Эта статья обсуждает, как вы можете использовать Рабочую область Историй для обзора XOps историй для оповещений Cato EPP.
Решение защиты Cato для конечных точек (Cato EPP) интегрируется с Cato XOps для создания историй для конечных точек. Истории конечных точек помогают создать полную картину потенциальных угроз в вашей сети, и вы можете проводить расследования в единой платформе XOps, охватывающей как сеть, так и конечные точки.
Движок оповещений Cato Endpoint создает историю, коррелируя данные из всех оповещений Cato EPP, произошедших на одном устройстве в течение 24 часов. Истории оповещений Cato Endpoint включают все соответствующие доказательства, обнаруженные Cato EPP. Рабочая область Историй показывает истории Cato EPP вместе с другими типами историй, вы можете сортировать и фильтровать истории, чтобы сосредоточиться на историях оповещений Cato Endpoint.
Для получения дополнительной информации о просмотре историй XOps, включая данные из Microsoft Защита Cato для конечных точек (Cato EPP), смотрите Drilling-Down and Analyzing XOps Security Stories
-
Если агент Cato EPP отключён от Интернета более чем на 8 часов, возможно, что истории XOps не будут созданы для некоторых событий EPP за этот период. Тем не менее, агент EPP продолжает обнаруживать и блокировать угрозы, и события будут доступны на странице событий.
-
Для того, чтобы истории Cato EPP XOps стали видимыми на странице событий, может понадобиться до 4 часов
-
Чтобы Добавить конечный коннектор, вы должны иметь разрешение редактора для Интеграции (в разделе Ресурсы). Для получения дополнительной информации см. Управление административными ролями с использованием RBAC.
После создания коннектора истории будут видны в Рабочей области Историй.
Чтобы просмотреть страницу Рабочей области Историй:
-
В меню навигации нажмите Главная > Рабочая область Историй.
Для получения информации о столбцах в рабочей области Историй, см. Understanding the Stories Columns.
Столбец Статус на странице Настройки коннекторов показывает статус соединения между приложением CrowdStrike и вашим аккаунтом Cato. Это объяснения статусов:
-
Подключено - Ваш аккаунт подключен к приложению и работает корректно
-
Ожидание согласия пользователя - Разрешения не были предоставлены для доступа Cato к приложению CrowdStrike. Чтобы решить эту проблему, обновите браузер. Если Статус изменится на Подключено, проблема решена; если Статус не изменился, удалите и заново создайте коннектор.
-
Ошибка - Возникла проблема с подключением, разрешениями, лицензией, или другая проблема с коннектором. Удалите и заново создайте коннектор.
После создания коннектора истории будут видны в Рабочей области Историй.
Чтобы просмотреть страницу Рабочей области Историй:
-
В меню навигации нажмите Главная > Рабочая область Историй.
Для информации о столбцах в Рабочей области Историй, смотрите Понимание колонок историй.
Для получения дополнительной информации о просмотре историй XOps, включая данные из Microsoft Defender, см. Drilling-Down and Analyzing XOps Security Stories
Вы можете группировать и фильтровать истории по типу истории оповещений Cato Endpoint, чтобы быстро находить истории для конечных устройств. Для получения более подробной информации о группировке и фильтрации Историй, см. Просмотр Историй Обнаружения и Реакции (XDR) в Рабочей области Историй.
0 комментариев
Войдите в службу, чтобы оставить комментарий.