Создание Политики Реагирования для Историй XOps

Эта статья объясняет, как использовать вебхуки и другие уведомления с Политикой Реагирования XOps, которая определяет, когда вы будете уведомлены о новых и обновленных историях XOps и когда генерируются события.

Для получения дополнительной информации о XOps смотрите Обзор истории XOps в рабочем столе истории

Примечание

Примечание: XOps — это единый аналитический уровень Cato для безопасности и операций, предлагающий инсайты и направленную коррекцию. XOps заменил XDR, для получения дополнительной информации смотрите XOps FAQ.

Обзор

Политика Реагирования помогает следить за историями XOps, определяя, когда уведомления о историях отправляются администраторам и аналитикам, а также когда генерируются события для историй. Вы можете создавать правила, определяющие критерии истории для отправки уведомлений и создания событий. Можно использовать группы подписок, списки рассылки и сторонние интеграции для настройки получения уведомлений администраторами.

Например, можно создать правила, которые отправляют уведомления:

  • Если критичность истории высока

  • Когда для определённого источника (например, сайта или Диапазона IP) создаются новые истории

  • Когда цели истории обновляются

  • Для Историй Безопасности с конкретным указанием на атаку

  • Для Site Operations при специфических проблемах, таких как неисправность сайта или канала

Примечание

Примечание: По умолчанию уведомления не отправляются для операций сайта, которые соответствуют правилу тишины истории.

Генерация событий для историй XOps и экспорт в сторонние сервисы

По умолчанию события истории XOps не генерируются. События создаются только в соответствии с настроенными правилами. Когда вы определяете правила, которые генерируют события для историй XOps, вы можете просматривать их на странице События. Для получения дополнительной информации смотрите Анализ событий в вашей сети.

Вы также можете интегрировать события для историй XOps с вашими существующими сторонними сервисами и рабочими процессами:

  • Для списка поддерживаемых вендоров интеграций для событий Cato смотрите Cato Data: Third-Party Supported Integrations

  • Для получения дополнительной информации о передаче событий в аккаунт третьей стороны (например, AWS или Azure), смотрите статьи в разделе Интеграция событий

Страница События показывает установленное количество полей на событие. Чтобы получить доступ к полным данным истории, экспортируйте их как файл JSON, доступный в поле additional_data. Вы также можете создать фильтр, чтобы экспортировать только необходимые данные. Для получения дополнительной информации о полях событий XOps, смотрите ниже: Поля событий и API Cato для истории XOps.

Добавление Правил в Политику Реагирования XOps

Когда вы добавляете правило в Политику Реагирования, настройте каждый раздел в правиле, который необходим для определения условий для отправки уведомления или создания события.

Например, если вы хотите сгенерировать событие для каждой истории XOps, которая создана или обновлена, настройте правило с Источник как Любой, и Триггер как История Создана или Обновлена.

Примечание

Примечание: Для клиентов MDR, пожалуйста, свяжитесь с для определения правил Политики Реагирования для вашего аккаунта.

Response_Policy.png

Настройки правил Политики Реагирования

Правило Политики Реагирования имеет следующие разделы:

  • Имя - Имя, которое вы назначаете для правила

  • Описание для правила

  • Источник - Источник трафика в вашей сети, участвующий в истории. Например: Площадка, IP-адрес или пользователь

    Для получения дополнительной информации о элементах источника для правила, смотрите Справка по объектам правил.

  • Критерии - Характеристики истории для соответствия правилу. Когда вы добавляете критерии, выберите тип критериев, значение и оператор, который определяет связь между критериями и значением. Например: Критичность | Больше чем | 6.

    Конфигурируемые критерии историй включают следующее: Критичность, Серьезность, Индикация, Вердикт аналитика, Производитель, Добавленные цели, Статус. Для получения дополнительной информации о этих критериях истории смотрите Обзор истории XOps в рабочем столе истории

    • Производитель это движок, который генерирует историю. Для получения дополнительной информации о операциях сайта смотрите Обзор истории операций сайта. Для получения дополнительной информации о движках XOps и их требуемых типах лицензий смотрите Использование каталога индикаторов

    • Вы можете настроить несколько значений для следующих критериев: Индикация, Вердикт аналитика, Серьезность, Производитель. Когда вы добавляете несколько значений к одной записи критериев, между ними существует связь ИЛИ.

  • Триггер - Определяет, когда движок Политики Реагирования проверяет историю на соответствие правилу. Настройки включают:

    • История создана - Движок Политики Реагирования проверяет соответствие правилу при создании новой истории. Существующие истории, которые обновляются, не проверяются на соответствие правилу.

    • История создана или обновлена - Движок Политики Реагирования проверяет соответствие правилу при создании новой истории или обновлении существующей истории. Обновления могут включать изменения Статуса, Вердикта аналитика, Серьезности и Целей истории.

  • Реакция - Выберите реакцию, когда правило соответствует. Ответы могут включать в себя генерацию события и уведомления, определенные группой подписок, списком рассылки или интеграцией с уведомлениями Webhook.

Создание новых правил Политики Реагирования

Создайте новое правило Политики Реагирования и настройте параметры правила, чтобы определить, когда отправляется уведомление об истории.

Response_Policy_New_rule_panel.png

Чтобы создать новое правило Политики Реагирования:

  1. В меню навигации нажмите Домашняя > Политика обнаружения и Реакция.

  2. Выберите вкладку Политика Реагирования.

  3. Нажмите Новый. Откроется панель Добавить в Политику Реагирования.

  4. Введите Имя для правила.

  5. В разделе Источник выберите тип (например: Хост, Диапазон IP, Сайт) и затем выберите один или несколько объектов для истории источника для этого правила (или вы можете ввести IP-адрес).

    Значение Источник по умолчанию — Любое.

  6. (Необязательно) Определите Критерии, которые задают характеристики, которые история должна иметь для соответствия правилу.

  7. Выберите Триггер для правила.

  8. Выберите Реакцию. Если вы выберете Отправить уведомление, то определите Группу подписки, Список рассылки или Интеграцию для получения уведомления.

  9. Нажмите Сохранить. Правило добавлено в Политику.

Создание интеграции Webhook

Чтобы отправить данные из Историй XOps в стороннюю систему с использованием интеграции через Webhook, вам необходимо:

  1. Настроить стороннюю интеграцию в CMA

  2. Создать необходимое правило в политике реагирования

Шаг 1: Настройка сторонней интеграции

Вы можете определить интеграцию Webhook для отправки оповещений на сторонние платформы, такие как ServiceNow, Jira и Slack, и создать автоматизированные потоки на основе оповещений. Webhooks от Cato поддерживают настраиваемые HTTP заголовки и сообщения в оповещении для удовлетворения специфических потребностей вашей организации. Для получения дополнительной информации смотрите Создание интеграции уведомлений Webhook.

Шаг 2: Создание необходимого правила

После определения сторонней интеграции, создайте правило в политике реагирования.

Response.png

Чтобы создать правило для сторонней интеграции:

  1. Следуйте шагам 1-7 в Создание новых правил политики ответов.

  2. В разделе Реакция выберите Включить уведомление.

  3. В раскрывающемся меню Отправить уведомление выберите Интеграция.

  4. В раскрывающемся меню Интеграция выберите интеграцию, которую вы хотите использовать в правиле.

  5. Нажмите Сохранить. Правило добавляется в политику.

Поля Событий и API Cato для Событий Историй XOps

Страница Событий показывает все события истории XOps, сгенерированные для вашей учетной записи. Вы можете отфильтровать страницу, чтобы показать события с использованием Тип события Обнаружение и Реакция.

Ниже перечислены соответствующие поля для событий истории. Запрос eventsFeed API Cato показывает данные для историй XOps в этих полях для типа eventFieldName.

Значение API Enum

Поле события

Комментарии

user_display_name

Отображаемое имя пользователя

  

analyst_verdict

Вердикт аналитика

  

Критичность

Критичность

  

device_name

Имя устройства

  

event_count

Количество событий

Для Историй XOps события не агрегируются автоматически, поэтому Поле Счетчика Событий обычно будет иметь значение 1.

sub-type

Подтип

  

event_type

Тип события

Для событий истории XOps тип события — Обнаружение и Реакция.

индикация

Индикация

  

event_internal_id

Внутренний ID события

  

Производитель

Производитель

Движок, который создал историю. Возможные значения: Предотвращение угроз, Поиск угроз, Аномалии использования, События аномалий, Оповещение конечных точек Microsoft.

Правило

Правило

Имя правила Политики Реагирования, которое создало событие.

source_ip

IP-адрес источника

  

source_is_site_or_sdp_user

Источник: Сайт или Пользователь

  

source_site

Исходный сайт

  

Статус

Статус

  

story_id

ID истории

  

threat_name

Имя угрозы

  

threat_type

Тип угрозы

  

Время

Время

  

Поставщик

Поставщик

Возможные значения: Microsoft (для историй Оповещений конечных точек Microsoft), Cato.

дополнительные_данные

Н/Д

Данные истории, которые не включены в другие поля события. Это поле включено в экспортируемые события, но не отображается на странице События.

Примечание: Это поле экспортируется как сырые неанализированные данные и может содержать символы экранирования. Этот формат может быть изменен.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев