Эта статья объясняет, как использовать вебхуки и другие уведомления с Политикой Реагирования XDR, которая определяет, когда вы уведомляетесь о новых и обновлённых Историях XDR, и когда создаются события.
Для получения дополнительной информации об историях XDR, смотрите Просмотр Историй Обнаружения и Реакции (XDR) в Рабочей области Историй
Политика Реагирования помогает вам мониторить истории Безопасности и Сетевой XDR, определяя, когда уведомления об историях отправляются администраторам и аналитикам, и когда создаются события для историй. Вы можете создавать правила, определяющие критерии истории для отправки уведомлений и создания событий. Можно использовать группы подписок, списки рассылки и сторонние интеграции для настройки получения уведомлений администраторами.
Например, можно создать правила, которые отправляют уведомления:
-
Если критичность истории высока
-
Когда для определённого источника (например, сайта или Диапазона IP) создаются новые истории
-
Когда цели истории обновляются
-
Для Историй Безопасности с конкретным указанием на атаку
-
Для Историй Сети по специфическим проблемам, например, сайт или ссылка не работает
Заметка
Примечание: По умолчанию уведомления не отправляются для сетевых историй, которые соответствуют правилу Отключенные Истории.
По умолчанию события историй XDR не создаются. События создаются только в соответствии с настроенными правилами. Когда вы определяете правила для создания событий для историй XDR, вы можете их просмотреть на странице События, для получения дополнительной информации, смотрите Анализ событий в вашей сети.
Вы также можете интегрировать события для историй XDR с вашими существующими сторонними сервисами и рабочими процессами:
-
Для списка интеграций, поддерживаемых поставщиками для событий Cato, смотрите Третьи стороны, поддерживающие интеграции для данных Cato
-
Для получения дополнительной информации о передаче событий в аккаунт третьей стороны (например, AWS или Azure), смотрите статьи в разделе Интеграция событий
-
Для получения дополнительной информации об использовании API eventsFeed для интеграции событий с решением SIEM, смотрите Руководство по интеграции SIEM для API Cato
Страница События показывает установленное количество полей на событие. Чтобы получить доступ к полным данным истории, экспортируйте их как файл JSON, доступный в поле additional_data. Вы также можете создать фильтр, чтобы экспортировать только необходимые данные. Для получения дополнительной информации об полях событий XDR, смотрите ниже События Cato и поля API для событий истории XDR.
Когда вы добавляете правило в Политику Реагирования, настройте каждый раздел в правиле, который необходим для определения условий для отправки уведомления или создания события.
Например, если вы хотите создать событие для каждой Истории XDR, которая создается или обновляется, настройте правило с Источник как Любой, и Триггер как История создана или обновлена.
Примечание
Примечание: Для клиентов MDR, пожалуйста, свяжитесь с <mdr@catonetworks.com> для определения правил Политики Реагирования для вашего аккаунта.
Правило Политики Реагирования имеет следующие разделы:
-
Имя - Имя, которое вы назначаете для правила
-
Описание для правила
-
Источник - Источник трафика в вашей сети, участвующий в истории. Например: Площадка, IP-адрес или пользователь
Для получения информации о других объектах Источника для правила, см. Справочник по объектам правил.
-
Критерии - Характеристики истории для соответствия правилу. Когда вы добавляете критерии, выберите тип критериев, значение и оператор, который определяет связь между критериями и значением. Например: Критичность | Больше чем | 6.
Конфигурируемые критерии историй включают следующее: Критичность, Серьезность, Индикация, Вердикт аналитика, Производитель, Добавленные цели, Статус. Для получения дополнительной информации о Рабочей области Историй смотрите Просмотр историй обнаружения & Реакция (XDR) в Рабочей области Историй
-
Критерий Производитель это движок, который генерирует историю и включает как движки безопасности, так и сетевые XDR. Для получения дополнительной информации о сетевых историях в Cato XDR, см. Обзор сетевых историй в XDR . Чтобы узнать больше об этих движках и типах историй, которые они обнаруживают, смотрите Использование Каталога Индикаций
-
Вы можете настроить несколько значений для следующих критериев: Индикация, Вердикт аналитика, Серьезность, Производитель. Когда вы добавляете несколько значений к одной записи критериев, между ними существует связь ИЛИ.
-
-
Триггер - Определяет, когда движок Политики Реагирования проверяет историю на соответствие правилу. Настройки включают:
-
История создана - Движок Политики Реагирования проверяет соответствие правилу при создании новой истории. Существующие истории, которые обновляются, не проверяются на соответствие правилу.
-
История создана или обновлена - Движок Политики Реагирования проверяет соответствие правилу при создании новой истории или обновлении существующей истории. Обновления могут включать изменения Статуса, Вердикта аналитика, Серьезности и Целей истории.
-
-
Реакция - Выберите реакцию, когда правило соответствует. Ответы могут включать создание события и уведомления, определенные Группа подписки, Список рассылки, или Webhook Интеграция.
Создайте новое правило Политики Реагирования и настройте параметры правила, чтобы определить, когда отправляется уведомление об истории.
Чтобы создать новое правило Политики Реагирования:
-
В меню навигации нажмите Домашняя > Политика обнаружения и Реакция.
-
Выберите вкладку Политика Реагирования.
-
Нажмите Новый. Откроется панель Добавить в Политику Реагирования.
-
Введите Имя для правила.
-
В разделе Источник выберите тип (например: Хост, Диапазон IP, Сайт) и затем выберите один или несколько объектов для истории источника для этого правила (или вы можете ввести IP-адрес).
Значение Источник по умолчанию — Любое.
-
(Необязательно) Определите Критерии, которые задают характеристики, которые история должна иметь для соответствия правилу.
-
Выберите Триггер для правила.
-
Выберите Реакцию. Если вы выберете Отправить уведомление, то определите Группу подписки, Список рассылки или Интеграцию для получения уведомления.
-
Нажмите Сохранить. Правило добавлено в Политику.
Чтобы отправить данные из историй XDR в стороннюю систему с помощью интеграции Webhook, вам нужно:
-
Настроить стороннюю интеграцию в CMA
-
Создать необходимое правило в политике реагирования
Вы можете определить интеграцию Webhook для отправки оповещений на сторонние платформы, такие как ServiceNow, Jira и Slack, и создать автоматизированные потоки на основе оповещений. Webhooks от Cato поддерживают настраиваемые HTTP заголовки и сообщения в оповещении для удовлетворения специфических потребностей вашей организации. Для получения дополнительной информации, смотрите Создание интеграции оповещений Webhooks.
После определения сторонней интеграции, создайте правило в политике реагирования.
Чтобы создать правило для сторонней интеграции:
-
Следуйте шагам 1-7 в Создание новых правил политики реагирования.
-
В разделе Реакция выберите Включить уведомление.
-
В раскрывающемся меню Отправить уведомление выберите Интеграция.
-
В раскрывающемся меню Интеграция выберите интеграцию, которую вы хотите использовать в правиле.
-
Нажмите Сохранить. Правило добавляется в политику.
На странице События показаны все события истории XDR, сгенерированные для вашей учетной записи. Вы можете отфильтровать страницу, чтобы показать события с использованием Тип события Обнаружение и Реакция.
Ниже приведены соответствующие поля для событий истории XDR. Запрос eventsFeed API Cato показывает данные для историй XDR в этих полях для типа eventFieldName.
|
Значение API Enum |
Поле события |
Комментарии |
|---|---|---|
|
user_display_name |
Отображаемое имя пользователя |
|
|
analyst_verdict |
Вердикт аналитика |
|
|
Критичность |
Критичность |
|
|
device_name |
Имя устройства |
|
|
event_count |
Количество событий |
Для историй XDR события не агрегируются автоматически, поэтому значение Количество событий обычно равно 1. |
|
sub-type |
Подтип |
|
|
event_type |
Тип события |
Для событий истории XDR Тип события — Обнаружение и Реакция. |
|
индикация |
Индикация |
|
|
event_internal_id |
Внутренний ID события |
|
|
Производитель |
Производитель |
Движок, который создал историю. Возможные значения: Предотвращение угроз, Поиск угроз, Аномалии использования, События аномалий, Оповещение конечных точек Microsoft. |
|
Правило |
Правило |
Имя правила Политики Реагирования, которое создало событие. |
|
source_ip |
IP-адрес источника |
|
|
source_is_site_or_sdp_user |
Источник: Сайт или Пользователь |
|
|
source_site |
Исходный сайт |
|
|
Статус |
Статус |
|
|
story_id |
ID истории |
|
|
threat_name |
Имя угрозы |
|
|
threat_type |
Тип угрозы |
|
|
Время |
Время |
|
|
Поставщик |
Поставщик |
Возможные значения: Microsoft (для историй Оповещений конечных точек Microsoft), Cato. |
|
дополнительные_данные |
Н/Д |
Данные истории, которые не включены в другие поля события. Это поле включено в экспортируемые события, но не отображается на странице События. Примечание: Это поле экспортируется как сырые неанализированные данные и может содержать символы экранирования. Этот формат может быть изменен. |
0 комментариев
Войдите в службу, чтобы оставить комментарий.