Este artigo discute como criar uma regra que silencia histórias XOps para que não apareçam na Banca de Histórias.
Nota
Nota: XOps é a camada de análise unificada de Cato para segurança e operações, oferecendo insights e remediação guiada. XOps substituiu o XDR, para mais informações, consulte XOps FAQ.
Os motores de correlação XOps analisam dados de tráfego para encontrar correspondências para ameaças potenciais ou degradação de rede. Se uma correspondência for identificada, uma história é gerada na Banca de Histórias para ajudá-lo a entender e analisar o problema. Se você não quiser que uma história seja criada, pode configurar uma regra de Silenciar Histórias. Isso reduz a geração de histórias de falso positivo e ajuda você a concentrar sua análise em possíveis ameaças reais ou problemas de rede. Histórias podem ser silenciadas por um Período de Tempo específico ou ilimitado
Você pode silenciar histórias criadas por esses motores:
-
Prevenção de Ameaças
-
Caça a Ameaças
-
Operações de Site
-
Anomalia de Uso
-
Eventos Anômalos
Para que uma história seja silenciada, ela deve ter uma correspondência exata ou conter os predicados inseridos na regra Silenciar Histórias. Por exemplo, se uma regra contém 3 domínios, mas apenas 2 estão na história, a história é silenciada. Se uma regra contém 2 domínios e a história contém 3, ela não é silenciada.
Nota
Nota: Clientes de MDR podem criar e editar regras de silenciar histórias para o motor Operações de Site. Se você deseja definir histórias silenciosas para outros motores, entre em contato com mdr@catonetworks.com.
Você pode definir o tráfego de um recurso confiável que é então excluído de uma história. Por exemplo, histórias XOps são geradas para detecção de tentativas de varredura potencial, mas a fonte da varredura é um teste de penetração conhecido como benigno. Depois que uma regra de Silenciar Histórias é criada para o tráfego de teste de penetração, nenhuma outra história é gerada para ele.
Existem duas maneiras de adicionar regras de Silenciar Histórias para histórias de Prevenção de Ameaças e Caça a Ameaças:
-
Crie uma regra na página Detecção & Resposta
-
Crie uma regra a partir de uma história na Bancada de Trabalho de Histórias. Este Método é útil quando você nota Tráfego específico em uma História que você sabe ser Benigno
Existem duas maneiras de adicionar regras de Silenciar Histórias para histórias de Anomalia de Uso e Eventos Anômalos:
-
Crie uma regra na página Detecção & Resposta
-
Crie uma regra a partir de uma história na Bancada de Trabalho de Histórias. Este Método é útil quando você nota Tráfego específico em uma História que você sabe ser Benigno
As seções seguintes descrevem configurações úteis que estão disponíveis para regras de Silenciar Histórias de Anomalia de Uso e Eventos Anômalos.
O motor de Anomalia de Uso XOps identifica anomalias relacionadas ao uso incomum de aplicações e gera uma história quando uma anomalia é detectada. A política de histórias silenciosas permite que você configure uma regra para uma história de Anomalia de Uso especificando aplicativos ou categorias de aplicativos para os motores XOps excluir. Por exemplo, se você sabe que um usuário específico faz upload de quantidades incomuns de dados no OneDrive como parte dos requisitos de trabalho, crie uma regra configurada com o Usuário específico como Fonte e OneDrive como Aplicação.
É possível que uma história de Anomalia de Uso envolva mais de uma aplicação. Nesse caso, a Aplicação configurada refere-se à principal aplicação na história. Por exemplo, se você configurar o Aplicativo como OneDrive, isso significa que se o aplicativo principal na história de Anomalia de Uso for o OneDrive, o motor XOps não gerará a história. No entanto, se a principal aplicação for uma aplicação diferente, como o Dropbox, e o OneDrive tiver a segunda maior utilização, então a história ainda será gerada.
O motor de Anomalia de Eventos XOps detecta anomalias que envolvem um entidade na rede provocando um número incomum de eventos de segurança, e gera uma história quando uma anomalia é detectada. A política de histórias silenciosas permite que você configure uma regra para uma história de Anomalia de Eventos especificando tipos de eventos para os motores XOps excluir. Você pode então especificar ainda mais para excluir apenas os eventos gerados por regras particulares ou ameaças de IPS.
Por exemplo, se um usuário gera um número incomum de eventos do Firewall WAN ao realizar uma atividade benigna conhecida, crie uma regra configurada com o Usuário como Fonte e configure a Métrica de Anomalia de Eventos como o Tipo de Evento de Firewall WAN. Em seguida, especifique a regra dentro da base de regras do Firewall WAN.
Você pode silenciar histórias geradas por problemas de rede específicos. Por exemplo, se você souber que um ISP local tem uma interrupção planejada, pode silenciar histórias geradas pela indicação de Site inativo durante o período da interrupção.
Histórias são geradas, mas são filtradas na Bancada de Trabalho de Histórias.
Você pode identificar se uma história foi silenciada na coluna Silenciado na Linha do Tempo do Incidente de uma história.
Você pode adicionar regras de histórias silenciosas para histórias de Operações de Site criando uma regra na página Detecção & Resposta.
A tabela a seguir explica os itens que você pode usar para definir as configurações para uma regra de Silenciar Histórias de Detecção & Resposta. Quando você configura vários objetos em uma configuração, há uma relação OU entre eles. Por exemplo, se houver uma regra configurada com origens incluindo um Site e um Usuário, a regra é aplicada quando o tráfego corresponde a qualquer um dos dois, Site ou Usuário.
|
Item |
Descrição |
|---|---|
|
Produtor |
O motor ou motores de Detecção & Resposta aos quais a regra se aplica. Para saber mais sobre esses motores e os tipos de histórias que detectam, consulte Using the Indications Catalog |
|
ID de Indicação |
O identificador para a indicação usada pelos motores de Detecção & Resposta. Cada ID de Indicação está associado a uma consulta de motor de Detecção & Resposta que identifica parâmetros específicos de tráfego. Se você definir um ID de Indicação, a regra apenas exclui tráfego de histórias geradas pela consulta de motor específica associada a esse ID de Indicação. Se nenhum ID de Indicação for definido, o tráfego é excluído de todas as consultas de motor que correspondem às configurações da regra. Para saber mais sobre Indicações, consulte Using the Indications Catalog. |
|
Direção (Histórias de Prevenção de Ameaças, Caça a Ameaças, Anomalia de Uso e Anomalia de Eventos) |
Defina a direção do fluxo de tráfego ao qual a regra se aplica. Direções incluem:
|
|
Intervalo de Tempo |
Selecione o período de tempo em que a regra se aplica ou selecione Ilimitado para que a regra continue a se aplicar sem expiração. Quando uma data de expiração é definida:
Definir uma data de expiração é uma prática recomendada para manter uma postura de segurança eficaz. |
|
Fonte |
Fonte do tráfego para esta regra. Você pode selecionar um ou mais dos seguintes tipos de Fonte:
|
|
Dispositivo (Histórias de Prevenção de Ameaças, Caça a Ameaças, Anomalia de Uso e Anomalia de Eventos) |
O tipo de dispositivo ao qual a regra se aplica, definido pelo sistema operacional. |
|
Destino (histórias de Prevenção de Ameaças, Caça a Ameaças, Anomalia de Uso e Anomalia de Eventos) |
Destino do tráfego para esta regra. Você pode selecionar um ou mais dos seguintes tipos de Destino:
Para definições desses objetos, consulte Referência para Objetos de Regra |
|
Métrica de Anomalia de Eventos (Histórias de Anomalia de Eventos) |
Selecione o tipo de evento a ser silenciado. Após selecionar o tipo de evento, você pode especificar um nome de regra ou nome de ameaça. Você pode selecionar um dos seguintes tipos de evento:
|
Além das configurações acima, as seguintes informações são mostradas para cada regra de Histórias Silenciadas:
-
Autor - O nome de usuário do usuário que criou a regra.
-
Criado em - Data em que a regra foi criada.
To show the Detection & Response Mute Stories rulebase:
-
From the navigation menu, click Home > Detection & Response Policy.
Add a new Mute Stories rule and configure the settings that define the traffic to be disregarded by the Detection & Response engines.
To create a Detection & Response Mute Stories rule:
-
From the navigation menu, click Home > Detection & Response Policy.
-
Selecione a aba Histórias Silenciadas.
-
Clique em Novo. O painel Adicionar a Histórias Silenciadas é aberto.
-
Configure as configurações para a regra conforme descrito acima.
-
Clique em Salvar. A regra é adicionada à base de regras de Histórias Silenciadas.
Visualize a análise detalhada da história na Bancada de Trabalho de Histórias e use o painel Ações da História para criar uma regra de Histórias Silenciadas.
As seguintes configurações de regra são preenchidas automaticamente com base nos dados da história:
-
Direção
-
Origem
-
Se a história contiver múltiplos tipos de dados para a origem, todos eles são adicionados na configuração Origem. Por exemplo, se a história identificou um IP e um Site para uma origem, então ambos, IP e Site, são preenchidos automaticamente na seção Origem para a regra.
-
-
Destino - Preenchido automaticamente com base nos Alvos da história
-
If the story identified multiple Targets, they are all added in the Destination setting
-
Para criar uma regra de Histórias Silenciadas de uma história:
-
No menu de navegação, clique em Inicial > Bancada de Trabalho de Histórias.
-
Clique na história para abrir a página de detalhes da história.
-
Clique em
para abrir o painel de Ações da História.
-
Clique em Adicionar a Novas Histórias Silenciadas. O painel Adicionar a Nova Regra de Histórias Silenciadas é aberto.
-
Configure as configurações para a regra conforme descrito acima.
-
Clique em Salvar. A regra é adicionada à base de regras de Histórias Silenciadas.
-
Para mostrar a base de regras de Silenciar Histórias Detecção & Resposta, no menu de navegação clique em Home > Política de Detecção & Resposta.
0 comentário
Por favor, entre para comentar.