Este artigo explica como criar uma resposta automática para uma história XOps para conter ameaças potenciais.
Respostas automáticas para histórias XOps permitem definir ações de mitigação que são acionadas quando uma história atende a critérios específicos. Isso ajuda a conter ameaças assim que são detectadas, reduz o tempo de resposta e garante a aplicação consistente da postura de segurança e das políticas de tráfego da rede no seu ambiente.
Você pode definir respostas automáticas em regras configuradas na Política de Resposta . Em vez de depender de uma resposta manual, cada regra avalia os atributos da história, como severidade, envolvimento do usuário ou indicação, e aciona automaticamente a ação configurada.
Para evitar aplicação excessiva, uma ação automática é aplicada a um usuário específico uma vez a cada 30 minutos. Durante esta janela de 30 minutos, histórias adicionais correspondentes não acionam ações repetidas no mesmo usuário. Isso evita interrupções desnecessárias enquanto ainda garante uma resposta eficaz a ameaças reais.
As ações suportadas estão listadas abaixo:
- Revogar a Sessão do Usuário: Isto desconecta o usuário e solicita que ele reautentique pela tela de login do Cliente, garantindo que apenas usuários legítimos recuperem o acesso. Para mais informações, veja Mitigando Ameaças em Histórias XOps.
A Empresa ABC enfrenta um grande volume de histórias XOps, tornando desafiador garantir que as ameaças mais críticas sejam abordadas imediatamente. Para reduzir a exposição e aplicar mitigação consistente, eles configuram uma regra de política de resposta que lida automaticamente com histórias com os indicadores de risco mais altos.
Eles criam uma regra para identificar qualquer história com alta Criticidade e definir a ação automática para revogar a sessão do usuário. Para garantir que a ação automática seja usada de forma segura, o administrador adiciona um filtro por Indicação e seleciona apenas tipos de histórias relacionadas a phishing para esta política. Isso ajuda a equilibrar a eficácia de segurança com a aplicação adequada e garante que apenas os usuários que realmente necessitam sejam bloqueados.
Qualquer usuário que seja incluído em uma história que corresponda a estes critérios é automaticamente forçado a re-autenticar. Esta abordagem garante que as ameaças críticas recebam atenção imediata, melhora a consistência da sua postura de segurança e libera analistas para se concentrarem na investigação ao invés de tarefas urgentes de mitigação.
Respostas automáticas são configuradas dentro da Política de Resposta.
Para criar uma resposta automática:
- Crie uma regra de Política de Resposta. Para mais informações, consulte Criando a Política de Resposta para Histórias XOps.
- Na seção Resposta, abaixo de Ação escolha a ação automática para aplicar à regra. Você pode também selecionar uma notificação.
- Clique em Salvar. A regra é adicionada à política.
Se uma história corresponder a uma regra com uma resposta automatizada, a ação é automaticamente tomada e a linha do tempo da história é atualizada. A ação também é visível no Centro de Ação.
A aba Centro de Ação na página Inicial > Política de Detecção & Resposta permite que você revise as ações de mitigação das XOps tomadas na sua conta.
O Centro de Ação mostra as seguintes informações para cada ação de mitigação:
- Tempo - Carimbo de tempo de quando a ação de mitigação foi enviada
- Ação - Descrição da ação de mitigação
- Assunto - O usuário para quem a ação foi realizada
-
Status - Status da ação. Para a ação Adicionar Alvo à Lista de Bloqueio, estes são os valores de Status:
- Sucesso - A solicitação para revogar a sessão foi enviada ao serviço de usuários da Cato
- Falha - Houve um problema com a solicitação para revogar a sessão
- Autor - Administrador que realizou a ação
- Gatilho - O ID da História para a história de onde a ação foi enviada. Clique para abrir a página de Visão Geral da história
- Nota - Para ações automáticas, nenhuma nota é adicionada
0 comentário
Artigo fechado para comentários.