Обзор Историй по Обнаружению и Реакции XOps в Рабочем Столе Историй

В этой статье обсуждается, как вы можете использовать Рабочую область Историй для обзора историй потенциальных угроз в вашей Учетной записи.

Примечание

Примечание: XOps — это объединённый аналитический уровень Cato для безопасности и операций, предлагающий информацию и направляемую коррекцию. XOps заменил XDR, для получения дополнительной информации см. XOps FAQ.

Обзор Историй Обнаружения и Реакции

Обнаружение & Реагирование Cato - это дополнительный уровень Безопасности, который создает Истории для Угроз. Когда расширенные движки корреляции Cato анализируют данные трафика и находят совпадение с потенциальной угрозой, они создают историю. Эта История содержит данные из потоков трафика с общими свойствами, относящиеся к одной и той же угрозе. Страница Рабочей области Историй показывает подробности каждой истории, чтобы помочь вам понять и проанализировать угрозы. Вы можете сортировать и фильтровать истории, чтобы найти наиболее важные потенциальные атаки, а затем углубиться в одну историю для дальнейшего изучения деталей.

Это примеры данных, которые может включать история:

Источники в вашей сети
Внешние цели сетевого трафика
Идентификация и описание угрозы
Соответствующие геолокации
Связанные приложения
Соответствующие события
Популярность цели согласно внутренним данным Cato
Вредоносная оценка цели согласно моделям машинного обучения Cato

Требуемые Лицензии

Могут потребоваться дополнительные лицензии. Для получения дополнительной информации см. Добро пожаловать в службу Cato XOps

Показать страницу Рабочей области Историй

Как только вы создадите коннектор, истории будут видны в Рабочей области Историй.

Чтобы посмотреть страницу Рабочая область Историй:

В меню навигации нажмите Домашняя > Рабочая область Историй.

Понимание столбцов Историй

Столбец	Описание
ID	Уникальный ID Cato для этой истории
Создано	Дата первого потока трафика для истории
Обновлено	Дата самого последнего потока трафика для истории
Критичность	Анализ риска Истории от Cato (значения от 1 до 10)
Индикация	Индикатор атаки для этой истории. Для получения дополнительной информации о индикациях, см. Использование каталога индикаций
Источник	IP-адрес, Имя устройства или Пользователь SDP в вашей сети, участвующий в этой истории
Тип Движка	Движок безопасности, который создал Историю.
Статус	Ожидание Клиент - История отправлена клиенту и ожидает его ответа Ожидание Аналитика - Ожидание дополнительной информации от аналитиков Безопасности Закрыто - Аналитики Безопасности закрыли Историю

Группировать Истории

Чтобы предоставить контекст при обзоре Историй, вы можете отображать их в группах, определенных по деталям, включая Источник, Индикация, Статус и Тип. Например, вы можете отображать вместе все истории, связанные с определенным IP-адресом источника, или все истории киберсквоттинга. Это дает вам более широкую перспективу при анализе Историй и может помочь вам более быстро и точно принимать решения.

Каждая группа выделяет уровни критичности для Историй в этой группе, включая количество историй высокой, средней и низкой критичности.

Чтобы сгруппировать Истории в Рабочей области Историй:

В меню навигации нажмите Домашняя > Рабочая область Историй.
Из раскрывающегося списка Группировать по выберите необходимый критерий.

Истории отображаются в разворачивающихся группах.

Фильтрация Историй

Существует три способа фильтрации данных в Рабочей области Историй:

Выберите предустановленный фильтр
Автоматически обновить фильтр с выбранным элементом
Настроить фильтр вручную

Предустановленные Фильтры

Вы можете выбрать предустановленный фильтр, чтобы сосредоточиться на историях Сетевые Операции или Операции по безопасности. Когда вы выбираете предустановленный фильтр, колонки историй, наиболее релевантные для этого типа истории, отображаются по умолчанию.

Чтобы выбрать предустановленный фильтр:

В строке фильтра нажмите раскрывающееся меню Выбрать пресет.
Выберите пресет. Рабочая область Историй обновляется, чтобы показать истории, соответствующие пресету.

Автоматическая Фильтрация для Элемента

Когда вы наводите курсор на элемент или поле, где доступна опция фильтра, появляется кнопка . Щелкните значок, чтобы показать параметры фильтрации:

Добавить в фильтр - Добавляет элемент в фильтр, и теперь Рабочая область Историй показывает только истории, включающие этот элемент. Например, если вы фильтруете по определенной оценке критичности, страница показывает только истории с этой критичностью.
Исключить из фильтра - Обновляет фильтр, чтобы исключить этот элемент, и теперь Рабочая область Историй показывает только истории, которые НЕ включают этот элемент.

Вы можете продолжить добавлять элементы в фильтр, нажмите снова, чтобы обновить фильтр и углубиться дальше.

Выбор Диапазона времени

Диапазон времени по умолчанию для Рабочей области Историй — это предыдущие два дня. Вы можете выбрать другой диапазон времени, чтобы показать более продолжительный или более короткий период. Для получения дополнительной информации см. Установка фильтра диапазона времени.

Максимальный диапазон дат для Рабочей области Историй составляет 90 дней.

Ручная Настройка Фильтра

Вы можете вручную настроить фильтр истории для большей детализации анализа историй. После того как вы настроите фильтр, он будет добавлен в строку фильтров историй, и страница будет автоматически обновлена для показа историй, соответствующих новому фильтру.

Чтобы создать фильтр:

В строке фильтра нажмите кнопку .
Начните вводить или выберите Поле.
Выберите Оператор, который определяет связь между Полем и Значением, которое вы ищете.
Выберите Значение.
Нажмите Добавить фильтр. Фильтр добавляется в строку фильтров, и Рабочая область Историй обновляется для отображения историй на основе фильтров.

Очистить Фильтр

Вы можете удалять каждый элемент в фильтре отдельно или очистить весь фильтр.

Чтобы очистить фильтры для страницы Рабочей области Историй:

Чтобы очистить один фильтр, нажмите рядом с фильтром (элемент 1 выше).
Чтобы очистить все фильтры, нажмите X в правом конце строки фильтров (элемент 2 выше).