Эта статья описывает возможности операций безопасности и сетевых операций платформы Cato XOps, и что входит в различные уровни лицензий XOps.
Платформа Cato XOps позволяет командам по эксплуатации Безопасности и Сети использовать ИИ и автоматизацию для Мониторинга сети организации как на предмет Угроз безопасности, так и на производительность сети. XOps преобразует неуправляемое количество исходных событий безопасности и сети в доступные, межфункциональные и эффективные истории.
Платформа включает передовые корреляционные механизмы множества различных типов, которые анализируют данные трафика для нахождения соответствий с конкретными признаками действий угроз или проблем сети. Когда механизм находит соответствие, он создает историю, которую можно просмотреть и изучить в Приложении Управления Cato (CMA). CMA называет эти механизмы Производителями.
Каждая история XOps содержит данные из потоков трафика с общими свойствами, относящимися к одной и той же угрозе или проблеме в сети. На странице Рабочее пространство историй показаны подробности каждой истории, чтобы помочь вам понять и проанализировать их. Вы можете сортировать и фильтровать истории, чтобы найти самые важные потенциальные атаки, а затем углубляться в историю для дальнейшего изучения деталей.
Это имена и описания различных производителей историй XOps:
-
Предотвращение угроз - Продюсер предотвращения угроз Cato XOps обнаруживает специфические поведенческие признаки атак в событиях, сгенерированных в реальном времени службами безопасности Cato, такими как IPS и Антивирус. Истории предотвращения угроз помогают аналитикам сосредоточиться на немедленных высоко вероятных угрозах.
Истории предотвращения угроз обычно основаны на коррелированных блокировках, то есть событиях, связанных с трафиком, который был заблокирован одной из служб безопасности. Однако, даже если трафик уже заблокирован, возможно, он все же связан с продолжающейся угрозой. История XOps позволяет исследовать контекст и детали подозрительного трафика, чтобы определить, существует ли еще угроза, требующая дальнейших мер.
Для получения дополнительной информации о историях предотвращения угроз см. Подробное изучение и анализ историй безопасности XOps.
-
Охота на угрозы - Продюсер охоты на угрозы постоянно сканирует большое количество исторических данных о трафике, хранящихся в озере данных, для обнаружения образцов трафика, которые указывают на потенциальные угрозы. В отличие от производителя предотвращения угроз, который сосредотачивается на недавних событиях, производитель охоты за угрозами ищет корреляции со временем в храненных данных трафика. Корреляции выявляются на основе данных за неделю, чтобы обеспечить точность. Кроме того, в то время как производитель предотвращения угроз изучает данные в журналах событий, производитель охоты за угрозами анализирует более широкий набор данных из потоков трафика. Это позволяет производителю охоты за угрозами обнаруживать более сложные угрозы, которые сложно выявить с помощью традиционных методов, поскольку они создают низкий и трудновыявляемый сигнатур.
Ниже представлена страница Обзора для истории охоты за угрозами, которая выявила 40 различных потоков трафика, связанных с киберсквоттинг-фишинговой угрозой.
Для получения дополнительной информации о историях охоты на угрозы см. Подробное изучение и анализ историй безопасности XOps.
-
Аномалии использования - Часть возможностей Аналитики поведения пользователя и сущности (UEBA) Cato, этот производитель сравнивает сетевую активность пользователя и сайта с базовыми уровнями, рассчитанными алгоритмами машинного обучения, и генерирует истории для подозрительных отклонений от базового уровня использования. Например, обнаружено, что конкретный пользователь использует больше входящего канала, чем обычно.
Для получения дополнительной информации об историях аномалий использования см. Анализ историй XOps UEBA для аномалий использования и событий.
-
Аномалии событий - Другой элемент возможностей UEBA Cato, этот производитель обнаруживает индикаторы, связанные с тем, что сущность в сети инициировала необычное количество событий безопасности. Например, пользователь связан с необычно большим количеством событий блокировки IPS для трафика в определенном направлении, что может указывать на потенциальное инфицирование устройства пользователя.
Для получения дополнительной информации о историях аномалий событий см. Анализ историй XOps UEBA для аномалий использования и событий.
-
Аномалия производительности: Обнаруживает необычные изменения в качестве работы приложения для конкретных сайтов и приложений. После мониторинга приложения в течение 14 дней создается базовая линия, используя TTFB (Время до первого байта). Производитель затем проверяет трафик один раз в день и генерирует историю, когда качество работы приложения значительно отличается от базового уровня. История помогает вам оценить затронутый сайт, приложение, потоки трафика и возможные проблемы с производительностью.
-
Операции Учетной записи: Обнаруживает проблемы на уровне учетной записи, которые могут повлиять на пользователей, сайты и услуги. Сюда входят такие проблемы, как сбои в синхронизации каталогов, исчерпание лицензий, истечение срока действия сертификатов, проблемы с коннекторами и другие проблемы конфигурации или эксплуатации. Производитель генерирует истории, которые помогают вам понять проблему, оценить ее область и воздействие, и следовать руководству по восстановлению для возвращения к нормальной работе.
-
Прогнозное понимание: Обнаруживает потенциальные риски производительности и доступности до того, как они нарушат сервис. Он анализирует тренды сети, использование ресурсов и контекст конфигурации, чтобы прогнозировать развивающиеся проблемы. Например, он может сгенерировать историю, когда ожидается, что сокет сайта превысит допустимое использование ЦП. История помогает вам оценить прогноз, понять, когда проблема может стать критичной, и следовать руководству по восстановлению.
-
Оповещения Microsoft Endpoint - Клиенты, использующие Microsoft Defender для Endpoint, могут интегрировать данные предупреждений Defender с Cato XOps для создания историй для устройств конечных точек. Источник оповещений конечных точек Microsoft создает историю, коррелируя данные из оповещений Defender, которые произошли на одном устройстве в течение 24 часов. Истории предупреждений окончательной точки включают все соответствующие доказательства для Определения, обнаруженного Defender. Расширяя фокус на конечные точки, эти истории помогают получить более полное представление о потенциальных угрозах в вашей сети.
Для получения дополнительной информации о интеграции Defender для конечной точки с Cato XOps см. Настройка интеграции Microsoft Defender для конечной точки: интеграция XOps.
-
Оповещения Microsoft Entra ID - Вы можете интегрировать данные оповещений из Microsoft Entra ID Protection для генерации историй Cato XOps. Это позволяет аналитикам включать данные о рисковых входах в более широкий контекст исследований XOps. Механизм оповещения идентификации Cato Entra создает историю, коррелируя данные из оповещений Entra ID Protection, которые произошли для одного и того же пользователя в течение 24-часового периода.
Для получения дополнительной информации о интеграции оповещений Entra ID с Cato XOps см. Настройка интеграции Microsoft Entra ID: интеграция XOps.
-
Обнаружение и реагирование в облаке: Использует проблемы Wiz для обнаружения рисков в облачных средах. Сюда входят небезопасные конфигурации, уязвимые приложения, уязвимые учетные данные и обнаружение угроз. Производитель обрабатывает проблемы Wiz почти в реальном времени и генерирует истории в Рабочей области Историй. Эти истории объединяют облачную аналитику Wiz с контекстом Cato, помогая вам расследовать риски в облаке и выявлять возможные атаки в различных средах.
-
Предупреждения конечных точек Cato - Решение EPP Cato интегрируется с Cato XOps для генерации историй для устройств конечных точек. Производитель предупреждений конечных точек Cato создает историю, коррелируя данные из всех оповещений Cato EPP, произошедших на одном устройстве в течение 24-часового периода. Истории предупреждений конечных точек Cato включают все соответствующие доказательства, обнаруженные Cato EPP.
Для получения дополнительной информации о историях оповещений Cato по конечным точкам см. Cato Endpoint Protection (EPP): настройка интеграции XOps.
-
Оповещения SentinelOne - Клиенты, которые используют SentinelOne, могут интегрировать данные из SentinelOne EDR для генерации историй для конечных устройств. Производитель SentinelOne создает историю, коррелируя данные инцидентов SentinelOne EDR на основе Agent UUID (ID устройства) и хеша файла угрозы в течение 90 дней. Эти истории включают все соответствующие доказательства для инцидентов, обнаруженных SentinelOne. Истории создаются почти в реальном времени после создания исходного оповещения.
Для получения дополнительной информации о интеграции оповещений SentinelOne см. SentinelOne EDR: настройка интеграции XOps.
-
Оповещения CrowdStrike - Клиенты, которые используют CrowdStrike, могут интегрировать данные на основе ID инцидента. Эти истории включают все соответствующие доказательства для обнаружения, выявленного CrowdStrike. Истории создаются почти в реальном времени после создания исходного оповещения.
Для получения дополнительной информации о интеграции оповещений CrowdStrike см. CrowdStrike: настройка интеграции XOps.
-
Деятельность сайта - Cato XOps включает в себя уникального производителя AIOps, известного как Операции сайта (ранее известный как Сетевой XDR), который объединяет сетевые операции и операции по безопасности в единую платформу. Этот производитель обнаруживает различные индикаторы и метрики, связанные с подключением и производительностью, создавая истории, которые коррелируют данные для проблем, связанных с сетью. Например, если WAN-ссылка испытывает постоянное высокая процент потерянных пакетов, производитель создаёт одну историю со всеми соответствующими данными для ссылки.
Для получения дополнительной информации о сетевых историях в Cato XOps, смотрите Обзор историй Операции сайта.
Этот раздел предоставляет сценарии использования для каждого производителя:
Сценарий
Пользователь нажимает на фишинговую ссылку и перенаправляется на сайт, на котором размещен эксплойт-кит.
Как это работает
IPS Cato в реальном времени обнаруживает попытку эксплуатации и блокирует трафик до его достижения конечной точки.
История
Продюсер предотвращения угроз создает историю, показывающую:
-
Идентификацию и место нахождения пользователя
-
Подпись эксплойт-кита (например, ссылка на CVE)
-
Принятое действие (трафик был заблокирован)
Результат
Службы безопасности быстро определяют, что была попытка эксплуатации, но заражения на конечные точки не было. Они могут отследить, добралось ли фишинговое письмо до других пользователей. На вкладке Похожие истории отображаются все другие пользователи, которые пытались попасть на тот же домен, а страница События предоставляет глубокий анализ сигнатуры IPS и CVE для выявления, встречались ли они еще где-то в сети.
Сценарий
Устройство общается с редким внешним IP-адресом каждую ночь в 2:00. IP не включен в списки угроз, но образец общения выглядит подозрительно.
Как это работает
Движок охоты на угрозы анализирует исторический трафик в озере данных. Он обнаруживает этот необычный паттерн маячков на протяжении нескольких недель.
История
Продюсер создает историю, связывающую:
-
Повторяющиеся потоки от одного и того же хоста
-
Подозрительные характеристики назначения (низкая репутация, редкая ASN)
-
Хронология активности
Результат
Аналитики СОК расследуют и обнаруживают использование каналов управления и контроля вредоносным ПО. Раннее обнаружение предотвращает эксфильтрацию данных.
Сценарий
Сотрудник отдела кадров обычно загружает ~50 МБ файлов в неделю. Вдруг он загружает 5 ГБ на внешний сайт для обмена файлами.
Как это работает
Продюсер аномалий использования использует машинное обучение для сравнения текущей активности с исходным уровнем пользователя. Пиковый момент был помечен как подозрительный.
История
История показывает:
-
Нормальный начальный уровень против нового поведения
-
Назначение (Dropbox, Google Drive и т. д.)
-
Временная метка и объем трафика
Результат
Безопасность проводит расследование и выясняет, что пользователь случайно загружал конфиденциальные файлы в личный аккаунт. Файлы удаляются, и Cato рекомендует усилить контроль DLP для предотвращения подобных случаев в будущем.
Сценарий
Устройство IoT начинает общаться в новом направлении трафика, отправляя данные в интернет, чего раньше не наблюдалось для этого устройства, которое обычно общается только в пределах WAN.
Как это работает
Продюсер аномалий событий выявляет отклонения в частоте событий пользователей, сайтов или устройств.
История
История выделяет:
-
Обычное поведение этого устройства (общение в WAN)
-
Аномальное поведение: Множественные запросы к внешним IP-адресам, связанным с потоками информации об угрозах
Результат
Команда подтверждает попытку управления и контроля через устройство IoT. Устройство ограничивается и вредоносное общение блокируется.
Сценарий
Microsoft Defender для конечной точки обнаруживает вредоносный скрипт PowerShell на рабочем месте.
Как это работает
Оповещение передается от Microsoft Defender в Cato через коннектор.
История
Платформа XOps коррелирует истории этого продуцента, оповещения по конечным точкам, с связанными историями от других продуцентов (например, исходящий трафик на подозрительные IP).
Результат
Команде СОК предоставляется унифицированный вид вредоносного ПО на конечных точках и соответствующего поведения сети, что позволяет быстрое сдерживание и анализ причин.
Сценарий
Филиал испытывает периодические проблемы с подключением, основное соединение с провайдером ISP постоянно поднимается и опускается (флаппинг), нарушая доступ к облачным приложениям и VPN-туннелям.
Как это работает
Движок операций сайта Cato постоянно отслеживает состояние соединений. Когда несколько событий Разрыв соединения и Восстановление соединения происходят рядом друг с другом, он группирует их в одну историю, определяя паттерн нестабильности, а не изолированные инциденты.
История
История отображает:
-
Затронутый сайт и конкретное WAN-соединение
-
Хронология связанных флапов в окне мониторинга
-
Анализ, выявляющий флаппинг (например, пять событий разрыва за 10 минут)
Результат
Деятельность сайта движок агрегирует все связанные события в одну коррелированную историю, снижая шум от оповещений и подчеркивая потенциальную хроническую проблему со связью. ИТ-команда получает проактивное уведомление, переключается на резервное соединение ISP и работает с провайдером для устранения первопричины - минимизируя время простоя и предотвращая повторяющиеся перебои в работе.
Ваша лицензия XOps определяет доступных вам производителей и управляется ли сервис Cato. Все уровни лицензий используют инструменты платформы XOps в Приложении Управления Cato, включая:
Таблица ниже описывает уровни лицензий XOps, которые вступят в силу с 6 августа 2025 года. и объясняет, какие производители доступны для каждого уровня. Пожалуйста, свяжитесь с вашим представителем Cato или официальным реселлером для получения дополнительной информации о покупке лицензий XOps.
|
Лицензия |
Описание |
|---|---|
|
Нет лицензии |
Если настроен коннектор, события создаются следующими производителями:
|
|
XOps |
Платный, неуправляемый уровень, который включает следующий набор производителей, коррелирующих данные в историю, платформу для их изучения, рекомендации по смягчению и действия по смягчению:
|
|
MDR |
Платный уровень, включающий управляемую службу SOC 24/7, усиливающую безопасность и управление историями. Эта услуга предоставляется командой Cato Managed Detection and Response и включает:
|
0 комментариев
Войдите в службу, чтобы оставить комментарий.