Este artigo descreve as capacidades de operações de Segurança e Rede da plataforma Cato XOps e o que está incluído nos diferentes níveis de licença XOps.
A plataforma Cato XOps permite que as equipes de Operações de Segurança e Operações de Rede utilizem IA e automação para monitorar a rede da organização em busca de ameaças de segurança e problemas de desempenho da rede. O XOps transforma quantidades incalculáveis de eventos brutos de segurança e rede em histórias consumíveis, multifuncionais e acionáveis.
A plataforma inclui motores de correlação avançados de muitos tipos diferentes que analisam dados de tráfego para encontrar correspondências para indicações específicas de atividades de ameaça ou problemas de rede. Quando um motor encontra uma correspondência, ele produz uma história que pode ser revisada e investigada no Aplicativo de Gerenciamento Cato (CMA). O CMA se refere a esses motores como Produtores.
Cada história XOps contém dados de fluxos de tráfego com propriedades comuns que se relacionam à mesma ameaça ou problema de rede. A página Stories Workbench mostra os detalhes de cada história para ajudar você a entendê-las e analisá-las. Você pode classificar e filtrar as histórias para encontrar os ataques potenciais mais importantes e então aprofundar em uma história para investigar mais detalhes.
Estes são os nomes e descrições dos vários produtores de histórias XOps:
-
Prevenção de Ameaças - O produtor de Prevenção de Ameaças do Cato XOps detecta um conjunto específico de comportamentos de ataque em eventos gerados pelos serviços de segurança em tempo real da Cato, como IPS e Anti-Malware. As histórias de Prevenção de Ameaças ajudam os analistas a focar em ameaças imediatas e de alta confiança.
As histórias de Prevenção de Ameaças geralmente são baseadas em eventos de bloqueio correlacionados, ou seja, eventos de tráfego que foram bloqueados por um dos serviços de segurança. No entanto, mesmo que o tráfego já tenha sido bloqueado, é possível que esse tráfego esteja relacionado a uma ameaça em andamento. A história XOps permite investigar o contexto e os detalhes do tráfego suspeito para ajudar a determinar se ainda há uma ameaça que requer mais mitigação.
Para mais informações sobre histórias de Prevenção de Ameaças, consulte Analisando em Profundidade XOps Histórias de Segurança.
-
Caça às Ameaças - O produtor de Caça às Ameaças escaneia continuamente a vasta quantidade de dados históricos de tráfego armazenados na lago de dados para detectar padrões de tráfego que indicam ameaças potenciais. Ao contrário do produtor de Prevenção de Ameaças, que foca em eventos recentes, o produtor de Caça a Ameaças busca correlações ao longo do tempo nos dados de tráfego armazenados. As correlações são identificadas em uma semana de dados para garantir precisão. Além disso, enquanto o produtor de Prevenção de Ameaças olha para dados nos registros de eventos, o produtor de Caça a Ameaças analisa um conjunto mais amplo de dados dos fluxos de tráfego. Isso permite que o produtor de Caça a Ameaças detecte ameaças mais evasivas que são difíceis de identificar com métodos convencionais porque geram uma assinatura mais baixa e difícil de detectar.
O seguinte é a página de Visão Geral para uma história de Caça a Ameaças que identificou 40 diferentes fluxos de tráfego (sinais) relacionados a uma ameaça de phishing por cybersquatting:
Para mais informações sobre histórias de Caça às Ameaças, consulte Analisando em Profundidade XOps Histórias de Segurança.
-
Anomalia de Uso - Parte das capacidades de Análises de Comportamento de Usuários e Entidades (UEBA) da Cato, esse produtor compara atividade de rede de usuários e sites com referências calculadas por algoritmos de aprendizado de máquina, e gera histórias para desvios suspeitos em relação aos níveis de uso de referência. Por exemplo, um usuário específico é detectado usando mais largura de banda ascendente do que o usual.
Para mais informações sobre histórias de Anomalias de Uso, consulte Analisando XOps Histórias de UEBA para Anomalias de Uso e Eventos.
-
Anomalia de Eventos - Outro elemento nas capacidades de UEBA da Cato, esse produtor detecta indicações que envolvem uma entidade na rede que aciona um número incomum de eventos de Segurança. Por exemplo, um usuário está associado a um número incomumente grande de eventos de bloqueio de IPS para tráfego em uma direção específica, o que pode indicar uma possível infecção no dispositivo do usuário.
Para mais informações sobre histórias de Anomalias de Eventos, consulte Analisando XOps Histórias de UEBA para Anomalias de Uso e Eventos.
-
Anomalia de Experiência: Detecta mudanças incomuns na experiência da aplicação para sites e aplicações específicas. Após monitorar uma aplicação por 14 dias, cria uma linha de base usando TTFB (Tempo até o Primeiro Byte). O produtor verifica então o tráfego uma vez por dia e gera uma história quando a experiência da aplicação é significativamente diferente da linha de base. A história ajuda você a revisar o site afetado, a aplicação, os fluxos de tráfego e possíveis problemas de desempenho.
-
Operações de Conta: Detecta problemas a nível de conta que podem impactar usuários, sites e serviços. Isso inclui problemas como falhas de sincronização de diretório, exaustão de licença, certificados expirados, problemas de conector e outros problemas de configuração ou operacionais. O produtor gera histórias que ajudam você a entender o problema, revisar seu escopo e impacto, e seguir etapas de remediação guiadas para restaurar a operação normal.
-
Insight Preditivo: Detecta potenciais riscos de desempenho e disponibilidade antes que impactem o serviço. Ele analisa tendências de rede, uso de recursos e contexto de configuração para prever problemas em desenvolvimento. Por exemplo, ele pode gerar uma história quando um socket de site estiver prestes a exceder o uso aceitável de CPU. A história ajuda você a revisar a previsão, entender quando o problema pode se tornar crítico e seguir passos de remediação guiados.
-
Alertas de Microsoft Endpoint - Clientes que usam Microsoft Defender para Endpoint podem integrar os dados de alerta do Defender com Cato XOps para produzir histórias para dispositivos endpoint. O produtor de Alertas de Endpoint da Microsoft cria uma história correlacionando dados de Alertas do Defender que ocorreram no mesmo dispositivo em um período de 24 horas. Histórias de Alerta de Endpoint incluem todas as evidências relevantes para o Alerta detectado pelo Defender. Ao expandir o foco para o endpoint, estas histórias ajudam você a ter uma imagem mais completa de ameaças potenciais na sua rede.
Para mais informações sobre a integração do Defender for Endpoint com o Cato XOps, consulte Microsoft Defender para Avisos de Endpoint: Configuração da Integração do XOps.
-
Alertas de Microsoft Entra ID - Você pode integrar dados de alerta da Microsoft Entra ID Protection para gerar histórias de Cato XOps. Isso permite que analistas incluam dados de sign-ins de risco dentro do contexto mais amplo de investigações XOps. O motor de Alertas de Identidade da Cato Entra cria uma história ao correlacionar dados de alertas de Proteção de ID do Entra que ocorreram para o mesmo usuário em um período de 24 horas.
Para mais informações sobre a integração dos Alertas Entra ID com o Cato XOps, consulte Microsoft Entra ID: Configuração da Integração do XOps.
-
Detecção e Resposta de Nuvem: Usa problemas do Wiz para detectar riscos em ambientes de nuvem. Isto inclui configurações inseguras, aplicações vulneráveis, credenciais expostas e detecções de ameaças. O produtor processa questões do Wiz quase em tempo real e gera histórias na Bancada de Trabalho de Histórias. Essas histórias combinam inteligência de nuvem do Wiz com o contexto do Cato, ajudando você a investigar riscos de nuvem e identificar possíveis ataques entre ambientes.
-
Alertas de Endpoint Cato - A solução EPP da Cato integra-se com o XOps da Cato para gerar histórias para dispositivos de endpoint. O produtor de Alertas de Endpoint Cato cria uma história ao correlacionar dados de todos os alertas EPP da Cato que ocorreram no mesmo dispositivo em um período de 24 horas. Histórias de Alertas de Endpoint Cato incluem todas as evidências relevantes detectadas pelo EPP da Cato.
Para mais informações sobre histórias de Alertas de Endpoint Cato, consulte Cato Endpoint Protection (EPP): Configuração da Integração do XOps.
-
Alertas SentinelOne - Clientes que usam SentinelOne podem integrar dados do SentinelOne EDR para gerar histórias para dispositivos endpoint. O produtor SentinelOne cria uma história ao correlacionar dados de incidentes do SentinelOne EDR com base no UUID do Agente (ID do Dispositivo) e o Hash do arquivo de ameaça dentro de 90 dias. Essas histórias incluem todas as evidências relevantes para os incidentes detectados pelo SentinelOne. Histórias são criadas quase em tempo real após o alerta original ser gerado.
Para mais informações sobre a integração de Alertas SentinelOne, consulte SentinelOne EDR: Configuração da Integração do XOps.
-
Alertas CrowdStrike - Clientes que usam CrowdStrike podem integrar dados de detecções CrowdStrike com base no ID do incidente. Essas histórias incluem todas as evidências relevantes para a detecção identificada pela CrowdStrike. Histórias são criadas quase em tempo real após o alerta original ser gerado.
Para mais informações sobre a integração de Alertas CrowdStrike, consulte CrowdStrike: Configuração da Integração do XOps.
-
Operações de Site - Cato XOps apresenta o único produtor de AIOps chamado Operações de Site (anteriormente conhecido como Network XDR) que converge operações de Rede com operações de Segurança em uma única plataforma. Este produtor detecta diferentes indicações e métricas relacionadas à conectividade e desempenho, e gera histórias que correlacionam dados para problemas concernentes à rede. Por exemplo, se um link WAN está intermitentemente experienciando alta perda de pacotes, o produtor cria uma única história com todos os dados relevantes para o link.
Para mais informa0ções sobre as histórias de Rede no Cato XOps, consulte Revisando Histórias de Opera0ções de Site.
Esta seção fornece casos de uso para cada produtor:
Cenário
Um usuário clica em um link de phishing e é redirecionado para um site que hospeda um kit de exploração.
Como funciona
O IPS da Cato detecta a tentativa de exploração em tempo real e bloqueia o tráfego antes que ele atinja o endpoint.
História
O produtor de Prevenção de Ameaças cria uma história mostrando:
-
Identidade e localização do usuário
-
Assinatura do kit de exploração (por exemplo, referência CVE)
-
Ação tomada (tráfego foi bloqueado)
Resultado
As equipes de segurança rapidamente sabem que uma tentativa de exploração ocorreu, sem infecção no endpoint. Eles podem rastrear se o email de phishing chegou a usuários adicionais. A aba Histórias Semelhantes exibe qualquer outro usuário que tentou acessar o mesmo domínio, e a página Eventos fornece uma análise detalhada da assinatura IPS e CVE para identificar se elas surgiram em outro lugar na rede.
Cenário
Um dispositivo comunica-se com um IP externo raro todas as noites às 2 horas da manhã. O IP não está em feeds de ameaças, mas o padrão de comunicação parece suspeito.
Como funciona
O mecanismo de Caça às Ameaças analisa o tráfego histórico no lago de dados. Ele identifica esse padrão incomum de beaconing ao longo de várias semanas.
História
O produtor constrói uma história ligando:
-
Fluxos repetidos do mesmo host
-
Características de destino suspeitas (baixa reputação, ASN incomum)
-
Linha do tempo da atividade
Resultado
Analistas de SOC investigam e descobrem malware usando um canal de comando e controle. Detecção precoce previne exfiltração de dados.
Cenário
Um funcionário de RH normalmente faz upload de ~50 MB de arquivos semanalmente. De repente, ele faz upload de 5 GB para um site de compartilhamento de arquivos externo.
Como funciona
O produtor de Anomalias de Uso utiliza aprendizado de máquina para comparar a atividade atual com o padrão do usuário. O pico é sinalizado.
História
A história mostra:
-
Padrão normal vs. novo comportamento
-
Destino (Dropbox, Google Drive, etc.)
-
Timestamp e volume de tráfego
Resultado
A segurança investiga e descobre que o usuário enviou acidentalmente arquivos confidenciais para uma conta pessoal. Os arquivos são removidos, e a Cato recomenda o aperto dos controles de DLP para prevenir tais casos no futuro.
Cenário
Um dispositivo IoT começa a se comunicar em uma nova direção de tráfego, enviando dados para a internet, uma direção de tráfego nunca vista antes por este dispositivo, cujo comportamento regular é comunicar-se apenas dentro da WAN.
Como funciona
O produtor de Anomalias de Eventos identifica a variação na frequência dos eventos, nos usuários, sites ou dispositivos.
História
A história destaca:
-
Comportamento usual observado deste dispositivo (comunicação WAN)
-
Comportamento anômalo: Múltiplas solicitações para endereços IP externos, associados a feeds de inteligência de ameaças
Resultado
A equipe confirma uma tentativa de comando e controle via dispositivo IoT. O dispositivo é contido e a comunicação maliciosa é bloqueada.
Cenário
O Microsoft Defender for Endpoint detecta um script malicioso do PowerShell em uma estação de trabalho.
Como funciona
O alerta é encaminhado do Microsoft Defender para o Cato via conector.
História
A plataforma XOps correlaciona histórias deste produtor, alertas de endpoint, com histórias relacionadas de outros produtores (por exemplo, tráfego de saída para IPs suspeitos).
Resultado
A equipe SOC recebe uma visão unificada de malware de endpoint e comportamento de rede correspondente, permitindo contenção mais rápida e análise de causa raiz.
Cenário
Um escritório filial experimenta problemas de conectividade intermitente, o link do ISP principal fica subindo e descendo repetidamente (flapping), interrompendo o acesso a aplica0ções em nuvem e túneis VPN.
Como funciona
O mecanismo de Opera0ções de Site da Cato monitora continuamente a sa0de dos links. Quando múltiplos eventos de Link down e Link up ocorrem próximos uns dos outros, ele os agrupa em uma única história—identificando um padrão de instabilidade ao invés de incidentes isolados.
História
A história exibe:
-
Site afetado e link WAN específico
-
Cronograma de flaps de link correlacionados ao longo da janela de monitoramento
-
Análise identificando comportamento de flapping (por exemplo, cinco eventos de link-down em 10 minutos)
Resultado
O motor de Operações de Site agrega todos os eventos relacionados em uma única história correlacionada, reduzindo o ruído de alerta e destacando um potencial problema de link crônico. A equipe de TI é notificada proativamente, e muda para o link de ISP de backup, e trabalha com o provedor para resolver a causa raiz - minimizando o tempo de inatividade e prevenindo interrup0ções de serviço repetidas.
Sua licença XOps determina os produtores disponíveis para sua conta, e se o serviço é gerido pela Cato. Todos os níveis de licença se beneficiam das ferramentas da plataforma XOps no Aplicativo de Gerenciamento Cato, incluindo:
A tabela abaixo descreve os níveis de licença XOps que entrarão em vigor a partir de 6 de agosto de 2025. e explica quais produtores estão disponíveis para cada nível. Por favor, entre em contato com seu representante Cato ou revendedor oficial para mais informações sobre a compra de licenças XOps.
|
Licença |
Descrição |
|---|---|
|
Sem licença |
Se um conector estiver configurado, eventos são criados pelos seguintes produtores:
|
|
XOps |
Um nível pago e não gerido que inclui o seguinte conjunto de produtores que correlacionam dados em uma história, a plataforma para investigá-los, recomendações de mitigação e ações de mitigação:
|
|
MDR |
Um nível pago incluindo um serviço SOC gerenciado 24/7 que aprimora a segurança e o gerenciamento de histórias. Este serviço é fornecido pela equipe de Detecção e Resposta Gerida da Cato e inclui:
|
0 comentário
Por favor, entre para comentar.