Este artigo descreve as capacidades de Operações de Segurança e Rede da plataforma XOps da Cato, e o que está incluído nos diferentes níveis de licenças XOps.
Nota
Nota: XOps é a camada de análise unificada da Cato para segurança e operações, oferecendo insights e remediação orientada. XOps substituiu XDR, para mais informações, consulte XOps FAQ.
A plataforma Cato XOps (anteriormente XDR) permite que as equipes de operações de Segurança e Rede utilizem IA e automação para monitorar a rede da organização tanto para ameaças de segurança quanto para problemas de desempenho de rede. XOps transforma quantidades incontroláveis de eventos brutos de segurança e rede em histórias consumíveis, multifuncionais e acionáveis.
A plataforma inclui motores de correlação avançados de vários tipos que analisam os dados de tráfego para encontrar correspondências com indicações específicas de atividades de ameaça ou problemas de rede. Quando um motor encontra uma correspondência, ele gera uma história que pode ser revisada e investigada no Aplicativo de Gerenciamento Cato (CMA). CMA se refere a esses motores como Produtores.
Cada história XOps contém dados de fluxos de tráfego com propriedades comuns que se relacionam com a mesma ameaça ou problema de rede. A página Bancada de Trabalho de Histórias mostra os detalhes de cada história para ajudar você a entendê-las e analisá-las. Você pode ordenar e filtrar as histórias para encontrar os ataques potenciais mais importantes e, em seguida, aprofundar em uma história para investigar mais os detalhes.
Estes são os nomes e descrições dos vários produtores de histórias XOps:
-
Prevenção de Ameaças - O produtor de Prevenção de Ameaças do Cato XOps detecta um conjunto específico de comportamentos de ataque em eventos gerados pelos serviços de segurança em tempo real da Cato, como IPS e Anti-Malware. As histórias de Prevenção de Ameaças ajudam os analistas a focarem em ameaças imediatas de alta confiança.
As histórias de Prevenção de Ameaças geralmente são baseadas em eventos de bloqueio correlacionados, significando eventos para tráfego que foi bloqueado por um dos serviços de Segurança. No entanto, mesmo que o tráfego já tenha sido bloqueado, é possível que esse tráfego esteja relacionado a uma ameaça em andamento. A história do XOps permite investigar o contexto e os detalhes do tráfego suspeito para ajudar a determinar se ainda há uma ameaça que requer mais mitigação.
Para mais informações sobre histórias de Prevenção de Ameaças, consulte Análise Detalhada e Investigação das Histórias de XOps Segurança.
-
Caça a Ameaças - O produtor de Caça a Ameaças faz varreduras contínuas no vasto conjunto de dados de tráfego histórico armazenados no Data Lake para detectar padrões de tráfego que indicam ameaças potenciais. Ao contrário do produtor de Prevenção de Ameaças que se concentra em eventos recentes, o produtor de Caça a Ameaças busca correlações ao longo do tempo nos dados de tráfego armazenados. As correlações são identificadas ao longo de uma semana de dados para garantir a precisão. Além disso, enquanto o produtor de Prevenção de Ameaças analisa os dados nos logs de eventos, o produtor de Caça a Ameaças analisa um conjunto mais amplo de dados provenientes dos fluxos de tráfego. Isso permite que o produtor de Caça a Ameaças detecte ameaças mais evasivas que são difíceis de identificar com métodos convencionais porque geram uma assinatura menor e mais difícil de detectar.
A seguir está a página de Visão Geral de uma história de Caça a Ameaças que identificou 40 diferentes fluxos de tráfego (sinais) relativos a uma ameaça de phishing de cybersquatting:
Para mais informações sobre histórias de Caça a Ameaças, consulte Análise Detalhada e Investigação das Histórias de XOps Segurança.
-
Anomalia de Uso - Parte das capacidades de Análise do Comportamento de Usuário e Entidade (UEBA) da Cato, este produtor compara a atividade de rede de usuários e sites com os padrões calculados por algoritmos de aprendizado de máquina, e gera histórias para desvios suspeitos dos níveis de uso padrão. Por exemplo, detecta-se que um usuário específico está usando mais largura de banda enviada do que o habitual.
Para mais informações sobre histórias de Anomalia de Uso, consulte Analisando Histórias de XOps UEBA para Anomalias de Uso e Eventos.
-
Anomalia de Eventos - Outro elemento das capacidades UEBA da Cato, este produtor detecta indicações que envolvem uma entidade na rede acionar um número incomum de eventos de Segurança. Por exemplo, um usuário está associado a um número anormalmente alto de eventos de bloqueio IPS para tráfego a uma direção específica, o que pode indicar uma possível infecção no dispositivo do usuário.
Para mais informações sobre histórias de Anomalia de Eventos, consulte Analisando Histórias de XOps UEBA para Anomalias de Uso e Eventos.
-
Alertas do Microsoft Endpoint Defender - Clientes que usam o Microsoft Defender para Endpoint podem integrar os dados de alerta do Defender com o XOps da Cato para produzir histórias para dispositivos de endpoint. O produtor de Alertas de Endpoint da Microsoft cria uma história correlacionando dados de Alertas do Defender que ocorreram no mesmo dispositivo em um período de 24 horas. As histórias de Alerta de Endpoint incluem todas as evidências relevantes para o Alerta detectado pelo Defender. Ao expandir o foco para o endpoint, essas histórias ajudam você a obter uma imagem mais completa das ameaças potenciais em sua rede.
Para mais informações sobre a integração do Defender for Endpoint com Cato XOps, consulte Microsoft Defender for Endpoint Alerts: Configuring the XOps Integration.
-
Alertas do Microsoft Entra ID - Tou pode integrar dados de alertas do Microsoft Entra ID Proteção para gerar histórias do Cato XOps. Isso permite aos analistas incluir dados de inscrições de risco dentro do contexto mais amplo de investigações do XOps. O motor de Alerta de Identidade Entra da Cato cria uma história correlacionando dados de alertas de Proteção do Entra ID que ocorreram para o mesmo usuário em um período de 24 horas.
Para mais informações sobre a integração de Alertas do Microsoft Entra ID com Cato XOps, consulte Microsoft Entra ID: Configuring the XOps Integration.
-
Alertas do Endpoint Cato - A solução de Proteção de Pontos Finais Cato integra-se com o XOps da Cato para gerar histórias para dispositivos de endpoint. O produtor de Alertas do Endpoint Cato cria uma história correlacionando dados de todos os alertas EPP de Cato que ocorreram no mesmo dispositivo dentro de um período de 24 horas. As histórias de Alertas do Endpoint Cato incluem todas as evidências relevantes detectadas por Cato EPP.
Para mais informações sobre histórias de Alertas do Endpoint Cato, consulte Cato Endpoint Protection (EPP): Configuring the XOps Integration.
-
Alertas da SentinelOne - Clientes que usam o SentinelOne podem integrar dados da EDR da SentinelOne para gerar histórias para dispositivos de endpoint. O produtor da SentinelOne cria uma história correlacionando dados de incidentes da EDR da SentinelOne com base no UUID do Agente (ID do Dispositivo) e no Hash do arquivo de ameaça dentro de 90 dias. Essas histórias incluem todas as evidências relevantes para os incidentes detectados pela SentinelOne.
Para mais informações sobre a integração de Alertas da SentinelOne, consulte SentinelOne EDR: Configuring the XOps Integration.
-
Alertas da CrowdStrike - Clientes que usam o CrowdStrike podem integrar dados das detecções do CrowdStrike com base no ID do Incidente. Essas histórias incluem todas as evidências relevantes para a detecção identificada pelo CrowdStrike.
Para mais informações sobre a integração de Alertas do CrowdStrike, consulte CrowdStrike: Configuring the XOps Integration.
-
AIOps - Cato XOps possui o exclusivo AIOps Produtor chamado Site Operations (anteriormente conhecido como Network XDR) que convergem Operações de Rede com Operações de Segurança em uma única plataforma. Este produtor detecta diferentes indicações e métricas relacionadas a conectividade e desempenho, e gera histórias que correlacionam dados para problemas relacionados à rede. Por exemplo, se um Link WAN estiver intermitentemente experimentando alta perda de pacotes, o produtor cria uma história única com todos os dados relevantes para o link.
Para mais informações sobre histórias de Rede no Cato XOps, consulte Reviewing Site Operations Stories.
Sua licença XOps determina os produtores disponíveis para sua conta, e se o serviço é gerenciado pela Cato. Todos os níveis de licença se beneficiam das ferramentas da plataforma XOps na Aplicativo de Gerenciamento Cato, incluindo:
A tabela abaixo descreve os níveis de licença XOps que entrarão em vigor a partir de 6 de agosto de 2025. e explica quais produtores estão disponíveis para cada nível. Por favor, entre em contato com seu representante da Cato ou revendedor oficial para mais informações sobre a compra de licenças XOps.
|
Licença |
Descrição |
|---|---|
|
Sem Licença |
Se um conector estiver configurado, eventos são criados pelos seguintes produtores:
|
|
XOps |
Um nível pago, não gerenciado, que inclui o seguinte conjunto de produtores que correlacionam dados em uma história, a plataforma para investigá-los, recomendações de mitigação e ações de mitigação:
|
|
MDR |
Um nível pago que inclui um serviço SOC gerenciado 24/7 aprimorando a segurança e gerenciamento de histórias. Este serviço é fornecido pela equipe de Detecção e Resposta Gerenciada da Cato e inclui:
|
0 comentário
Por favor, entre para comentar.