Отключение XOps Историй

Эта статья объясняет, как создать правило, которое отключает XOps истории, чтобы они не отображались на рабочей панели Историй.

Обзор

Корреляционные движки XOps анализируют трафик для поиска потенциальных угроз или деградации сети. Если обнаружено совпадение, в Рабочей области Историй создаётся история, чтобы помочь вам понять и проанализировать проблему. Если вы не хотите, чтобы создавалась история, вы можете настроить правило отключения Историй. Это уменьшает создание ложных положительных историй и помогает сосредоточить ваш анализ на реальных потенциальных угрозах или проблемах сети. Истории могут быть отключены на определенный или неограниченный период времени

Вы можете отключить истории, созданные этими движками:

  • Предотвращение угроз
  • Поиск угроз
  • Операции сайта
  • Аномалии использования
  • События аномалий

Чтобы история была отключена, она должна точно соответствовать или содержать предикаты, вставленные в правило отключённых историй. Например, если правило содержит 3 домена, но в истории только 2, история отключается. Если в правиле содержатся 2 домена, а в истории их 3, то она не будет отключена. Истории, отключенные по умолчанию, не создаются; однако это можно изменить, выбрав это условие.

Примечание

Примечание: Клиенты MDR могут создавать и редактировать правила отключения историй для движка Операции сайта. Если вы хотите определить отключенные истории для других движков, пожалуйста, свяжитесь с mdr@catonetworks.com.

Отключение Историй Предотвращения Угроз и Поиска Угроз

Вы можете определить трафик от доверенного источника, который затем будет исключен из истории. Например, истории XOps создаются для обнаружения потенциальных попыток сканирования, но источник сканирования известен - это доброкачественное тестирование проникновения. 

Для историй Предотвращения Угроз и Поиска Угроз история всегда создаётся, даже если она отключена. Отключение применяет флаг отключения к истории, гарантируя её исключение из отчетов и скрытие в Рабочей области Историй при применении фильтров Предотвращения Угроз или Поиска Угроз. Отключенные истории также не вызывают оповещения по умолчанию согласно политике реагирования

Существует два способа добавления правил отключения историй для предотвращения угроз и охоты за угрозами:

  • Создайте правило на странице Обнаружение & Реакция.
  • Создать правило из истории на рабочей панели Историй. Этот метод полезен, когда вы замечаете в истории определенный трафик, который, как вы знаете, безвреден

Отключение историй о неиспользовании UEBA и аномалиях в событиях

Существует два способа добавления правил отключения историй аномалий использования и событий аномалий:

  • Создайте правило на странице Обнаружение & Реакция.
  • Создать правило из истории на рабочей панели Историй. Этот метод полезен, когда вы замечаете в истории определенный трафик, который, как вы знаете, безвреден

Следующие разделы описывают полезные настройки, доступные для правил отключения историй аномалий использования и событий аномалий.

Понимание настроек отключённых историй для Аномалии использования

Движок XOps аномалий использования выявляет аномалии, связанные с необычным использованием приложений, и создает историю при обнаружении аномалии. Политика отключения историй позволяет настроить правило для истории аномалий использования, указав приложения или категории приложений, которые движки XOps должны исключить. Например, если вы знаете, что конкретный пользователь загружает необычно большое количество данных на OneDrive в рамках своих рабочих обязанностей, создайте правило с указанным Пользователем в качестве Источник и OneDrive в качестве Приложение.

Возможно, что история аномалий использования может включать более одного приложения. В таком случае настроенное Приложение относится к основному приложению в истории. Например, если вы настроите Приложение как OneDrive, это означает, что если основное приложение в истории аномалий использования - OneDrive, то движок XOps не создаст историю. Однако, если основное приложение является другим, например, Dropbox, а OneDrive имеет второе по величине использование, тогда история все равно будет создана.

Понимание настроек отключённых историй для Событий аномалий

Движок XOps аномалий событий выявляет аномалии, связанные с тем, что сущность в сети вызывает необычное количество событий безопасности, и создает историю при обнаружении аномалии. Политика отключения историй позволяет настроить правило для истории аномалий событий, указав типы событий, которые движки XOps должны исключить. Вы можете дополнительно указать исключить только события, генерируемые определенными правилами или угрозами IPS.

Например, если пользователь генерирует необычно большое количество событий WAN Firewall при выполнении известной безвредной активности, создайте правило с настроенным Пользователем в качестве Источник и настройте Метрику аномалий событий как Тип события WAN Firewall. Затем укажите правило в базе правил WAN Firewall.

Отключение Историй операций на сайт

Вы можете отключить истории, созданные определенными проблемами сети. Например, если вы знаете о запланированном отключении местного провайдера, вы можете отключить истории, создаваемые индикацией "Сайт недоступен" на период отключения.

Для историй операций на сайт история всегда создается, даже если она отключена. Отключение применяет флаг отключения к истории, обеспечивая её исключение из отчетов и скрытие из Рабочей области Историй при применении фильтра Сетевых Операций. Отключённые истории также по умолчанию не вызывают оповещений в соответствии с политикой реагирования. Только для клиентов ILMM эти типы историй отключены по умолчанию, когда ссылки сайта не подключены к услуге:

  • Сайт не работает
  • Ссылка не работает
  • ALT WAN Ссылка не работает
  • Quality SLA

Вы можете определить, была ли отключена история, в колонке Отключено в хронологии инцидентов истории.

Отключено.png

Вы можете добавить правила отключённых историй для историй операций на сайт, создав правило на странице Обнаружение & Реакция.

Предварительные условия

Требуется лицензия XOps

Элементы правила отключения Историй Обнаружения и Реагирования

Следующая таблица объясняет элементы, которые вы можете использовать для определения настроек правила отключения Историй Обнаружения и Реагирования. Когда вы настраиваете несколько объектов в настройках, между ними существует связь "ИЛИ". Например, если правило настроено с источниками, включая Сайт и Пользователь, правило применяется, когда трафик соответствует либо Сайту, либо Пользователю.

Элемент

Описание

Производитель

Движок или движки Обнаружения и Реагирования, к которым применяется правило. Чтобы узнать больше об этих движках и типах историй, которые они обнаруживают, смотрите Использование Каталога Индикаций.

Идентификатор индикации

Идентификатор индикации, используемый движками Обнаружения и Реагирования. Каждый Идентификатор индикации связан с запросом движка Обнаружения и Реагирования, который определяет конкретные параметры трафика.

Если вы определите Идентификатор индикации, правило исключает только трафик из историй, сформированных конкретным запросом движка, связанным с данным Идентификатором индикации.

Если Идентификатор индикации не определен, трафик исключается из всех запросов движка, которые соответствуют настройкам правила.

Для более подробной информации о признаках см. Использование Каталога Индикаций.

Направление

(Истории предотвращения угроз, охоты за угрозами, аномалий использования и событий аномалий)

Определите направление потока трафика, к которому применяется правило. Включает направления:

  • Входящий — Трафик в вашу сеть, исходящий из внешнего источника

  • Исходящий — Трафик из вашей сети к внешнему источнику

  • WANbound — Трафик из вашей сети на другой сайт вашей сети

  • Все из вышеуказанных

Период времени

Выберите период времени, в течение которого правило применяется, или выберите Неограниченный, чтобы правило применялось без истечения срока действия.

Когда устанавливается дата истечения срока действия:

  • Для историй предотвращения угроз и охоты за угрозами правило истекает в начале этой даты в часовом поясе, установленном в настройках профиля пользователя в Приложении управления Cato.

  • Для историй Операции сайта вы можете выбрать часовой пояс, к которому применяется период времени.

Установка даты истечения срока действия является рекомендованной передовой практикой поддержания эффективной безопасности.

Источник

Источник трафика для этого правила.

Вы можете выбрать один или несколько следующих типов Источник:

  • Истории предотвращения угроз и охоты за угрозами

    • Сайт

    • IP

    • Диапазон IP

    • Пользователь

    • Любой

  • Операции сайта

    • Сайт

    • Сетевой интерфейс (LAN-ссылка)

    • WAN-ссылка

    • Тип подключения сайта

    • Любой

Устройство

(истории о предотвращении угроз, охоте на угрозы, аномалии использования и аномалии событий)

Тип устройства, к которому применяется правило, определяется операционной системой.

Назначение

(Предотвращение угроз, Поиск угроз, Аномалии использования и События аномалий историй)

Назначение трафика для этого правила.

Вы можете выбрать один или несколько из следующих типов назначения:

  • IP

  • URL

  • Домен

  • FQDN

  • Приложение

  • Категория приложения (только для историй об аномалии использования)

  • Любой

Для определения этих объектов см. Справочник по объектам правил.

Метрика аномалии событий

(истории об аномалии событий)

Выберите тип события, которое должно быть подавлено. После выбора типа события можно указать имя правила или угрозы.

Вы можете выбрать один из следующих типов событий:

  • Межсетевой экран WAN

  • Межсетевой экран Интернета

  • IPS

  • Анти-Малваре

  • NG Анти-Малваре

  • Любой

Помимо указанных настроек, для каждого правила Mute Stories показывается следующая информация:

  • Автор - Имя пользователя, который создал правило.
  • Создано - Дата создания правила.

Показывает базу правил Detection & Response Mute Stories

Чтобы показать базу правил Detection & Response Mute Stories:

  1. В главном меню выберите Главная > Политика Detection & Response.
Detection_Response_Allow_List.png

Создание правила Mute Stories на странице Detection & Response

Добавьте новое правило Mute Stories и настройте параметры, определяющие трафик, который будет игнорироваться механизмами Detection & Response.

Detection_Response_Allow_List_Add_to_Allowlist.png

Чтобы создать правило Detection & Response Mute Stories:

  1. В главном меню выберите Главная > Политика Detection & Response.
  2. Выберите вкладку Mute Stories.
  3. Нажмите Добавить. Откроется панель Добавить в Mute Stories.
  4. Настройте параметры правила, как описано выше.
  5. Нажмите Сохранить. Правило добавлено в базу правил Mute Stories.

Создание правила Mute Stories из истории

Просмотрите подробную информацию о истории на рабочем столе историй и используйте панель Действия с историей, чтобы создать правило Mute Stories.

Следующие настройки правила заполняются автоматически на основе данных истории:

  • Направление

  • Источник

    • Если история содержит несколько типов данных для источника, они все добавляются в настройки Источник. Например, если история определила IP и Сайт для источника, то и IP, и Сайт заполняются автоматически в разделе Источник для правила.

  • Назначение - Автоматически заполняется на основе Целей истории.

    • Если история определила несколько Целей, они все добавляются в настройках Назначения

Чтобы создать правило Mute Stories из истории:

  1. В главном меню выберите Главная > Рабочее место историй.
  2. Щелкните по истории, чтобы открыть страницу с подробностями.
  3. Нажмите More_icon.png чтобы открыть панель Действия по истории.

  4. Нажмите Добавить в новые Mute Stories. Откроется панель Добавить в новые правила Mute Stories.

    Detection_Response_Allow_List_from_Story.png
  5. Настройте параметры правила, как описано выше.
  6. Нажмите Сохранить. Правило добавлено в базу правил Mute Stories.
  7. Чтобы показать базу правил Detection & Response Mute Stories, в главном меню выберите Главная > Политика Detection & Response.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев