Создание политики ответов для историй XOps

В этой статье объясняется, как использовать вебхуки и другие уведомления с политикой ответов XOps, которая определяет, когда вы уведомлены о новых и обновленных историях XOps и когда создаются события.

Для получения дополнительной информации об историях XOps, смотрите Просмотр Историй Обнаружения и Реакции XOps в Рабочей области Историй

Обзор

Политика ответов помогает вам отслеживать истории XOps, определяя, когда уведомления для историй отправляются администраторам и аналитикам, и когда создаются события для историй. Вы можете создать правила, которые определяют критерии истории для отправки уведомлений и генерации событий, и использовать группы подписки, списки рассылки и интеграции сторонних разработчиков для настройки получения уведомлений администраторами.

Например, вы можете создать правила, которые отправляют уведомления:

  • Если критичность истории высокая

  • Когда создаются новые истории для конкретного источника (например, сайт или диапазон IP)

  • Когда обновляются цели истории

  • Для истории безопасности с конкретным признаком атаки

  • Для операций на сайте по конкретным проблемам, таким как недоступность сайта или ссылки

Примечание

Примечание: По умолчанию уведомления не отправляются для Операций Сайта, которые соответствуют правилу Отключенные Истории.

Генерация событий для историй XOps и экспорт в сторонние сервисы

По умолчанию события историй XOps не генерируются. События создаются только в соответствии с настроенными правилами. Когда вы определяете правила, которые генерируют события для историй XOps, вы можете просматривать их на странице События, для получения дополнительной информации, смотрите Анализ Событий в Вашей Сети.

Вы также можете интегрировать события для историй XOps с вашими существующими сторонними сервисами и рабочими процессами.

Страница События показывает определенное количество полей на событие. Чтобы получить доступ к полным данным истории, экспортируйте их в файл JSON, доступный в поле additional_data. Вы также можете создать фильтр для экспорта только необходимых данных. Для получения дополнительной информации о полях событий XOps, смотрите ниже Поля Событий и API Cato для Событий Историй XOps.

Добавление правил в политику ответов XOps

Когда вы добавляете правило в политику ответов, настройте каждый раздел в правиле, необходимый для определения условий отправки уведомления или генерации события.

Например, если вы хотите создать событие для каждой истории XOps, которая создается или обновляется, настройте правило с Источник как Любой и Триггер как История создана или обновлена.

Примечание

Примечание: Для клиентов MDR, пожалуйста, свяжитесь с , чтобы определить правила политики ответов для вашей учетной записи. Это можно изменить, выбрав его в качестве условия.

Response_Policy.png

Настройки правил политики ответов

Правило политики ответов имеет следующие разделы:

  • Имя - Имя, которое вы назначаете для правила

  • Описание для правила

  • Источник - Источник трафика вашей сети, участвующий в истории. Например: сайт, IP-адрес или пользователь

    Для получения дополнительной информации о Источник объектах для правила, см. Справочник по объектам правил.

  • Критерии - Характеристики истории для соответствия правилу. Когда вы добавляете критерии, выберите тип критериев, значение и оператор, который определяет отношения между критериями и значением. Например: Критичность | Больше чем | 6.

    Настраиваемые критерии историй включают следующие: Критичность, Серьезность, Индикация, Вердикт аналитика, Производитель, Добавленные объекты и Статус. Для получения дополнительной информации о этих критериях историй, смотрите Просмотр Историй Обнаружения и Реакции XOps в Рабочей области Историй

    • Производитель — это движок, который генерирует историю. Для получения дополнительной информации об Операциях Сайта, см. Обзор Историй Операций Сайта . Для получения дополнительной информации о движках XOps и их требуемых типах лицензий, смотрите Использование Каталога Индикаций

    • Вы можете настроить несколько значений для следующих критериев: Индикация, Вердикт аналитика, Серьезность и Производитель. Когда вы добавляете несколько значений в одну запись критериев, между ними существует отношение ИЛИ.

  • Триггер - Определяет, когда механизм политики ответов проверяет историю на соответствие правилу. Настройки включают:

    • История создана - Механизм политики ответов проверяет соответствие правилам, когда создается новая история. Существующие истории, которые обновлены, не проверяются на соответствие правилу.

    • История создана или обновлена - Механизм политики ответов проверяет соответствие правилам, когда создается новая история или обновляется существующая. Обновления могут включать изменения в статусе, мнении аналитика, серьезности и целях истории.

  • Ответ - Выберите ответ для случая, когда правило соответствует. Ответы могут включать генерацию события и уведомления, определяемые Группа подписки, Подписка на рассылку или Интеграция Webhook.

Создание новых правил политики ответов

Создайте новое правило политики ответов и настройте параметры правила для определения, когда отправляется уведомление об истории.

Response_Policy_New_rule_panel.png

Чтобы создать новое правило политики ответов:

  1. В меню навигации нажмите Главная > Политика обнаружения и ответов.

  2. Выберите вкладку Политика ответов.

  3. Нажмите Новый. Откроется панель Добавить в политику ответов.

  4. Введите Имя для правила.

  5. В разделе Источник выберите тип (например: Хост, Диапазон IP, Сайт), затем выберите один или несколько объектов для источника истории для этого правила (или введите IP-адрес).

    Значение по умолчанию для Источник - Любой.

  6. (Опционально) Определите Критерии, которые указывают характеристики, которые должна иметь история, чтобы соответствовать правилу.

  7. Выберите Триггер для правила. Вы можете настроить, должна ли активация происходить при создании истории, обновлении или обоих случаях.

  8. Выберите Ответ. Если вы выбрали Отправить уведомление, то определите группу подписки, список рассылки или интеграцию для получения уведомления.

  9. Нажмите Сохранить. Правило добавлено в политику.

Создание интеграции вебхуков

Чтобы отправить данные из историй XOps в сторонние сервисы, используя интеграцию вебхука, вам необходимо:

  1. Настроить интеграцию стороннего разработчика в CMA

  2. Создать необходимое правило в политике ответов

Шаг 1: Настройте интеграцию стороннего разработчика

Вы можете определить интеграцию вебхуков для отправки оповещений на сторонние платформы, такие как ServiceNow, Jira и Slack, и создать автоматизированные процессы, основанные на оповещениях. Вебхуки Cato поддерживают настраиваемые HTTP-заголовки и сообщения в уведомлении, чтобы соответствовать специфическим требованиям вашей организации. Для получения дополнительной информации см. Отправка Уведомлений CMA через Webhooks.

Шаг 2: Создание необходимого правила

После определения интеграции стороннего разработчика, создайте правило в политике ответов.

Response.png

Чтобы создать правило для сторонней интеграции:

  1. Следуйте шагам 1-7 в Создание Новых Правил Политики Реагирования.

  2. В разделе Ответ выберите Отправить уведомление.

  3. В выпадающем меню Отправить уведомление выберите Интеграция.

  4. В выпадающем меню Интеграция выберите интеграцию, которую вы хотите использовать в правиле.

  5. Нажмите Сохранить. Правило добавлено в политику.

Поля события и API Cato для событий истории XOps

На странице событий отображаются все события истории XOps, сгенерированные для вашей учетной записи. Вы можете отфильтровать страницу, чтобы отображались события, использующие тип события Обнаружение и Ответ.

Ниже приведены соответствующие поля для событий истории. Запрос eventsFeed API Cato показывает данные для историй XOps в этих полях для типа eventFieldName.

Значение API enum

Поле события

Комментарии

user_display_name

Отображаемое имя пользователя

analyst_verdict

Вердикт аналитика

criticality

Критичность

device_name

Имя устройства

event_count

Количество событий

Для историй XOps события не агрегируются автоматически, поэтому количество событий обычно имеет значение 1.

sub-type

Подтип

event_type

Тип события

Для событий истории XOps тип события - Обнаружение и Ответ.

indication

Индикация

event_internal_id

Внутренний ID события

producer

Производитель

Движок, который сгенерировал историю. Возможные значения: Предотвращение угроз, Охота за угрозами, Аномалия использования, Аномалия событий, Microsoft Endpoint Alert.

rule

Правило

Имя правила политики ответа, которое сгенерировало событие.

source_ip

Источник IP

source_is_site_or_sdp_user

Источник - сайт или пользователь

source_site

Источник сайта

status

Статус

story_id

ID истории

threat_name

Имя угрозы

threat_type

Тип угрозы

time

Время

vendor

Производитель

Возможные значения: Microsoft (для историй Microsoft Endpoint Alert), Cato.

additional_data

Б/Д

Данные истории, не включенные в другие поля события. Это поле включено в экспортируемые события, но не отображается на странице событий.

Примечание: Это поле экспортируется как необработанные данные, и может содержать управляющие символы. Этот формат может быть изменен.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев