Генерация пользовательской аналитики с использованием Cato CLI для API-запросов

Обзор

Cato CLI предоставляет простые методы синтаксиса командной строки для доступа к конечным точкам Cato GraphQL API. Несколько конечных точек запросов могут предоставлять богатые отчеты пользовательской аналитики, выходящие за рамки предопределенных панелей и отчетов в приложении управления Cato (CMA). Эти запросы позволяют администраторам извлекать необработанные данные о производительности и безопасности, упрощая процесс анализа использования пропускной способности для пользователей и приложений, трафика Socket и джиттера, а также многих других точек данных. Он также поддерживает интеграцию с внешними инструментами аналитики, SIEM или отчетности.

Используя эти Core Analytics Queries с Cato CLI, вы можете автоматизировать сбор данных для мониторинга сети, анализа тенденций и случаев соблюдения требований. Каждый запрос извлекает определенные типы телеметрии из облака Cato, такие как производительность сайта, использование приложений или активность угроз, предоставляя командам NOC и SOC большую гибкость в анализе операционных метрик.

Это некоторые из пользовательской аналитики для Cato CLI:

Метрики аккаунта - Метрики производительности сети по сайту, пользователю или интерфейсу
Статистика приложений - Анализ активности пользователей и использования приложений
Серия временных рядов событий - Анализ событий безопасности, подключенности и угроз
Метрики порта Socket - Анализ производительности интерфейса Socket и трафика

Для полного списка поддерживаемых полей, фильтров и параметров агрегации смотрите документацию Cato CLI на GitHub: Cato CLI - Операции запроса пользовательского отчета

Пример запроса анализа рисков

Запрос анализа рисков предоставляет возможность видеть приложения с повышенными оценками рисков, основанными на использовании в вашей организации. Этот запрос помогает командам SOC выявлять пользователей, обращающихся к приложениям высокого риска, и оценивать степень воздействия на теневую IT или риски обмена данными.

Базовое использование (catocli

Следующая команда извлекает приложения с оценкой риска больше или равной 7 за последние 7 дней:

catocli query appStats '{
    "appStatsFilter": [
        {
            "fieldName": "risk_score",
            "operator": "gte",
            "values": ["7"]
        }
    ],
    "dimension": [
        {"fieldName": "application_name"},
        {"fieldName": "risk_score"},
        {"fieldName": "user_name"}
    ],
    "measure": [
        {"aggType": "sum", "fieldName": "traffic"},
        {"aggType": "sum", "fieldName": "flows_created"}
    ],
    "timeFrame": "last.P7D"
}'

Результат

Возвращает агрегированную статистику по приложениям с оценкой риска ≥ 7, включая общий трафик и количество потоков на пользователя. Команды SOC и NOC могут использовать этот вывод для идентификации использования приложений высокого риска и приоритизации политик принуждения в CMA.

Генерация пользовательской аналитики с использованием Cato CLI для API-запросов

Обзор

Пример запроса анализа рисков

Базовое использование (catocli

Результат

Была ли эта статья полезной?

0 комментариев