В этой статье объясняется, как использовать Рабочую область Историй XDR и страницу детального анализа историй для анализа Историй XDR на аномальное поведение, обнаруженное движком аномалий пользовательского опыта.
Для получения дополнительной информации об использовании Рабочей области Историй см. Обзор Историй Обнаружения & Реакция XOps в Рабочей области Историй.
Сервис XDR от Cato обнаруживает аномальные активности на основе Мониторинга пользовательского опыта, что может указывать на проблемы с приложением или производительностью сети для приложения. Движок аномалий контролирует и анализирует сетевой трафик каждого сайта и каждого приложения в течение начального периода в 14 дней для установления базового уровня для каждого нового приложения на основе TTFB (времени до первого байта).
После этого периода движок работает один раз в день на данных предыдущего дня, чтобы выяснить, произошло ли значительное отклонение от базового уровня. В случае возникновения аномалии генерируется история.
Примечание
Примечание: Если несколько отклонений происходят в один и тот же день, для всех них генерируется только одна история.
Даже после установления базового уровня, это динамическая мера, которая обновляется с данными каждого дня. Это означает, что начальный базовый уровень устанавливается после первых 14 дней, но продолжает эволюционировать вместе с данными каждого нового дня.
Когда движок аномалий генерирует историю, вы можете просмотреть её в Рабочей области Историй и детально проанализировать данные истории.
Это признаки аномального поведения, обнаруженного движком Мониторинга пользовательского опыта аномалий для генерации историй:
|
Индикация |
Описание |
|---|---|
|
Аномалия времени отклика приложения на Сайте |
Обнаруживает аномалии в метрике Время до первого байта (TTFB) для приложения на конкретном сайте. |
|
Потенциальный сбой приложения из-за массовых HTTP ошибок |
Обнаруживает аномалии в соотношении неудач к успехам HTTP для конкретных приложений в трафике по глобальной сети Cato. |
Вы можете нажать на историю Аномалии опыта в Рабочей области Историй, чтобы изучить и исследовать подробности на другой странице. Эта страница содержит дополнительную информацию, чтобы помочь вам начать расследование инцидента.
Нажмите на историю Аномалии опыта на странице Рабочей области Историй, чтобы отобразить детали истории UEBA.
Это виджеты для истории Аномалии опыта:
|
Элемент |
Имя |
Описание |
|---|---|---|
|
1 |
Сводка историй |
Краткая информация о базовых данных истории, включая:
|
|
2 |
Подробности |
Базовые подробности о истории, включая:
|
|
3 |
Виджет аномалии опыта |
Визуальная индикация качества работы приложения в день истории |
|
4 |
Виджет подробностей соединения |
Предоставляет информацию о возможных проблемах в различных узлах на пути соединения |
Как только у вас будут основные сведения об аномалии, включая сайт, на котором она произошла, приложение и время, вы можете использовать виджеты Мониторинга опыта для дальнейшего изучения истории.
Например, вы можете фильтровать по приложению и, используя вкладку Производительность приложений, посмотреть больше информации о возможных проблемах, которые возникли во время аномалии. Кроме того, вы можете использовать вкладку Туннели, чтобы узнать, была ли проблема с туннелем, или, возможно, на вкладке Хосты вы можете увидеть, что произошло резкое увеличение количества пользователей, которые обращались к приложению. Это могло способствовать ухудшению качества работы.
0 комментариев
Войдите в службу, чтобы оставить комментарий.