Criando a Política de Resposta para Histórias XDR

Este artigo explica como usar webhooks e outras notificações com a Política de Resposta XDR, que define quando você é notificado para novas histórias XDR e atualizações, e quando eventos são gerados.

Para mais informações sobre histórias XDR, veja Revisando Histórias de Detecção & Resposta (Segurança XDR) na Bancada de Trabalho de Histórias

Visão Geral

A Política de Resposta ajuda você a monitorar histórias XDR de Segurança e Rede ao definir quando notificações para histórias são enviadas a administradores e analistas, e quando eventos são gerados para as histórias. Você pode criar regras que definem os critérios da história para enviar notificações e gerar eventos, e pode usar grupos de assinatura, listas de e-mail e integrações de terceiros para configurar quais administradores recebem as notificações.

Por exemplo, você pode criar regras que enviem notificações:

  • Se a Criticidade da história for alta

  • Quando novas histórias são criadas para uma fonte específica (como um site ou Faixa de IP)

  • Quando os alvos da história são atualizados

  • Para histórias de Segurança com uma indicação específica de ataque

  • Para histórias de Rede para problemas específicos, como um site ou link desconectado

Nota

Nota: Por padrão, as notificações não são enviadas para histórias de Rede que correspondem a uma regra de Histórias Silenciadas.

Gerando Eventos para Histórias XDR e Exportando para Serviços de Terceiros

Por padrão, eventos de histórias XDR não são gerados. Os eventos só são gerados de acordo com as regras configuradas. Quando você define regras que geram eventos para histórias XDR, pode visualizá-los na página de Eventos, para mais informações, veja Analisando Eventos na Sua Rede.

Você também pode integrar eventos para histórias XDR com seus serviços e fluxos de trabalho de terceiros existentes:

A página de Eventos mostra um número definido de campos por evento. Para acessar os dados completos da História, exporte-os como um arquivo JSON disponível no campo additional_data. Você também pode criar um filtro para exportar apenas os dados que você necessita. Para mais sobre campos de eventos XDR, veja abaixo Campos de Evento e API Cato para Eventos de Histórias XDR.

Adicionando Regras à Política de Resposta XDR

Quando você adiciona uma regra à Política de Resposta, configure cada seção na regra que é necessária para definir as condições para enviar uma notificação ou gerar um evento.

Por exemplo, se você quer gerar um evento para cada história XDR que é criada ou atualizada, configure uma regra com a Fonte como Qualquer, e o Gatilho como História Criada ou Atualizada.

Nota

Nota: Para clientes MDR, por favor contate para definir regras de Política de Resposta para sua conta.

Resposta_Política.png

Configurações de Regras de Política de Resposta

Uma regra de Política de Resposta tem as seguintes seções:

  • Nome - O nome que você atribui para a regra

  • Descrição para a regra

  • Fonte - A fonte de tráfego na sua rede envolvida na história. Por exemplo: Site, Endereço IP ou usuário

    Para mais sobre itens Fonte para uma regra, veja Referência para Objetos de Regra.

  • Critérios - Características da história para corresponder à regra. Quando você adiciona critérios, selecione o tipo de critério, valor, e o operador que determina a relação entre os critérios e o valor. Por exemplo: Criticidade | Maior Que | 6.

    Critérios configuráveis da história incluem: Criticidade, Severidade, Indicação, Veredito do Analista, Produtor, Alvos Adicionados, Status. Para mais sobre esses critérios de história, veja Revisando Histórias de Detecção & Resposta (XDR) na Bancada de Trabalho de Histórias

    • O critério Produtor é o motor que gera a história e inclui tanto os motores XDR de Segurança quanto de Rede. Para mais informações sobre o Network XDR, veja Reviewing Network Stories in XDR . Para mais informações sobre os motores de Segurança XDR e seus tipos de licença necessários, veja Using the Indications Catalog

    • Você pode configurar múltiplos valores para os seguintes critérios: Indicação, Veredicto do Analista, Severidade, Produtor. Quando você adiciona múltiplos valores a uma única entrada de critério, existe uma relação OU entre eles.

  • Gatilho - Define quando o motor de Política de Resposta verifica se uma história corresponde à regra. As configurações incluem:

    • História Criada - O motor de Política de Resposta verifica a correspondência com a regra quando uma nova história é criada. Histórias existentes que são atualizadas não são verificadas para corresponder à regra.

    • História Criada ou Atualizada - O motor de Política de Resposta verifica a correspondência com a regra quando uma nova história é criada ou quando uma história existente é atualizada. As atualizações podem incluir mudanças no Status, Veredicto do Analista, Gravidade e Alvos da história.

  • Resposta - Selecione a resposta para quando a regra for correspondida. As respostas podem incluir gerar um evento e notificações definidas por Grupos de Assinatura, Lista de E-mails, ou Integração de Webhooks.

Criando Novas Regras de Política de Resposta

Crie uma nova regra de Política de Resposta e configure as configurações da regra para definir quando uma notificação de história é enviada.

Response_Policy_New_rule_panel.png

Para criar uma nova regra de Política de Resposta:

  1. No menu de navegação, clique em Inicial > Política de Detecção & Resposta.

  2. Selecione a aba Política de Resposta.

  3. Clique em Novo. O painel Adicionar à Política de Resposta é aberto.

  4. Insira um Nome para a regra.

  5. Na seção Fonte, selecione o tipo (por exemplo: Host, Intervalo de IP, Site) e então selecione um ou mais objetos para a fonte da história para esta regra (ou você pode inserir um endereço IP).

    O valor Padrão da Fonte é Qualquer.

  6. (Opcional) Defina Critérios que especifiquem as características que uma história deve ter para corresponder à regra.

  7. Selecione o Gatilho para a regra.

  8. Selecione a Resposta. Se você selecionar Enviar Notificação, então defina o Grupo de Assinatura, Lista de E-mails, ou Integração para receber a notificação.

  9. Clique em Salvar. A regra é adicionada à política.

Criando uma Integração de Webhook

Para enviar dados de Histórias XDR para um terceiro usando uma integração de Webhook, você precisa:

  1. Configurar a integração de terceiros no CMA

  2. Criar a regra necessária na Política de Resposta

Etapa 1: Configurar a Integração de Terceiros

Você pode definir uma integração de Webhook para enviar alertas para plataformas de terceiros, como ServiceNow, Jira e Slack, e criar fluxos de automação baseados em alertas. Os Webhooks da Cato suportam cabeçalhos HTTP e mensagens personalizáveis no alerta para atender às necessidades específicas da sua organização. Para mais informações, veja Criando uma Integração de Alerta Webhooks.

Etapa 2: Criar a Regra Necessária

Após definir a integração de terceiros, crie uma regra na Política de Resposta.

Response.png

Para criar uma regra para uma integração de terceiros:

  1. Siga os passos 1-7 em Criando Novas Regras de Política de Resposta.

  2. Na seção Resposta, selecione Enviar Notificação.

  3. No drop-down Enviar notificação para, selecione Integração.

  4. No drop-down Integração, selecione a integração que você deseja usar na regra.

  5. Clique em Salvar. A regra é adicionada à política.

Campos de Eventos e API da Cato para Eventos de Histórias do XDR

A página de Eventos mostra todos os eventos de histórias XDR gerados para sua conta. Você pode filtrar a página para mostrar os eventos usando o Tipo de Evento Detecção e Resposta.

Abaixo estão os campos relevantes para eventos de histórias do XDR. A query eventsFeed da API da Cato mostra dados para histórias XDR nestes campos para tipo eventFieldName.

Valor enum API

Campo do Evento

Comentários

user_display_name

Nome de Exibição do Usuário

analyst_verdict

Veredicto do Analista

criticality

Criticidade

device_name

Nome do Dispositivo

event_count

Contagem de Eventos

Para Histórias XDR, os eventos não são agregados automaticamente, portanto, a Contagem de Eventos geralmente terá um valor de 1.

sub-tipo

Sub-tipo

tipo_de_evento

Tipo de Evento

Para eventos de história XDR, o Tipo de Evento é Detecção e Resposta.

indicação

Indicação

id_interno_evento

ID Interno do Evento

produtor

Produtor

O motor que gerou a história. Valores possíveis: Prevenção de Ameaças, Caça a Ameaças, Anomalia de Uso, Eventos Anômalos, Alerta de Endpoint da Microsoft.

regra

Regra

Nome da regra da Política de Resposta que gerou o evento.

ip_origem

IP de Origem

fonte_é_site_ou_usuário_sdp

Fonte é Site ou Usuário

site_origem

Site de Origem

Estado

Status

id_história

ID da História

nome_ameaça

Nome da Ameaça

tipo_ameaça

Tipo de Ameaça

tempo

Tempo

vendedor

Fornecedor

Valores possíveis: Microsoft (para histórias de Alerta de Endpoint Microsoft), Cato.

dados_adicionais

N/A

Dados de história que não estão incluídos nos outros campos de eventos. Este campo está incluído nos eventos exportados, mas não é mostrado na página de Eventos.

Nota: Este campo é exportado como dados brutos e não analisados, e pode conter caracteres de escape. Este formato está sujeito a alterações.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário