Генерация Отчеты XOps расследований

Примечание

Примечание: XOps — это унифицированный аналитический слой Cato для безопасности и операций, предоставляющий инсайты и направленное устранение. XOps заменил XDR, для более детальной информации, см. FAQ по XOps.

Обзор

Cato предоставляет шаблоны Предопределенного Отчета, которые суммируют данные, связанные с историями XOps (ранее XDR), которые были исследованы для вашей учетной записи. Это позволяет вам создавать отчет XOps, который предоставляет обзор всех исследований историй, а также разбивки, фокусирующиеся на самых важных, таких как вредоносные и подозрительные истории.

Создайте шаблон для повторяющегося или одноразового отчета и определите диапазон времени отчета. По умолчанию шаблон Предопределенного Отчета для отчета XOps Исследований показывает данные историй за прошедшую неделю.

Чтобы узнать больше о работе с отчетами, см. Отчеты Cato.

предопределённые_отчёты.png

Известные ограничения

Отчеты расследований XOps не поддерживают фильтрацию по сайтам или пользователям SDP. Если какие-либо фильтры настроены, они не будут отображены в отчете, и отчет покажет данные для всех площадок и пользователей SDP.

Создание повторяющегося отчета XOps Investigations

Создайте новый запланированный отчет и задайте График отчета, который определяет, как часто создается отчет - ежедневно, еженедельно или ежемесячно. Сгенерированные отчеты хранятся в Cato Cloud, и они могут быть автоматически отправлены по электронной почте или загружены. Расписание отчета также определяет временной диапазон, охватываемый каждым отчетом.

Вы можете выбрать список рассылки электронных адресов для получателей, который может включать администраторов Cato Management Application и внешних пользователей.

Чтобы узнать больше о списках рассылки, см. Работа с списками рассылки.

К создать повторяющийся XOps отчет расследований:

  1. В панели навигации выберите Главная > Отчеты.
  2. На вкладке Каталог выберите шаблон, который хотите использовать для создания отчета.
  3. Нажмите Создать > Создать расписание.
  4. Введите Имя отчета.
  5. Определите, когда отчет будет сгенерирован и отправлен:
    1. Выберите Частоту, с которой отчет отправляется автоматически: Ежедневно, Еженедельно или Ежемесячно.
    2. Для еженедельных и ежемесячных запланированных отчетов в Каждый выберите день отправки отчета.

  6. В Отправка в список рассылки выберите Список рассылки, который получает отчет.

    Вы можете нажать Новый, чтобы создать новый список рассылки.

  7. Нажмите Сохранить расписание. Отчет добавляется на вкладку Сохраненные отчеты.

Создание отчета по запросу

Повторяющиеся отчеты автоматически создаются на основе настроек их расписания. Например, еженедельный отчет, настроенный на понедельник, создается каждый понедельник. Вы также можете вручную создать повторяющийся отчет по запросу, в этом случае сгенерированный отчет использует заданный временной диапазон на основе текущего дня. Если администратор вручную создает еженедельный отчет во вторник, временной диапазон для отчета включает предыдущие 7 дней, начиная с этого вторника, независимо от дня начала повторяющегося отчета. Чтобы узнать больше о временном диапазоне повторяющихся отчетов, см. Отчеты Cato.

Чтобы создать повторяющийся отчет по запросу:

  1. В панели навигации выберите Главная > Отчеты.
  2. На вкладке Сохраненные отчеты найдите повторяющийся отчет и нажмите Создать Сейчас.
  3. На вкладке Созданные PDF найдите отчет и нажмите Скачать.

Создание одноразового отчета XOps Investigations

Вы можете создать одноразовый отчет на основе шаблона XOps Исследований. Вы определяете Фильтры для элементов, включенных в отчет.

Чтобы создать одноразовый отчет:

  1. В области навигации выберите Мониторинг > Отчеты.
  2. На вкладке Каталог выберите шаблон, который хотите использовать для создания отчета.
  3. Выберите Создать > Создать Сейчас.
  4. Введите Имя отчета.
  5. В Фильтрах определите Временной интервал и Часовой пояс отчета.
  6. Нажмите Создать, отчет будет создан, и вы сможете скачать его на вкладке Созданные PDF.

Понимание отчета XOps Investigations

Это разделы в отчете XOps Исследований:

  • Исполнительный обзор

    • Общие итоги по событиям и историям за выбранный временной интервал, включая:

      • Все события: Общее количество событий для учетной записи
      • События безопасности: Количество событий, сгенерированных включенными движками безопасности Cato для учетной записи
      • Исследованные истории: Общее количество историй Обнаружения и Реагирования, которые были исследованы и получили вердикт в Рабочей области Историй
      • Подозрительные и вредоносные истории: Количество историй, которые были исследованы и по которым был вынесен вердикт Подозрительно или Вредоносные в Рабочей области Историй
    • Исследованные истории по вердикту: Разбивка по вердикту всех исследованных историй
    • Исследованные истории по времени: График, показывающий количество исследованных историй по времени, включая разбивку по типу угрозы (например: Подозрительная активность, Репутация, Нарушение политики, Вредоносное ПО)

  • Вредоносные и Подозрительные истории

    Показывает информацию об историях, которые получили вердикт Вредоносный или Подозрительный, включая:

    • Вредоносные и Подозрительные истории по типу угрозы: Количество Вредоносных или Подозрительных историй по типу угрозы (например, Подозрительная активность, Репутация, Нарушение политики, Вредоносное ПО)
    • Вредоносные и Подозрительные истории по сайту: Количество Вредоносных или Подозрительных историй по сайту с трафиком, который сгенерировал историю
    • Вредоносные истории по серьезности: График, показывающий количество Вредоносных историй по степени серьезности (Высокая, Средняя, Низкая)
    • Вредоносные и Подозрительные истории по расположению: График, показывающий количество Вредоносных или Подозрительных историй по расположению угрозы. Расположения основаны на целях и источниках в истории, и, следовательно, одна история может иметь несколько мест угроз.

  • Общая защита

    • Топ заблокированных приложений Интернет-файрволом: Топ приложений, заблокированных Интернет-файрволом, с указанием количества обращений
    • Топ заблокированных категорий Интернет-файрволом: Топ категорий, заблокированных Интернет-файрволом, с указанием количества обращений
    • Топ Заблокированных Приложений Межсетевой экран WAN: Топ приложений, заблокированных межсетевым экраном WAN с количеством срабатываний
    • Топ Заблокированных Категорий Межсетевой экран WAN: Топ категорий, заблокированных межсетевым экраном WAN с количеством срабатываний
    • События IPS по Уровню Риска: Диаграмма, показывающая распределение блокировок IPS по уровню риска
    • События блокировки Антивирус График, показывающий все события блокировки для службы Антивирус за время отчета

  • Аудит Расследований

    Этот раздел позволяет быстро просмотреть все расследования историй XOps, которые получили вердикт в течение временного диапазона отчета. Информация в таблице аудита отражает состояние расследований на момент генерации отчета.

    Это столбцы таблицы:

    • Ссылка на историю: Нажмите, чтобы открыть страницу детального разбора истории в Рабочей области Историй
    • Дата создания: Дата создания истории
    • Индикатор: Индикатор атаки для истории. Чтобы узнать больше об Индикаторах, см. Использование каталога индикаторов
    • Тип: Движок XOps, который создал историю.
    • Классификация типа угрозы. Например: Подозрительная Цель, C&C, Подозрительное Расширение браузера, Сканер
    • Вердикт для истории, определенный аналитиком
    • Серьезность истории, определенная аналитиком (возможные значения: Низкий, Средний, Высокий)
    • Сайт: Сайт в вашей сети с трафиком, который сгенерировал историю.
    • Источник: IP-адрес, имя устройства или пользователь SDP в вашей сети, участвующий в истории
    • Статус: Статус расследования истории. Возможные значения включают: Открыто, Закрыто, Ожидает информации (включая количество дней в ожидании)

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев