Защита конечных точек Cato (EPP): Настройка интеграции XOps

В этой статье обсуждается, как использовать Рабочую программу историй для просмотра XOps историй оповещений Cato EPP.

Примечание

Примечание: XOps является единым аналитическим слоем для безопасности и операций от Cato, предлагающим аналитическую информацию и руководства по исправлению. XOps заменил XDR, для получения дополнительной информации см. Часто задаваемые вопросы о XOps.

Обзор историй оповещений защиты конечных точек Cato

Решение Cato EPP интегрируется с XOps (ранее XDR) для создания историй для устройств конечных точек. Истории конечных точек помогут вам получить более полное представление о потенциальных угрозах в вашей сети, и вы можете провести расследование на единой платформе XOps, расширяющейся как на сеть, так и на конечную точку.

Движок оповещений конечных устройств Cato создает историю, сопоставляя данные всех оповещений Cato EPP, которые произошли на одном и том же устройстве в течение 24 часов. Истории оповещений конечных точек Cato включают все соответствующие доказательства, выявленные Cato EPP. Рабочая область историй показывает истории Cato EPP вместе с другими типами историй, и вы можете сортировать и фильтровать истории, чтобы сосредоточиться на историях оповещений конечных точек Cato.

Для получения дополнительной информации о проверке историй XOps, включая данные из Microsoft Cato EPP, см. Drilling-Down and Analyzing XOps Security Stories

Известные ограничения

Если агент Cato EPP отключен от Интернета более чем на 8 часов, возможно, что истории XOps не будут созданы для некоторых событий EPP в этот период. Тем не менее, агент EPP продолжает обнаруживать и блокировать угрозы, и события будут доступны на странице событий.

Показ рабочей области страниц историй

После создания коннектора истории будут видны в Рабочей области Историй.

Чтобы посмотреть страницу Рабочей области Историй:

В меню навигации кликните Home > Рабочая область Историй.

Для получения информации о столбцах в рабочей области историй обратитесь к Understanding the Stories Columns.

Понимание статуса коннектора

Столбец статуса на странице Настройки коннекторов показывает статус соединения между приложением CrowdStrike и вашим аккаунтом Cato. Вот объяснения статусов:

Подключено - Ваш аккаунт подключен к приложению и работает корректно
Ожидание согласия пользователя - Права доступа не были предоставлены для разрешения Cato доступа к приложению CrowdStrike. Чтобы решить эту проблему, обновите браузер. Если Статус изменится на Подключено, проблема решена. Если Статус не изменится, удалите и создайте коннектор заново.
Ошибка - Существует проблема с подключением, разрешениями, лицензией или другие вопросы с коннектором. Удалите и создайте коннектор заново.

Просмотр страницы Рабочей области Историй

После создания коннектора истории будут видны в Рабочей области Историй.

Чтобы посмотреть страницу Рабочей области Историй:

В меню навигации нажмите Главная > Рабочая область Историй.

Для информации о столбцах в Рабочей области Историй см. Понимание столбцов Историй

Для получения дополнительной информации о проверке историй XOps, включая данные из Microsoft Defender, см. Drilling-Down and Analyzing XOps Security Stories

Отображение историй оповещения Cato для конечных точек

Вы можете группировать и фильтровать истории в соответствии с типом истории Оповещение для конечного устройства, чтобы быстро находить истории для конечных устройств. Для получения дополнительной информации о группировке и фильтрации историй см. Просмотр историй обнаружения и реакции XOps в Рабочей программе историй.