Este artigo explica como usar webhooks e outras notificações com a Política de Resposta XDR, que define quando você é notificado para novas histórias XDR e atualizações, e quando eventos são gerados.
Para mais informações sobre histórias XDR, veja Revisando Histórias de Detecção & Resposta (Segurança XDR) na Bancada de Trabalho de Histórias
A Política de Resposta ajuda você a monitorar histórias XDR de Segurança e Rede ao definir quando notificações para histórias são enviadas a administradores e analistas, e quando eventos são gerados para as histórias. Você pode criar regras que definem os critérios da história para enviar notificações e gerar eventos, e pode usar grupos de assinatura, listas de e-mail e integrações de terceiros para configurar quais administradores recebem as notificações.
Por exemplo, você pode criar regras que enviem notificações:
-
Se a Criticidade da história for alta
-
Quando novas histórias são criadas para uma fonte específica (como um site ou Faixa de IP)
-
Quando os alvos da história são atualizados
-
Para histórias de Segurança com uma indicação específica de ataque
-
Para histórias de Rede para problemas específicos, como um site ou link desconectado
Nota
Nota: Por padrão, as notificações não são enviadas para histórias de Rede que correspondem a uma regra de Histórias Silenciadas.
Por padrão, eventos de histórias XDR não são gerados. Os eventos só são gerados de acordo com as regras configuradas. Quando você define regras que geram eventos para histórias XDR, pode visualizá-los na página de Eventos, para mais informações, veja Analisando Eventos na Sua Rede.
Você também pode integrar eventos para histórias XDR com seus serviços e fluxos de trabalho de terceiros existentes:
-
Para uma lista de integrações suportadas por fornecedores para eventos Cato, veja Integrações de Terceiros Suportadas para Dados Cato
-
Para mais sobre enviar eventos para uma conta de armazenamento de terceiros (como AWS ou Azure), veja os artigos na seção Integração de Eventos
-
Para mais informações sobre usar a API eventsFeed para integrar eventos com uma solução SIEM, veja o Guia de Integração SIEM para a API Cato
A página de Eventos mostra um número definido de campos por evento. Para acessar os dados completos da História, exporte-os como um arquivo JSON disponível no campo additional_data. Você também pode criar um filtro para exportar apenas os dados que você necessita. Para mais sobre campos de eventos XDR, veja abaixo Campos de Evento e API Cato para Eventos de Histórias XDR.
Quando você adiciona uma regra à Política de Resposta, configure cada seção na regra que é necessária para definir as condições para enviar uma notificação ou gerar um evento.
Por exemplo, se você quer gerar um evento para cada história XDR que é criada ou atualizada, configure uma regra com a Fonte como Qualquer, e o Gatilho como História Criada ou Atualizada.
Nota
Nota: Para clientes MDR, por favor contate <mdr@catonetworks.com>
para definir regras de Política de Resposta para sua conta.
Uma regra de Política de Resposta tem as seguintes seções:
-
Nome - O nome que você atribui para a regra
-
Descrição para a regra
-
Fonte - A fonte de tráfego na sua rede envolvida na história. Por exemplo: Site, Endereço IP ou usuário
Para mais sobre itens Fonte para uma regra, veja Referência para Objetos de Regra.
-
Critérios - Características da história para corresponder à regra. Quando você adiciona critérios, selecione o tipo de critério, valor, e o operador que determina a relação entre os critérios e o valor. Por exemplo: Criticidade | Maior Que | 6.
Critérios configuráveis da história incluem: Criticidade, Severidade, Indicação, Veredito do Analista, Produtor, Alvos Adicionados, Status. Para mais sobre esses critérios de história, veja Revisando Histórias de Detecção & Resposta (XDR) na Bancada de Trabalho de Histórias
-
O critério Produtor é o motor que gera a história e inclui tanto os motores XDR de Segurança quanto de Rede. Para mais informações sobre o Network XDR, veja Reviewing Network Stories in XDR . Para mais informações sobre os motores de Segurança XDR e seus tipos de licença necessários, veja Using the Indications Catalog
-
Você pode configurar múltiplos valores para os seguintes critérios: Indicação, Veredicto do Analista, Severidade, Produtor. Quando você adiciona múltiplos valores a uma única entrada de critério, existe uma relação OU entre eles.
-
-
Gatilho - Define quando o motor de Política de Resposta verifica se uma história corresponde à regra. As configurações incluem:
-
História Criada - O motor de Política de Resposta verifica a correspondência com a regra quando uma nova história é criada. Histórias existentes que são atualizadas não são verificadas para corresponder à regra.
-
História Criada ou Atualizada - O motor de Política de Resposta verifica a correspondência com a regra quando uma nova história é criada ou quando uma história existente é atualizada. As atualizações podem incluir mudanças no Status, Veredicto do Analista, Gravidade e Alvos da história.
-
-
Resposta - Selecione a resposta para quando a regra for correspondida. As respostas podem incluir gerar um evento e notificações definidas por Grupos de Assinatura, Lista de E-mails, ou Integração de Webhooks.
Crie uma nova regra de Política de Resposta e configure as configurações da regra para definir quando uma notificação de história é enviada.
Para criar uma nova regra de Política de Resposta:
-
No menu de navegação, clique em Inicial > Política de Detecção & Resposta.
-
Selecione a aba Política de Resposta.
-
Clique em Novo. O painel Adicionar à Política de Resposta é aberto.
-
Insira um Nome para a regra.
-
Na seção Fonte, selecione o tipo (por exemplo: Host, Intervalo de IP, Site) e então selecione um ou mais objetos para a fonte da história para esta regra (ou você pode inserir um endereço IP).
O valor Padrão da Fonte é Qualquer.
-
(Opcional) Defina Critérios que especifiquem as características que uma história deve ter para corresponder à regra.
-
Selecione o Gatilho para a regra.
-
Selecione a Resposta. Se você selecionar Enviar Notificação, então defina o Grupo de Assinatura, Lista de E-mails, ou Integração para receber a notificação.
-
Clique em Salvar. A regra é adicionada à política.
Para enviar dados de Histórias XDR para um terceiro usando uma integração de Webhook, você precisa:
-
Configurar a integração de terceiros no CMA
-
Criar a regra necessária na Política de Resposta
Você pode definir uma integração de Webhook para enviar alertas para plataformas de terceiros, como ServiceNow, Jira e Slack, e criar fluxos de automação baseados em alertas. Os Webhooks da Cato suportam cabeçalhos HTTP e mensagens personalizáveis no alerta para atender às necessidades específicas da sua organização. Para mais informações, veja Criando uma Integração de Alerta Webhooks.
Após definir a integração de terceiros, crie uma regra na Política de Resposta.
Para criar uma regra para uma integração de terceiros:
-
Siga os passos 1-7 em Criando Novas Regras de Política de Resposta.
-
Na seção Resposta, selecione Enviar Notificação.
-
No drop-down Enviar notificação para, selecione Integração.
-
No drop-down Integração, selecione a integração que você deseja usar na regra.
-
Clique em Salvar. A regra é adicionada à política.
A página de Eventos mostra todos os eventos de histórias XDR gerados para sua conta. Você pode filtrar a página para mostrar os eventos usando o Tipo de Evento Detecção e Resposta.
Abaixo estão os campos relevantes para eventos de histórias do XDR. A query eventsFeed da API da Cato mostra dados para histórias XDR nestes campos para tipo eventFieldName.
Valor enum API |
Campo do Evento |
Comentários |
---|---|---|
user_display_name |
Nome de Exibição do Usuário |
|
analyst_verdict |
Veredicto do Analista |
|
criticality |
Criticidade |
|
device_name |
Nome do Dispositivo |
|
event_count |
Contagem de Eventos |
Para Histórias XDR, os eventos não são agregados automaticamente, portanto, a Contagem de Eventos geralmente terá um valor de 1. |
sub-tipo |
Sub-tipo |
|
tipo_de_evento |
Tipo de Evento |
Para eventos de história XDR, o Tipo de Evento é Detecção e Resposta. |
indicação |
Indicação |
|
id_interno_evento |
ID Interno do Evento |
|
produtor |
Produtor |
O motor que gerou a história. Valores possíveis: Prevenção de Ameaças, Caça a Ameaças, Anomalia de Uso, Eventos Anômalos, Alerta de Endpoint da Microsoft. |
regra |
Regra |
Nome da regra da Política de Resposta que gerou o evento. |
ip_origem |
IP de Origem |
|
fonte_é_site_ou_usuário_sdp |
Fonte é Site ou Usuário |
|
site_origem |
Site de Origem |
|
Estado |
Status |
|
id_história |
ID da História |
|
nome_ameaça |
Nome da Ameaça |
|
tipo_ameaça |
Tipo de Ameaça |
|
tempo |
Tempo |
|
vendedor |
Fornecedor |
Valores possíveis: Microsoft (para histórias de Alerta de Endpoint Microsoft), Cato. |
dados_adicionais |
N/A |
Dados de história que não estão incluídos nos outros campos de eventos. Este campo está incluído nos eventos exportados, mas não é mostrado na página de Eventos. Nota: Este campo é exportado como dados brutos e não analisados, e pode conter caracteres de escape. Este formato está sujeito a alterações. |
0 comentário
Por favor, entre para comentar.