Эта статья описывает возможности Безопасность и Сетевые Операции платформы Cato XOps, и что входит в разные уровни лицензии XOps.
Примечание
Примечание: XOps — это единый аналитический слой безопасности и операций Cato, предлагающий анализ и направляемое устранение. XOps заменил XDR, для получения дополнительной информации смотрите FAQ по XOps.
Платформа Cato XOps (ранее XDR) позволяет командам операций по безопасности и сетевых операций использовать AI и автоматизацию для мониторинга сети организации как на предмет угроз безопасности, так и на предмет проблем производительности сети. XOps трансформирует неуправляемые объемы исходных событий безопасности и сетевых событий в удобные для потребления, межфункциональные и актуальные истории.
Платформа включает в себя движки корреляции различных типов, которые анализируют трафик для нахождения совпадений с конкретными индикаторами активности угроз или сетевых проблем. Когда движок находит совпадение, он создает историю, которую можно просмотреть и исследовать в Приложении Управления Cato (CMA). CMA называет эти движки производителями.
Каждая XOps история содержит данные из потоков трафика с общими свойствами, которые связаны с одной и той же угрозой или сетевой проблемой. Страница Рабочая область Историй показывает детали каждой истории, чтобы помочь понять и анализировать их. Вы можете сортировать и фильтровать истории, чтобы найти наиболее важные потенциальные атаки, а затем углубиться в историю для дальнейшего расследования деталей.
Это названия и описания различных XOps производителей историй:
-
Предотвращение угроз - Производитель Предотвращение угроз Cato XOps обнаруживает специфический набор моделей атак в событиях, генерируемых реальными сервисами безопасности Cato, такими как IPS и Антивирус. Истории Предотвращение угроз помогают аналитикам сосредотачиваться на немедленных, высоко уверенных угрозах.
Истории Предотвращение угроз обычно основываются на коррелированных событиях блокировки, то есть событиях для трафика, который был заблокирован одной из служб безопасности. Тем не менее, даже если трафик уже был заблокирован, возможно, что этот трафик относится к продолжающейся угрозе. История XOps позволяет исследовать контекст и детали подозрительного трафика, чтобы помочь определить, существует ли ещё угроза, требующая дальнейшего смягчения последствий.
Подробнее о историях Предотвращения угроз смотрите в Углубление и анализ XOps историй безопасности.
-
Поиск угроз - производитель Поиск угроз непрерывно сканирует огромное количество исторических данных о трафике, хранящихся в Озере данных, чтобы обнаружить шаблоны трафика, указывающие на потенциальные угрозы. В отличие от производителя Предотвращения угроз, который сосредоточен на последних событиях, производитель Поиска угроз ищет корреляции во времени в сохраненных данных о трафике. Корреляции определяются за неделю данных для обеспечения точности. Далее, в то время как производитель Предотвращение угроз смотрит на данные в журнале событий, производитель Поиск угроз анализирует более широкий набор данных из потоков трафика. Это позволяет производителю Поиск угроз обнаруживать более уклончивые угрозы, которые сложно идентифицировать обычными методами, так как они генерируют более низкую и сложную для обнаружения сигнатуру.
Ниже приведена страница Обзор для истории Поиск угроз, которая идентифицирует 40 различных потоков трафика (сигналов), связанных с угрозой фишинга киберсквоттинга:
Подробнее о историях Поиска угроз смотрите в Углубление и анализ XOps историй безопасности.
-
Аномалии использования - этот производитель, как часть возможностей Аналитики поведения пользователей и сущностей (UEBA) Cato, сравнивает сетевую активность пользователей и сайтов с базовыми уровнями, рассчитанными алгоритмами машинного обучения, и генерирует истории для подозрительных отклонений от уровней стандартного использования. Например, был обнаружен конкретный пользователь, использующий больше входящего трафика, чем обычно.
Подробнее о историях Аномалии использования смотрите в Анализ XOps UEBA историй для использования и событий аномалий.
-
События аномалий - Еще один элемент в возможностях UEBA от Cato, этот источник обнаруживает признаки, связанные с тем, что сущность в сети запускает необычное количество событий безопасности. Например, пользователь ассоциируется с необычно большим количеством событий блокировки Система предотвращения вторжений (IPS) для трафика в специфическое направление, что может указывать на потенциальное заражение устройства пользователя.
Для получения дополнительной информации о историях событий аномалий, см. Анализ XOps UEBA историй для использования и событий аномалий.
-
Оповещения конечных точек Microsoft - Клиенты, которые используют Microsoft Defender for Endpoint, могут интегрировать данные оповещений Defender с Cato XOps для создания историй для конечных устройств. Источник оповещений конечных точек Microsoft создает историю, коррелируя данные из оповещений Defender, которые произошли на одном устройстве в течение 24 часов. Истории оповещений конечных точек включают все соответствующие доказательства для оповещения, обнаруженного Defender. Расширяя фокус до конечных точек, эти истории помогают вам получить более полное представление о потенциальных угрозах в вашей сети.
Для получения дополнительной информации о интеграции Defender for Endpoint с Cato XOps, см. Оповещения Microsoft Defender for Endpoint: Настройка интеграции XOps.
-
Оповещения Microsoft Entra ID - Вы можете интегрировать данные оповещений из Microsoft Entra ID Protection, чтобы сгенерировать истории Cato XOps. Это позволяет аналитикам включать данные о подозрительных входах в более широкий контекст расследований XOps. Движок Оповещений Cato Entra Identity создает историю, коррелируя данные из оповещений Entra ID Protection, которые произошли у того же пользователя в течение 24 часов.
Для получения дополнительной информации о интеграции оповещений Entra ID с Cato XOps, см. Microsoft Entra ID: Настройка интеграции XOps.
-
Оповещения Cato Endpoint - Решение Cato EPP интегрируется с Cato XOps для создания историй для конечных устройств. Источник оповещений Cato Endpoint создает историю, коррелируя данные всех оповещений Cato EPP, которые произошли на одном устройстве в течение 24 часов. Истории оповещений Cato Endpoint включают все соответствующие доказательства, обнаруженные Cato EPP.
Для получения дополнительной информации о историях Оповещения Cato Endpoint, см. Защита конечных точек Cato (EPP): Настройка интеграции XOps.
-
Оповещения SentinelOne - Клиенты, которые используют SentinelOne, могут интегрировать данные из SentinelOne EDR для создания историй для конечных устройств. Производитель SentinelOne создает историю, коррелируя данные инцидентов SentinelOne EDR на основе UUID агента (Идентификатора устройства) и хэша файла угрозы в течение 90 дней. Эти истории включают все соответствующие доказательства по инцидентам, обнаруженным SentinelOne.
Для получения дополнительной информации о интеграции оповещений SentinelOne, см. SentinelOne EDR: Настройка интеграции XOps.
-
Оповещения CrowdStrike - Клиенты, которые используют CrowdStrike, могут интегрировать данные из обнаружений CrowdStrike на основе ID Инцидента. Эти истории включают все соответствующие доказательства для обнаружений, идентифицированных CrowdStrike.
Для получения дополнительной информации о интеграции оповещений CrowdStrike, см. CrowdStrike: Настройка интеграции XOps.
-
AIOps - Cato XOps характеризуется уникальным AIOps источником под названием Site Operations (ранее известным как Сетевой XDR), который объединяет Сетевые Операции с Операциями по безопасности в единую платформу. Этот источник обнаруживает различные признаки и метрики, связанные с соединением и производительностью, и создает истории, коррелирующие данные о проблемах сети. Например, если WAN-канал периодически испытывает высокую потерю пакетов, источник создает одну историю со всеми соответствующими данными для канала.
Для получения дополнительной информации о сетевых историях в Cato XOps, см. Обзор Историй опыт работы сайта.
Ваша XOps лицензия определяет производителей, доступных для вашей учетной записи, и управляется ли сервисом Cato. Все уровни Лицензии получают выгоду от Платформы XOps в Приложение Управления Cato, включая:
Таблица ниже описывает XOps уровни лицензий, которые вступят в силу с 6 августа 2025 года. и объясняет, какие производители доступны для каждого уровня. Пожалуйста, свяжитесь с вашим представителем Cato или официальным реселлером для получения дополнительной информации о приобретении XOps лицензий.
|
Лицензия |
Описание |
|---|---|
|
Нет лицензии |
Если подключен коннектор, события создаются следующими производителями:
|
|
XOps |
Платный, неконтролируемый уровень, который включает в себя следующий набор производителей, которые коррелируют данные в историю, платформу для их исследования, рекомендации по смягчению, и действия по смягчению:
|
|
MDR |
Платный уровень, включающий управляемую круглосуточную SOC услугу, повышающую безопасность и управление историями. Эта услуга предоставляется командой Cato Managed Detection and Response и включает:
|
0 комментариев
Войдите в службу, чтобы оставить комментарий.