Отключение историй XOps

Эта статья обсуждает создание правила, которое отключает истории XOps, чтобы они не отображались на рабочем столе историй.

Примечание

Примечание: XOps — это единая аналитическая платформа Cato для безопасности и операций, предлагающая инсайты и направляемое исправление. XOps заменил XDR, для получения дополнительной информации см. XOps FAQ.

Обзор

Корреляционные механизмы XOps анализируют данные о трафике для нахождения потенциальных угроз или ухудшения сети. Если обнаружено совпадение, история создается на рабочем столе историй для помощи в понимании и анализе проблемы. Если вы не хотите, чтобы история была создана, вы можете настроить правило Отключенные Истории. Это уменьшает генерацию ложноположительных историй и помогает сосредоточить анализ на фактических потенциальных угрозах или проблемах в сети. Истории могут быть отключены на определённый или неограниченный период времени

Вы можете отключить истории, созданные этими движками:

  • Предотвращение угроз

  • Поиск угроз

  • Операции сайта

  • Аномалии использования

  • События аномалий

Чтобы история была заглушена, она должна точно совпадать или содержать предикаты, вставленные в правило заглушки историй. Например, если правило содержит 3 домена, а в истории только 2, история заглушена. Если правило содержит 2 домена, а история содержит 3, она не заглушена.

Примечание

Примечание: Клиенты MDR могут создавать и редактировать правила отключения историй для механизма Site Operations. Если вы хотите определить отключение историй для других механизмов, пожалуйста, свяжитесь с mdr@catonetworks.com.

Отключение историй защиты от угроз и охоты за угрозами

Вы можете определить трафик из доверенного ресурса, который затем исключается из истории. Например, истории XOps создаются для обнаружения потенциальных попыток сканирования, но источник сканирования — известное безопасное тестирование на проникновение. После создания правила Отключить Истории для трафика тестирования безопасности, для него больше не создаются истории.

Существует два способа добавить правила Отключить Истории для историй Предотвращения угроз и Поиска угроз:

  • Создайте правило на странице Detection & Response

  • Создать правило из истории в Рабочей области Историй. Этот метод полезен, когда вы замечаете в истории конкретный трафик, о котором знаете, что он безвреден

Отключение историй аномалий использования UEBA и аномалий событий

Существует два способа добавить правила Отключить Истории для историй Аномалии использования и События аномалий:

  • Создайте правило на странице Detection & Response

  • Создать правило из истории в Рабочей области Историй. Этот метод полезен, когда вы замечаете в истории конкретный трафик, о котором знаете, что он безвреден

Следующие разделы описывают полезные настройки, доступные для правил Отключить Истории Аномалии использования и События аномалий.

Понимание настроек отключения историй аномалии использования

Движок обнаружения аномалий использования XOps определяет аномалии, связанные с необычным использованием приложений, и создаёт историю при обнаружении аномалии. Политика отключения историй позволяет настроить правило для истории об аномалии использования, указав приложения или категории приложений для исключения механизмами XOps. Например, если вы знаете, что определенный пользователь загружает на OneDrive необычное количество данных по рабочим требованиям, создайте правило, настроенное с конкретным Пользователем как Источник и OneDrive как Приложение.

Возможно, История Аномалии использования может включать более одного приложения. В таком случае, настроенное Приложение относится к топовому приложению в истории. Например, если вы настраиваете приложение как OneDrive, это означает, что если основное приложение в истории об аномалии использования — OneDrive, то движок XOps не будет создавать историю. Однако, если топовое приложение - это другое приложение, например, Dropbox, и OneDrive имеет второй наибольший объём использования, то история всё равно будет создана.

Понимание настроек отключения историй аномалий событий

Движок обнаружения аномалий событий XOps выявляет аномалии, в которых сетевое устройство вызывает необычное количество событий безопасности, и создаёт историю при обнаружении аномалии. Политика отключения историй позволяет настроить правило для истории об аномалии событий, указав типы событий для исключения механизмами XOps. Затем вы можете дополнительно указать только исключение событий, создаваемых определёнными правилами или угрозами IPS.

Например, если пользователь генерирует необычно большое количество событий межсетевого экрана WAN при выполнении известной безвредной активности, создайте правило, настроив Пользователь как Источник и настройте Метрику аномалий событий как Тип события Межсетевой экран WAN. Далее укажите правило в базе правил межсетевого экрана WAN.

Отключение историй Site Operations

Вы можете отключить истории, созданные определёнными проблемами сети. Например, если вы знаете, что у локального провайдера интернет-услуг запланировано отключение, вы можете отключить истории, созданные индикатором остановки сайта на период отключения.

Истории генерируются, но отфильтровываются из рабочей области историй.

Вы можете определить было ли история отключена в столбце Отключено в хронологии инцидента истории.

Отключено.png

Вы можете добавить правила отключения историй для Site Operations, создав правило на странице Detection & Response.

Предварительные условия

Требуется лицензия XOps:

Элементы в правиле отключения историй обнаружения и реагирования

В следующей таблице описаны объекты, которые можно использовать для настройки правил "Отключенные Истории" Обнаружение и Реакция. Когда вы настраиваете несколько объектов в настройке, между ними существует отношение ИЛИ. Например, если существует правило, настроенное с источниками, включая Сайт и Пользователь, правило применяется, когда трафик соответствует либо Сайту, либо Пользователю.

Элемент

Описание

Производитель

Движок или движки обнаружения и реагирования, к которым применено правило. Для получения дополнительной информации об этих механизмах и типах обнаруживаемых ими историй см. Использование каталога индикаторов

Идентификатор показателя

Идентификатор показателя, используемый движками обнаружения и реагирования. Каждый идентификатор показателя ассоциирован с запросом движка обнаружения и реагирования, который идентифицирует конкретные параметры трафика.

Если вы определяете идентификатор показателя, правило исключает трафик только из историй, созданных конкретным запросом движка, связанным с этим идентификатором показателя.

Если идентификатор показателя не определен, трафик исключен из всех запросов движка, которые соответствуют настройкам правила.

Для получения дополнительной информации об индикаторах см. Использование каталога индикаторов.

Направление

(истории защиты от угроз, охоты за угрозами, аномалии использования и аномалии событий)

Определите направление потока трафика, к которому применяется правило. Направления включают:

  • Входящий - Трафик в вашу сеть, исходящий от внешнего источника

  • Исходящий - Трафик из вашей сети к внешнему источнику

  • Без границ - Трафик из вашей сети к другому участку вашей сети

  • Все вышеуказанное

Временные рамки

Выберите временные рамки, в течение которых применяется правило, или выберите Без ограничений, чтобы правило продолжало применяться без истечения срока действия.

Когда установлена дата истечения срока:

  • Для историй защиты от угроз и охоты за угрозами правило истекает в начале этой даты, в часовом поясе, настроенном в параметрах профиля пользователя в приложении управления Cato.

  • Для историй Site Operations вы можете выбрать часовую зону, к которой применяется временной интервал.

Установка даты истечения является рекомендованной практикой для поддержания эффективной безопасности.

Источник

Источник трафика для этого правила.

Вы можете выбрать один или несколько следующих типов Источник:

  • Истории защиты от угроз и охоты за угрозами

    • Участок

    • IP

    • Диапазон IP

    • Пользователь

    • Любой

  • Операции сайта

    • Участок

    • Сетевой интерфейс (LAN link)

    • WAN ссылка

    • Тип подключения участка

    • Любой

Устройство

(истории защиты от угроз, охоты за угрозами, аномалии использования и аномалии событий)

Тип устройства, к которому применяется правило, определено по операционной системе.

Назначение

(истории: Предотвращение угроз, Охота за угрозами, Аномалия использования и Аномалия событий)

Назначение трафика для этого правила.

Вы можете выбрать один или несколько следующих типов Назначение:

  • IP

  • URL

  • Домен

  • FQDN

  • Приложение

  • Категория приложений (только для историй аномалий использования)

  • Любой

Для определений этих объектов см. справочник по объектам правила

Метрика аномалии событий

(Истории о Аномалии событий)

Выберите тип события для отключения. После выбора типа события, вы можете указать имя правила или имя угрозы.

Вы можете выбрать один из следующих типов событий:

  • Межсетевой экран WAN

  • Межсетевой экран Интернета

  • IPS

  • Антивирус

  • NG Антивирус

  • Любой

В дополнение к вышеуказанным настройкам, для каждого правила Отключенных Историй отображается следующая информация:

  • Автор - Имя пользователя пользователя, создавшего правило.

  • Дата создания - Дата создания правила.

Отображение базы правил Отключенных Историй для Обнаружения и Реакции

Чтобы показать базу правил Отключенных Историй для Обнаружения и Реакции:

  1. Из навигационного меню, нажмите Домашняя > Политика Реагирования.

Detection_Response_Allow_List.png

Создание Правила Отключенных Историй на странице Обнаружения и Реакции

Добавьте новое правило Отключенных Историй и настройте параметры, определяющие трафик, который будет игнорироваться движками Обнаружения и Реакции.

Detection_Response_Allow_List_Add_to_Allowlist.png

Чтобы создать правило Отключенных Историй для Обнаружения и Реакции:

  1. Из навигационного меню, нажмите Домашняя > Политика Реагирования.

  2. Выберите вкладку Отключенные Истории.

  3. Нажмите Новый. Панель Добавить в список игнорируемых событий открывается.

  4. Настройте настройки правила как описано выше.

  5. Нажмите Сохранить. Правило добавлено в базу правил Отключенных Историй.

Создание правила Отключенных Историй из истории

Просмотр истории на рабочей области Историй и использование панели Действия по истории для создания правила Отключенных Историй.

Следующие настройки правила автоматически заполняются на основе данных из истории:

  • Направление

  • Источник

    • Если история содержит несколько типов данных для источника, они все добавляются в настройку Источник. Например, если история определила IP и Сайт для источника, тогда и IP и Сайт автоматически заполняются в разделе Источник для правила.

  • Назначение - Автозаполняется на основе истории Целей

    • Если история определила несколько Целей, они все добавляются в настройку Назначение

Чтобы создать правило Отключенных Историй из истории:

  1. Из меню навигации, нажмите Главная > Рабочая область Историй.

  2. Нажмите на историю, чтобы открыть страницу детального просмотра истории.

  3. Нажмите More_icon.png, чтобы открыть панель Действия по истории.

  4. Нажмите Добавить в Новый список игнорируемых событий. Панель Добавить в правило нового списка игнорируемых событий открывается.

    Detection_Response_Allow_List_from_Story.png

  5. Настройте настройки правила как описано выше.

  6. Нажмите Сохранить. Правило добавлено в базу правил Отключенных Историй.

  7. Чтобы показать базу правил заглушки историй обнаружения & реагирования, в навигационном меню нажмите Главная > Политика обнаружения и реагирования.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев