Обзор историй XOps по обнаружению и реагированию в рабочей области историй

Эта статья описывает, как использовать рабочую область историй для обзора историй о потенциальных угрозах в вашей учетной записи.

Обзор историй обнаружения и реагирования

Обнаружение и реагирование Cato — это дополнительный слой безопасности, который создаёт истории о угрозах. Когда усовершенствованные механизмы корреляции Cato анализируют данные трафика и находят соответствие потенциальной угрозе, они создают историю. История содержит данные из потоков трафика с общими свойствами, которые относятся к одной и той же угрозе. Страница рабочей области историй показывает детали каждой истории, помогая вам понять и проанализировать угрозы. Вы можете сортировать и фильтровать истории, чтобы найти наиболее важные потенциальные атаки, а затем детально изучить историю для дальнейшего исследования.

Это примеры данных, которые может включать история:

  • Источники в вашей сети

  • Внешние цели сетевого трафика

  • Идентификация и описание угрозы

  • Соответствующие геолокации

  • Связанные приложения

  • Соответствующие события

  • Популярность цели по данным Cato

  • Оценка вредоносности цели по моделям машинного обучения Cato

Требуемые лицензии

Показ страницы рабочей области историй

После создания коннектора истории будут видны в рабочей области историй.

Чтобы просмотреть страницу рабочей области историй:

  • В меню навигации нажмите Главная > Рабочая область историй.

Понимание столбцов историй

1677e55ac56a76.png

Столбец

Описание

ID

Уникальный ID Cato для этой истории

Создано

Дата первого потока трафика для истории

Обновлено

Дата самого последнего потока трафика для истории

Критичность

Анализ риска Cato для истории (значения от 1 до 10)

Индикатор

Индикатор атаки для истории. Больше информации об индикациях, см. Каталог Индикаций

Источник

IP-адрес, имя устройства или пользователь SDP в вашей сети, участвовавший в истории

Тип двигателя

Безопасностный двигатель, создавший историю.

Статус

  • Ожидание клиента - История была отправлена клиенту и ожидает его ответа

  • Ожидание аналитика - Ожидание дополнительной информации от аналитиков безопасности

  • Закрыто - Аналитики безопасности закрыли историю

Группировка историй

Для добавления контекста при обзоре историй вы можете показывать истории в группах, определяемых такими деталями, как Источник, Индикатор, Статус и Тип. Например, вы можете показать вместе все истории, связанные с конкретным IP-адресом источника или все истории о сайджекинге. Это дает вам более широкую перспективу при анализе историй и может помочь вам быстрее и точнее делать выводы.

Каждая группа выделяет уровни критичности историй в этой группе, включая количество историй с высокой, средней и низкой критичностью.

Stories_Workbench_Grouping.png

Чтобы сгруппировать истории в рабочей области историй:

  1. Из меню навигации нажмите Главная > Рабочая область историй.

  2. Из раскрывающегося меню Группировка по выберите требуемый критерий.

    Истории показываются в развертываемых группах.

Фильтрация историй

Существуют три способа фильтрации данных в рабочей области историй:

  • Выбор предустановленного фильтра

  • Автоматическое обновление фильтра с выбранным элементом

  • Ручное конфигурирование фильтра

Предустановленные фильтры

Вы можете выбрать предустановленный фильтр, чтобы сосредоточиться либо на историях сетевых операций, либо на историях операций безопасности. При выборе предустановленного фильтра по умолчанию отображаются столбцы историй, наиболее релевантные для этого типа истории.

Чтобы выбрать предустановленный фильтр:

  1. В панели фильтрации нажмите раскрывающееся меню Выбрать предустановки.

  2. Выберите предустановку. Рабочая область историй обновляется для показа историй, соответствующих предустановке.

Автоматическая фильтрация для элемента

Когда вы наводите курсор на элемент или поле, где доступен вариант фильтра, появляется кнопка TD_Filter.png. Нажмите на значок, чтобы показать параметры фильтра:

  • Добавить в фильтр - Добавляет элемент в фильтр, и рабочая область историй теперь показывает только истории, включающие этот элемент. Например, если вы фильтруете по определенному значению критичности, страница показывает только истории с этой критичностью.

  • Исключить из фильтра - Обновляет фильтр, чтобы исключить этот элемент, и рабочая область историй теперь показывает только истории, которые НЕ включают этот элемент.

Вы можете продолжать добавлять элементы в фильтр, нажмите TD_Filter.png снова, чтобы обновить фильтр и углубиться дальше.

Выбор временного диапазона

Предустановленный временной диапазон для рабочей области историй — предыдущие два дня. Вы можете выбрать другой временной диапазон, чтобы показать более длинный или более короткий период времени. Для получения дополнительной информации см. Установка фильтра диапазона времени.

Максимальный диапазон дат для рабочей области историй — 90 дней.

Ручная настройка фильтра

Вы можете вручную настроить фильтр историй для большего уровня детализации при анализе историй. После настройки фильтра он добавляется на панель фильтрации историй, и страница автоматически обновляется для показа историй, соответствующих новому фильтру.

Чтобы создать фильтр:

  1. На панели фильтров нажмите Add2.png.

  2. Начните вводить или выберите Поле.

  3. Выберите Оператор, который определяет отношение между Полем и Значением, которое вы ищете.

  4. Выберите Значение.

  5. Нажмите Добавить фильтр. Фильтр добавляется на панель фильтрации, и Рабочая область историй обновляется для показа историй на основе фильтров.

Очистка фильтра

Вы можете удалить каждый элемент фильтра отдельно или очистить весь фильтр.

Чтобы очистить фильтры для страницы рабочей области историй:

  1. Чтобы очистить один фильтр, нажмите remove.png рядом с фильтром (элемент 1 выше).

  2. Чтобы очистить все фильтры, нажмите X в правом конце панели фильтрации (пункт 2 выше).

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 3

0 комментариев