В этой статье обсуждается, как использовать инструменты в рабочей области историй для управления расследованиями историй.
Подробнее об инструменте Stories см. в разделе Обзор обнаружения и реакции XOps историй в инструменте Stories.
Примечание
Примечание: XOps — это унифицированный аналитический слой Cato для безопасности и операций, предлагающий понимание ситуации и направленное устранение. XOps заменил XDR, для получения дополнительной информации см. Часто задаваемые вопросы по XOps.
Страница углубления рабочей области историй предоставляет инструменты, которые помогают вашей команде аналитиков отслеживать и управлять расследованием истории на протяжении всего её жизненного цикла. Вы можете выполнить множество различных действий для управления и записи результатов расследования истории, например, определить вердикт для истории или установить статус как закрыто. Вы также можете оставлять комментарии к истории, чтобы детализировать ход расследования и содействовать сотрудничеству с другими членами команды. На странице также можно создать правило отключения историй для случая, когда вы определили, что история безвредна и хотите, чтобы механизмы XOps прекратили генерировать истории для схожих инцидентов.
Примечание
Примечание: Для клиентов MDR, пожалуйста, свяжитесь с <mdr@catonetworks.com>, чтобы определить правила Отключенных Историй для вашего аккаунта.
-
Действия с историями и комментарии доступны для клиентов XOps. Клиенты MDR не могут выполнять действия или оставлять комментарии.
-
Пользователи с правами редактирования могут выполнять действия по истории и оставлять комментарии. Пользователи с разрешениями на просмотр могут просматривать комментарии.
Панель Действия по истории позволяет выполнять различные действия для управления историей. Это действия, которые вы можете выполнить:
-
Установите Вердикт аналитика - Определите историю как Подозрительная, Вредоносная, Информационная или Безвредная
-
Когда вы устанавливаете вердикт на Подозрительная, Информационная или Безвредная, затем вы также можете определить:
-
Тип - Выберите конкретный тип угрозы из выпадающего списка
Когда вы выбираете Тип, показываются детали о типе и рекомендуемые действия
-
Классификация - Выберите более детальное описание угрозы из выпадающего списка. Раздел Классификация появляется только после выбора Типа
-
-
Когда вы устанавливаете вердикт как Вредоносная, затем вы также можете определить:
-
Серьезность истории. Возможные значения: Высокий, Средний и Низкий.
-
Тип - Раздел Тип появляется только после выбора Серьезности.
-
Классификация - Раздел Классификация появляется только после выбора Типа.
-
-
-
Введите Дополнительную информацию - Добавьте информацию, относящуюся к истории
-
Установите Статус истории - Возможные значения: Закрыто, Открытые, Ожидает Анализа (например, когда история ожидает внимания аналитика) и Требуется Дополнительная Информация (например, когда история ожидает ответа от клиента)
-
Добавьте историю в новое правило Отключенных Историй. Подробнее об отключении историй см. в разделе Отключение XOps историй.
Используйте панель Комментарии по истории для публикации комментариев, которые помогают отслеживать расследование истории. Когда вы размещаете комментарий, он виден всем пользователям с разрешениями на просмотр истории. Кроме того, некоторые комментарии создаются автоматически системой для помощи в отслеживании значительных событий в жизненном цикле истории, например, когда история создается или когда идентифицируются новые цели, связанные с историей.
Вы можете удалить комментарий, который вы опубликовали, но не можете удалить другие комментарии. Комментарии редактировать нельзя. В комментарий можно вводить только текст.
Количество комментариев, опубликованных для истории, отображается на кнопке Комментарии на странице подробностей истории.
-
Комментарии ограничены 500 символами
-
Одна история не может иметь более 200 комментариев
0 комментариев
Статья закрыта для комментариев.