Este artigo explica como usar webhooks e outras notificações com a Política de Resposta XOps que define quando você será notificado para novas e atualizadas histórias de XOps, e quando os eventos são gerados.
Para mais informações sobre histórias XOps, veja Revisando Histórias de Detecção & Resposta XOps na Bancada de Trabalho de Histórias
A Política de Resposta ajuda você a monitorar histórias XOps definindo quando as notificações para histórias são enviadas a administradores e analistas, e quando eventos são gerados para as histórias. Você pode criar regras que definem os critérios da história para enviar notificações e gerar eventos, e pode usar grupos de assinatura, listas de e-mails e integrações de terceiros para configurar quais administradores recebem as notificações.
Por exemplo, você pode criar regras que enviam notificações:
-
Se a Criticidade da história é alta
-
Quando novas histórias são criadas para uma fonte específica (como um site ou faixa de IP)
-
Quando os alvos da história são atualizados
-
Para histórias de Segurança com uma indicação específica de ataque
-
Para Operações de Site para problemas específicos, como um site ou link está desativado
Nota
Nota: Por padrão, notificações não são enviadas para Operações de Site que correspondem a uma regra de Histórias Silenciadas.
Por padrão, eventos de história XOps não são gerados. Eventos são gerados apenas de acordo com as regras configuradas. Quando você define regras que geram eventos para histórias XOps, você pode visualizá-los na página de Eventos, para mais informações, veja Analisando Eventos na Sua Rede.
Você também pode integrar eventos para histórias XOps com seus serviços e fluxos de trabalho de terceiros existentes.
-
Para uma lista de integrações suportadas por fornecedores para eventos Cato, veja Integrações de Terceiros Suportadas para Dados Cato
-
Para mais sobre enviar eventos para uma conta de armazenamento de terceiros (como AWS ou Azure), veja os artigos na seção Integração de Eventos
A página Eventos mostra um número definido de campos por evento. Para acessar os dados completos da História, exporte-o como um arquivo JSON disponível no campo "additional_data". Você também pode criar um filtro para exportar apenas os dados que você precisa. Para mais sobre campos de eventos XOps, veja abaixo Campos de Evento e API Cato para Eventos de História XOps.
Quando você adiciona uma regra à Política de Resposta, configure cada seção na regra que é necessária para definir as condições para enviar uma notificação ou gerar um evento.
Por exemplo, se você quiser gerar um evento para cada história XOps que é criada ou atualizada, configure uma regra com a Fonte como Qualquer, e o Gatilho como História Criada ou Atualizada.
Nota
Nota: Para clientes MDR, por favor, contate <mdr@catonetworks.com> para definir regras de Política de Resposta para a sua conta. Isso pode ser substituído selecionando-o como uma condição.
Uma regra de Política de Resposta tem as seguintes seções:
-
Nome - O nome que você atribui para a regra
-
Descrição para a regra
-
Fonte - A fonte do tráfego na sua rede envolvida na história. Por exemplo: Site, endereço IP, ou usuário
Para mais sobre itens Fonte para uma regra, veja Referência para Objetos de Regra.
-
Critérios - Características da história para corresponder à regra. Quando você adiciona critérios, selecione o tipo de critério, valor, e o operador que determina a relação entre o critério e o valor. Por exemplo: Criticidade | Maior Que | 6.
Os critérios configuráveis de história incluem os seguintes: Criticidade, Severidade, Indicação, Veredito do Analista, Produtor, Alvos Adicionados e Status. Para mais sobre esses critérios de história, veja Revisando Histórias de Detecção & Resposta XOps na Bancada de Trabalho de Histórias
-
O Produtor é o motor que gera a história. Para mais sobre Operações de Site, veja Revisando Histórias de Operações de Site. Para mais sobre os motores XOps e seus tipos de licença necessários, veja Usando o Catálogo de Indicações
-
Você pode configurar vários valores para os seguintes critérios: Indicação, Veredito do Analista, Severidade e Produtor. Quando você adiciona múltiplos valores em uma única entrada de critério, há uma relação OU entre eles.
-
-
Gatilho - Define quando o motor da Política de Resposta verifica uma história para correspondência da regra. Configurações incluem:
-
História Criada - O motor da Política de Resposta verifica a correspondência com a regra quando uma nova história é criada. Histórias existentes que são atualizadas não são verificadas para correspondência com a regra.
-
História Criada ou Atualizada - O motor da Política de Resposta verifica a correspondência com a regra quando uma nova história é criada ou quando uma história existente é atualizada. Atualizações podem incluir mudanças no Status, Veredito do Analista, Severidade, e Alvos da história.
-
-
Resposta - Selecione a resposta para quando a regra for correspondida. As respostas podem incluir gerar um evento e notificações definidas por Grupos de Assinatura, Lista de E-mails, ou Integração de Webhooks.
Crie uma nova regra de Política de Resposta e configure as configurações da regra para definir quando uma notificação de história será enviada.
Para criar uma nova regra de Política de Resposta:
-
No menu de navegação, clique em Inicial > Política de Detecção & Resposta.
-
Selecione a aba Política de Resposta.
-
Clique em Novo. O painel Adicionar à Política de Resposta se abre.
-
Insira um Nome para a regra.
-
Na seção Fonte, selecione o tipo (por exemplo: Host, Faixa de IP, Site) e então selecione um ou mais objetos para a fonte da história para esta regra (ou você pode inserir um endereço IP).
O valor padrão Fonte é Qualquer.
-
(Opcional) Defina Critérios que especificam as características que uma história deve ter para corresponder à regra.
-
Selecione o Gatilho para a regra. Você pode configurar se o gatilho deve ser quando uma história é criada, atualizada ou ambos.
-
Selecione a Resposta. Se você selecionar Enviar Notificação, então defina o Grupo de Assinatura, Lista de E-mails, ou Integração para receber a notificação.
-
Clique em Salvar. A regra é adicionada à política.
Para enviar dados de Histórias XOps para um terceiro usando uma integração de Webhook, você precisa:
-
Configurar a integração de terceiros na CMA
-
Criar a regra necessária na Política de Resposta
Você pode definir uma integração de Webhook para enviar alertas para plataformas de terceiros como ServiceNow, Jira, e Slack, e criar fluxos de automação baseados em alertas. Os Webhooks da Cato suportam cabeçalhos HTTP personalizáveis e mensagens no alerta para atender às necessidades específicas de sua organização. Para mais informações, veja Enviando Notificações CMA via Webhooks.
Depois de definir a integração de terceiros, crie uma regra na Política de Resposta.
Para criar uma regra para uma integração de terceiros:
-
Siga os passos 1-7 em Criando Novas Regras de Política de Resposta.
-
Na seção Resposta, selecione Enviar Notificação.
-
No drop-down Enviar notificação para, selecione Integração.
-
No drop-down de Integração, selecione a integração que você quer usar na regra.
-
Clique em Salvar. A regra é adicionada à política.
A página de Eventos mostra todos os eventos de história XOps gerados para sua conta. Você pode filtrar a página para mostrar os eventos usando o Tipo de Evento Detecção e Resposta.
Abaixo estão os campos relevantes para eventos de histórias. A consulta eventsFeed da API da Cato mostra dados para histórias XOps nestes campos para o tipo eventFieldName.
|
Valor de Enum da API |
Campo de Evento |
Comentários |
|---|---|---|
|
user_display_name |
Nome de Exibição do Usuário |
|
|
analyst_verdict |
Veredito do Analista |
|
|
criticality |
Criticidade |
|
|
device_name |
Nome do Dispositivo |
|
|
event_count |
Contagem de Eventos |
Para Histórias XOps, os eventos não são automaticamente agregados, portanto a Contagem de Eventos geralmente terá um valor de 1. |
|
sub-type |
Subtipo |
|
|
event_type |
Tipo de Evento |
Para eventos de história XOps, o Tipo de Evento é Detecção e Resposta. |
|
indication |
Indicação |
|
|
event_internal_id |
ID Interno do Evento |
|
|
producer |
Produtor |
O motor que gerou a história. Valores possíveis: Prevenção de Ameaças, Caça a Ameaças, Anomalia de Uso, Eventos Anômalos, Alerta de Endpoint da Microsoft. |
|
rule |
Regra |
Nome da regra da Política de Resposta que gerou o evento. |
|
source_ip |
IP de Origem |
|
|
source_is_site_or_sdp_user |
Fonte é Site ou Usuário |
|
|
source_site |
Site de Origem |
|
|
status |
Status |
|
|
story_id |
ID da História |
|
|
threat_name |
Nome da Ameaça |
|
|
threat_type |
Tipo de Ameaça |
|
|
time |
Hora |
|
|
vendor |
Fornecedor |
Valores possíveis: Microsoft (para histórias de Alerta de Endpoint da Microsoft), Cato. |
|
additional_data |
N/A |
Dados da história que não estão incluídos nos outros campos de evento. Este campo está incluído em eventos exportados, mas não é mostrado na página de Eventos. Nota: Este campo é exportado como dados brutos não analisados e pode conter caracteres de escape. Este formato está sujeito a alterações. |
0 comentário
Por favor, entre para comentar.