Эта статья рассказывает о том, как вы можете использовать Рабочую область Историй для проверки историй на потенциальные Угрозы в вашей учетной записи.
Cato Обнаружение и Реакция представляет собой дополнительный уровень безопасности, который создает истории об угрозах. Когда продвинутые движки корреляции Cato анализируют данные о трафике и находят соответствие возможной угрозе, они создают историю. История содержит данные из потоков трафика с общими свойствами, относящимися к одной и той же угрозе. Страница Рабочей области Историй показывает детали каждой истории, чтобы помочь понять и анализировать угрозы при их изучении. Вы можете сортировать и фильтровать истории, чтобы найти наиболее важные потенциальные атаки, а затем углубиться в детали каждой истории для их дальнейшего изучения.
Вот примеры данных, которые может включать история:
- Источники в вашей сети
- Внешние цели сетевого трафика
- Идентификация и описание угрозы
- Соответствующие геолокации
- Связанные приложения
- Соответствующие события
- Популярность цели согласно внутренним данным Cato
- Оценка вредоносности цели согласно моделям машинного обучения Cato
- Дополнительные лицензии могут потребоваться. Для получения дополнительной информации см. Добро пожаловать в Cato XOps Сервис
После создания соединителя, истории будут видны в Рабочей области Историй.
Чтобы просмотреть страницу Рабочей области Историй:
- В меню навигации нажмите на Home > Stories Workbench.
| Столбец | Описание |
|---|---|
| ID | Уникальный Cato ID для этой истории |
| Создано | Дата первого потока трафика для истории |
| Обновлено | Дата самого последнего потока трафика для истории |
| Критичность | Анализ рисков Cato по истории (значения от 1 до 10) |
| Индикация | Индикатор атаки для истории. Подробнее об Индикациях смотрите в Использование Каталога Индикаций |
| Источник | IP-адрес, имя устройства или пользователь SDP в вашей сети, вовлеченный в эту историю |
| Тип Движка | Движок безопасности, который создал эту историю. |
| Статус |
|
Чтобы обеспечить контекст при просмотре историй, вы можете показывать истории в группах, определённых деталями, включая Источник, Индикацию, Статус и Тип. Например, вы можете показать вместе все истории, связанные с конкретным IP-адресом источника или все истории о киберсквоттинге. Это даёт вам более широкую перспективу при анализе историй и может помочь вам прийти к более быстрым и точным выводам.
Каждая группа подчеркивает уровни критичности для историй в этой группе, включая количество историй с высокой, средней и низкой критичностью.
Существуют три способа фильтрации данных в Рабочей области Историй:
- Выбрать предварительно установленный фильтр
- Автоматически обновлять фильтр выбраным элементом
- Вручную настроить фильтр
Вы можете выбрать предварительно установленный фильтр, чтобы сосредоточиться либо на историях по Сетевым Операциям, либо на историях по Операциям Безопасности. Когда вы выбираете предварительно установленный фильтр, по умолчанию отображаются столбцы истории, наиболее соответствующие этому типу истории.
Когда вы наводите курсор на элемент или поле, где доступен вариант фильтрации, появляется кнопка . Нажмите на значок, чтобы показать варианты фильтрации:
- Добавить в фильтр - Добавляет элемент в фильтр, и Рабочая область Историй теперь показывает только те истории, которые включают этот элемент. Например, если вы фильтруете по специфической оценке критичности, страница показывает только истории с этой критичностью.
- Исключить из фильтра - Фильтр обновляется, чтобы исключить этот элемент, и Рабочая область Историй теперь показывает только те истории, которые не включают этот элемент.
Вы можете продолжать добавлять элементы в фильтр, нажмите снова, чтобы обновить фильтр и углубиться в изучении.
Время по умолчанию для Рабочей области Историй - предыдущие два дня. Вы можете выбрать другой временной интервал, чтобы показать более длительный или более короткий период. Для получения дополнительной информации см. Установка фильтра диапазона времени.
Максимальный временной диапазон для Рабочей области Историй составляет 90 дней.
Вы можете вручную настроить фильтр историй для более глубокой детализации стори. После настройки фильтра он добавляется в строку фильтра истории, и страница автоматически обновляется, чтобы показать истории, соответствующие новому фильтру.
Чтобы создать фильтр:
- В строке фильтра нажмите
.
- Начните вводить или выберите Поле.
- Выберите Оператор, который определяет связь между Полем и Значением для поиска.
- Выберите Значение.
- Нажмите Добавить фильтр. Фильтр добавляется в строку фильтра и Истории Рабочей области обновляется для показа историй, основанных на фильтрах.
Вы можете удалить каждый элемент в фильтре отдельно или очистить весь фильтр.
Вы можете создать CSV файл, содержащий данные для историй, перечисленных в Рабочей области Историй.
Примечание
Примечания:
- Только администраторы CMA с ролью Редактор имеют разрешения на экспорт в CSV файл. Для более подробной информации о настройке административных ролей см. Управление Администраторами.
- Вы можете экспортировать до 2000 историй.
Чтобы экспортировать данные истории:
- В меню навигации нажмите на Home > Stories Workbench.
- Нажмите Экспорт, и в появившемся окне нажмите ОК.
- Выберите местоположение для CSV файла и сохраните файл.
0 комментариев
Войдите в службу, чтобы оставить комментарий.