nota
Nota: Clientes MDR podem criar e editar regras de silenciar história para o motor Operações de Sites. Se você deseja definir histórias silenciadas para outros motores, por favor, entre em contato com mdr@catonetworks.com.
Você pode definir tráfego de uma fonte confiável que é então excluído de uma história. Por exemplo, histórias de XOps são geradas para a detecção de tentativas de escaneamento potencial, mas a fonte do escaneamento é reconhecida como teste de penetração benigno.
Para histórias de Prevenção de Ameaças e Caça a Ameaças, uma história é sempre criada mesmo quando está silenciada. Silenciar aplica uma bandeira de silenciamento à história, garantindo que seja excluída dos relatórios e oculta da Bancada de Trabalho de Histórias quando os filtros de Prevenção de Ameaças ou Caça a Ameaças são aplicados. Histórias silenciadas também não acionam alertas por padrão de acordo com a política de resposta.
Existem duas maneiras de adicionar regras de Silenciar Histórias para histórias de Prevenção de Ameaças e Caça a Ameaças:
- Criar uma regra na página de Detecção & Resposta
- Crie uma regra a partir de uma história na Bancada de Trabalho de Histórias. Este método é útil quando você nota tráfego específico em uma história que você sabe ser benigno.
Existem duas maneiras de adicionar regras de Silenciar Histórias para histórias de Anomalia de Uso e Eventos Anômalos:
- Criar uma regra na página de Detecção & Resposta
- Crie uma regra a partir de uma história na Bancada de Trabalho de Histórias. Este método é útil quando você nota tráfego específico em uma história que você sabe ser benigno.
As seções seguintes descrevem configurações úteis que estão disponíveis para regras de Silenciar Histórias de Anomalia de Uso e Eventos Anômalos.
O motor de Anomalia de Uso XOps identifica anomalias relacionadas a uso incomum em aplicações, e gera uma história quando uma anomalia é detectada. A política de Silenciar Histórias permite que você configure uma regra para uma história de Anomalia de Uso especificando aplicações ou categorias de aplicações para que os motores XOps possam excluir. Por exemplo, se você sabe que um usuário específico carrega quantidades incomuns de dados no OneDrive como parte de suas exigências de trabalho, crie uma regra configurada com o Usuário específico como a Fonte e OneDrive como a Aplicação.
É possível que uma história de Anomalia de Uso envolva mais de uma aplicação. Nesse caso, a Aplicação configurada refere-se à aplicação principal na história. Por exemplo, se você configurar a Aplicação como OneDrive, isso significa que se a aplicação principal na história de Anomalia de Uso for OneDrive, o motor XOps não gerará a história. No entanto, se a aplicação principal for uma aplicação diferente, como Dropbox, e o OneDrive tiver o segundo maior uso, então a história ainda será gerada.
O motor de Eventos Anômalos XOps detecta anomalias que envolvem uma entidade na rede disparando um número incomum de eventos de segurança, e gera uma história quando uma anomalia é detectada. A política de Silenciar Histórias permite que você configure uma regra para uma história de Eventos Anômalos especificando tipos de eventos para os motores XOps excluírem. Você pode, então, especificar ainda mais para excluir apenas os eventos gerados por regras ou ameaças IPS específicas.
Por exemplo, se um usuário gera um número incomumente grande de eventos Firewall WAN ao realizar uma atividade benigna conhecida, crie uma regra com o Usuário configurado como a Fonte e configure a Métrica de Anomalia de Eventos como o Tipo de Evento do Firewall WAN. Em seguida, especifique a regra dentro da base de regras do Firewall WAN.
Você pode silenciar histórias geradas por problemas específicos de rede. Por exemplo, se você sabe que um ISP local tem uma interrupção planejada, você pode silenciar histórias geradas pela indicação de Site desligado pelo período da interrupção.
Para Histórias de Operações do Site, uma história é sempre criada mesmo quando ela está silenciada. Silenciar aplica uma bandeira de silêncio à história, garantindo que ela seja excluída dos relatórios e oculta da Bancada de Trabalho de Histórias quando o filtro de Operações de Rede é aplicado. Histórias silenciadas também não provocam alertas por padrão de acordo com a política de resposta. Somente para clientes ILMM, esses tipos de história são silenciados por padrão quando os links do site não estão integrados ao serviço:
- Site Desativado
- Link Desativado
- Link ALT WAN Desativado
- Quality SLA
Você pode identificar se uma história foi silenciada na coluna Silenciado na Linha do Tempo do Incidente de uma história.
Você pode adicionar regras de Histórias Silenciadas para histórias de Operações do Site criando uma regra na página de Detecção & Resposta.
A tabela a seguir explica os itens que você pode usar para definir as configurações para uma regra de Silenciar Histórias de Detecção & Resposta. Quando você configura múltiplos objetos em uma configuração, há uma relação OU entre eles. Por exemplo, se houver uma regra configurada com fontes incluindo um Site e um Usuário, a regra é aplicada quando o tráfego corresponde a Site ou Usuário.
|
Item |
Descrição |
|---|---|
|
Produtor |
O motor ou motores de Detecção & Resposta aos quais a regra se aplica. Para mais sobre esses motores e os tipos de histórias que eles detectam, veja Usando o Catálogo de Indicações |
|
ID de Indicação |
O identificador para a indicação usada pelos motores de Detecção & Resposta. Cada ID de Indicação está associada a uma consulta de motor de Detecção & Resposta que identifica parâmetros de tráfego específicos. Se você definir um ID de Indicação, a regra apenas exclui tráfego de histórias geradas pela consulta de motor específica associada a esse ID de Indicação. Se nenhum ID de Indicação for definido, o tráfego é excluído de todas as consultas de motor que correspondem às configurações da regra. Para mais sobre Indicações, veja Usando o Catálogo de Indicações. |
|
Direção (Histórias de Prevenção de Ameaças, Caça a Ameaças, Anomalia de Uso e Eventos Anômalos) |
Defina a direção do fluxo de tráfego ao qual a regra se aplica. As direções incluem:
|
|
Intervalo de Tempo |
Selecione o intervalo de tempo quando a regra se aplica, ou selecione Ilimitado para a regra continuar a se aplicar sem expiração. Quando uma data de expiração é definida:
Definir uma data de expiração é uma prática recomendada para manter uma postura de segurança eficaz. |
|
Fonte |
Fonte do tráfego para esta regra. Você pode selecionar um ou mais dos seguintes tipos de Fonte:
|
|
Dispositivo (Histórias de Prevenção de Ameaças, Caça a Ameaças, Anomalia de Uso e Eventos Anômalos) |
O tipo de dispositivo ao qual a regra se aplica, definido pelo sistema operacional. |
|
Destino (Prevenção de Ameaças, Caça a Ameaças, Anomalia de Uso e Eventos Anômalos histórias) |
Destino do tráfego para esta regra. Você pode selecionar um ou mais dos seguintes tipos de Destino:
Para definições desses objetos, veja Referência para Objetos de Regras |
|
Métrica de Eventos Anômalos (Histórias de Eventos Anômalos) |
Selecione o tipo de evento a ser silenciado. Após selecionar o tipo de evento, você pode especificar um nome de regra ou nome de ameaça. Você pode selecionar um dos seguintes tipos de evento:
|
Além das configurações acima, as seguintes informações são mostradas para cada regra de Histórias Silenciadas:
- Autor - O nome de usuário do usuário que criou a regra.
- Criado Em - Data em que a regra foi criada.
Para mostrar a base de regras de Histórias Silenciadas de Detecção & Resposta:
- No menu de navegação, clique em Inicial > Política de Detecção & Resposta.
Adicione uma nova regra de Histórias Silenciadas e configure as configurações que definem o tráfego a ser desconsiderado pelos motores de Detecção & Resposta.
Para criar uma regra de Histórias Silenciadas de Detecção & Resposta:
- No menu de navegação, clique em Inicial > Política de Detecção & Resposta.
- Selecione a aba Histórias Silenciadas.
- Clique em Novo. O painel Adicionar a Histórias Silenciadas é aberto.
- Configure as configurações para a regra conforme descrito acima.
- Clique em Salvar. A regra é adicionada à base de regras de Histórias Silenciadas.
Visualize o aprofundamento da história na Bancada de Trabalho de Histórias e use o painel Ações da História para criar uma regra de Histórias Silenciadas.
As seguintes configurações da regra são preenchidas automaticamente com base nos dados da história:
- Direção
-
Fonte
- Se a história contiver vários tipos de dados para a fonte, todos são adicionados na configuração Fonte. Por exemplo, se a história identificou um IP e Site para uma fonte, então tanto o IP quanto o Site são preenchidos automaticamente na seção Fonte para a regra.
-
Destino - Preenchido automaticamente com base nos Alvos da história
- Se a história identificou vários Alvos, todos são adicionados na configuração Destino
Para criar uma regra de Histórias Silenciadas de uma história:
- No menu de navegação, clique em Inicial > Bancada de Trabalho de Histórias.
- Clique na história para abrir a página de aprofundamento da história.
- Clique
para abrir o painel Ações da História.
-
Clique em Adicionar a Novas Histórias Silenciadas. O painel Adicionar a Nova Regra de Histórias Silenciadas é aberto.
- Configure as configurações para a regra conforme descrito acima.
- Clique em Salvar. A regra é adicionada à base de regras de Histórias Silenciadas.
- Para mostrar a base de regras de Histórias Silenciadas de Detecção & Resposta, no menu de navegação clique em Inicial > Política de Detecção & Resposta.
0 comentário
Por favor, entre para comentar.