Este artigo explica como usar webhooks e outras notificações com a Política de Resposta XOps que define quando você é notificado para novas e atualizadas histórias XOps e quando eventos são gerados.
Para mais informações sobre as histórias XOps, consulte Revisando as Histórias de Detecção & Resposta XOps na Workbench de Histórias
Nota
Nota: XOps é a camada unificada de análise da Cato para segurança e operações, oferecendo insights e remediação guiada. XOps substituiu XDR, para mais informações, consulte FAQ XOps.
A Política de Resposta ajuda a monitorar histórias XOps definindo quando notificações para histórias são enviadas para admins e analistas, e quando eventos são gerados para as histórias. Você pode criar regras que definem os critérios da história para enviar notificações e gerar eventos, e pode usar grupos de assinatura, listas de e-mail e integrações de terceiros para configurar quais administradores recebem as notificações.
Por exemplo, você pode criar regras que enviem notificações:
-
Se a Criticidade da história for alta
-
Quando novas histórias são criadas para uma fonte específica (como um site ou Faixa de IP)
-
Quando os alvos da história são atualizados
-
Para histórias de Segurança com uma indicação específica de ataque
-
Para Operações de Site para problemas específicos, como um local ou link está indisponível
Nota
Nota: Por padrão, notificações não são enviadas para Operations de Site que correspondem a uma regra de Histórias silenciadas.
Por padrão, eventos de histórias XOps não são gerados. Eventos são gerados apenas de acordo com as regras configuradas. Quando você define regras que geram eventos para histórias XOps, você pode visualizá-los na página Eventos, para mais informações, consulte Analisando Eventos na Sua Rede.
Você também pode integrar eventos de histórias XOps com seus serviços e fluxos de trabalho de terceiros existentes:
-
Para ver uma lista de integrações suportadas por fornecedores para eventos Cato, consulte Cato Data: Integrações Suportadas por Terceiros
-
Para mais sobre enviar eventos para uma conta de armazenamento de terceiros (como AWS ou Azure), veja os artigos na seção Integração de Eventos
A página de Eventos mostra um número definido de campos por evento. Para acessar os dados completos da História, exporte-os como um arquivo JSON disponível no campo additional_data. Você também pode criar um filtro para exportar apenas os dados que você necessita. Para mais sobre os campos de eventos XOps, veja abaixo, Campos de Eventos e API Cato para Eventos de Histórias XOps.
Quando você adiciona uma regra à Política de Resposta, configure cada seção na regra que é necessária para definir as condições para enviar uma notificação ou gerar um evento.
Por exemplo, se você deseja gerar um evento para cada história XOps que é criada ou atualizada, configure uma regra com a Fonte como Qualquer, e o Gatilho como História Criada ou Atualizada.
Nota
Nota: Para clientes MDR, por favor contate <mdr@catonetworks.com> para definir regras de Política de Resposta para sua conta.
Uma regra de Política de Resposta tem as seguintes seções:
-
Nome - O nome que você atribui para a regra
-
Descrição para a regra
-
Fonte - A fonte de tráfego na sua rede envolvida na história. Por exemplo: Site, Endereço IP ou usuário
Para mais informações sobre os itens Fonte para uma regra, consulte Referência para Objetos de Regra.
-
Critérios - Características da história para corresponder à regra. Quando você adiciona critérios, selecione o tipo de critério, valor, e o operador que determina a relação entre os critérios e o valor. Por exemplo: Criticidade | Maior Que | 6.
Critérios configuráveis da história incluem: Criticidade, Severidade, Indicação, Veredito do Analista, Produtor, Alvos Adicionados, Status. Para mais informações sobre esses critérios de histórias, consulte Revisando as Histórias de Detecção & Resposta XOps na Workbench de Histórias
-
O Produtor é o motor que gera a história. Para mais sobre Operations de Site, consulte Revisando Histórias de Operations de Site. Para mais sobre os motores XOps e seus tipos de licenças requeridos, consulte Using the Indications Catalog
-
Você pode configurar múltiplos valores para os seguintes critérios: Indicação, Veredicto do Analista, Severidade, Produtor. Quando você adiciona múltiplos valores a uma única entrada de critério, existe uma relação OU entre eles.
-
-
Gatilho - Define quando o motor de Política de Resposta verifica se uma história corresponde à regra. As configurações incluem:
-
História Criada - O motor de Política de Resposta verifica a correspondência com a regra quando uma nova história é criada. Histórias existentes que são atualizadas não são verificadas para corresponder à regra.
-
História Criada ou Atualizada - O motor de Política de Resposta verifica a correspondência com a regra quando uma nova história é criada ou quando uma história existente é atualizada. As atualizações podem incluir mudanças no Status, Veredicto do Analista, Gravidade e Alvos da história.
-
-
Resposta - Selecione a resposta para quando a regra for correspondida. Respostas podem incluir a geração de um evento e notificações definidas por Grupo de Assinatura, Lista de Emails, ou Integração de Alertas via Webhooks.
Crie uma nova regra de Política de Resposta e configure as configurações da regra para definir quando uma notificação de história é enviada.
Para criar uma nova regra de Política de Resposta:
-
No menu de navegação, clique em Inicial > Política de Detecção & Resposta.
-
Selecione a aba Política de Resposta.
-
Clique em Novo. O painel Adicionar à Política de Resposta é aberto.
-
Insira um Nome para a regra.
-
Na seção Fonte, selecione o tipo (por exemplo: Host, Intervalo de IP, Site) e então selecione um ou mais objetos para a fonte da história para esta regra (ou você pode inserir um endereço IP).
O valor Padrão da Fonte é Qualquer.
-
(Opcional) Defina Critérios que especifiquem as características que uma história deve ter para corresponder à regra.
-
Selecione o Gatilho para a regra.
-
Selecione a Resposta. Se você selecionar Enviar Notificação, então defina o Grupo de Assinatura, Lista de E-mails, ou Integração para receber a notificação.
-
Clique em Salvar. A regra é adicionada à política.
Para enviar dados de Histórias XOps para terceiros usando uma integração Webhook, você precisa:
-
Configurar a integração de terceiros no CMA
-
Criar a regra necessária na Política de Resposta
Você pode definir uma integração de Webhook para enviar alertas para plataformas de terceiros, como ServiceNow, Jira e Slack, e criar fluxos de automação baseados em alertas. Os Webhooks da Cato suportam cabeçalhos HTTP e mensagens personalizáveis no alerta para atender às necessidades específicas da sua organização. Para mais informações, consulte Integração de Alertas via Webhooks.
Após definir a integração de terceiros, crie uma regra na Política de Resposta.
Para criar uma regra para uma integração de terceiros:
-
Siga os passos 1-7 em Criando Novas Regras de Políticas de Resposta.
-
Na seção Resposta, selecione Enviar Notificação.
-
No drop-down Enviar notificação para, selecione Integração.
-
No drop-down Integração, selecione a integração que você deseja usar na regra.
-
Clique em Salvar. A regra é adicionada à política.
A página de Eventos mostra todos os eventos de histórias XOps gerados para sua conta. Você pode filtrar a página para mostrar os eventos usando o Tipo de Evento Detecção e Resposta.
Abaixo estão os campos relevantes para eventos de história. A consulta eventsFeed da API Cato mostra dados para histórias XOps nesses campos para o tipo eventFieldName.
|
Valor enum API |
Campo do Evento |
Comentários |
|---|---|---|
|
user_display_name |
Nome de Exibição do Usuário |
|
|
analyst_verdict |
Veredicto do Analista |
|
|
criticality |
Criticidade |
|
|
device_name |
Nome do Dispositivo |
|
|
event_count |
Contagem de Eventos |
Para Histórias XOps, eventos não são agregados automaticamente, portanto, o Contador de Eventos geralmente terá um valor de 1. |
|
sub-tipo |
Sub-tipo |
|
|
tipo_de_evento |
Tipo de Evento |
Para eventos de histórias XOps, o Tipo de Evento é Detecção e Resposta. |
|
indicação |
Indicação |
|
|
id_interno_evento |
ID Interno do Evento |
|
|
produtor |
Produtor |
O motor que gerou a história. Valores possíveis: Prevenção de Ameaças, Caça a Ameaças, Anomalia de Uso, Eventos Anômalos, Alerta de Endpoint da Microsoft. |
|
regra |
Regra |
Nome da regra da Política de Resposta que gerou o evento. |
|
ip_origem |
IP de Origem |
|
|
fonte_é_site_ou_usuário_sdp |
Fonte é Site ou Usuário |
|
|
site_origem |
Site de Origem |
|
|
Estado |
Status |
|
|
id_história |
ID da História |
|
|
nome_ameaça |
Nome da Ameaça |
|
|
tipo_ameaça |
Tipo de Ameaça |
|
|
tempo |
Tempo |
|
|
vendedor |
Fornecedor |
Valores possíveis: Microsoft (para histórias de Alerta de Endpoint Microsoft), Cato. |
|
dados_adicionais |
N/A |
Dados de história que não estão incluídos nos outros campos de eventos. Este campo está incluído nos eventos exportados, mas não é mostrado na página de Eventos. Nota: Este campo é exportado como dados brutos e não analisados, e pode conter caracteres de escape. Este formato está sujeito a alterações. |
0 comentário
Por favor, entre para comentar.