Эта статья объясняет, как создать автоматическую реакцию на историю XOps для сдерживания потенциальных угроз.
Автоматические реакции на XOps истории позволяют вам определять действия по смягчению последствий, которые инициируются, когда история соответствует определенным критериям. Это помогает сдерживать угрозы, как только они обнаружены, сокращает время реакции и обеспечивает последовательное применение вашей политики безопасности и трафика сети в вашей среде.
Вы можете определить автоматические реакции в правилах, настроенных в Политика Реагирования. Вместо того чтобы полагаться на ручную реакцию, каждое правило оценивает атрибуты истории, такие как серьезность, участие пользователей или индикация, и автоматически запускает настроенное действие.
Чтобы предотвратить чрезмерное применение, автоматическое действие применяется к конкретному пользователю один раз каждые 30 минут. В течение этого 30-минутного окна дополнительные соответствующие истории не инициируют повторные действия на одного и того же пользователя. Это избегает ненужных нарушений, при этом обеспечивая эффективную реакцию на реальные угрозы.
Поддерживаемые действия перечислены ниже:
- Отзыв Сессии Пользователя: Это выходит пользователя из системы и требует повторной аутентификации через экран входа Клиента, гарантируя, что доступ получают только законные пользователи. Для получения дополнительной информации, см. Смягчение Угроз в XOps Историях.
Компания ABC сталкивается с большим объемом XOps историй, что затрудняет обеспечение оперативной обработки самых критичных угроз. Чтобы уменьшить воздействие и обеспечить последовательное смягчение последствий, они настраивают правило политики реакции, которое автоматически обрабатывает истории с наивысшими индикаторами риска.
Они создают правило для идентификации любых историй с высокой Критичностью и устанавливают автоматическое действие для отзыва сессии пользователя. Чтобы автоматическое действие использовалось безопасно, администратор добавляет фильтр по Индикации и выбирает только типы историй, связанные с фишингом, для этой политики. Это помогает сбалансировать эффективность безопасности с правильным применением и гарантирует, что блокируются только те пользователи, которые действительно в этом нуждаются.
Любой пользователь, включенный в историю, которая соответствует этим критериям, автоматически вынужден пройти повторную аутентификацию. Этот подход гарантирует, что критические угрозы получают немедленное внимание, улучшает консистентность вашей безопасности и освобождает аналитиков для фокуса на расследованиях, а не на срочных задачах по смягчению последствий.
Автоматические реакции настроены в Политике Реагирования.
Чтобы создать автоматическую реакцию:
- Создать правило Политики Реагирования. Для получения дополнительной информации, см. Создание Политики Реагирования для XOps Историй.
- В разделе Реакция, под Действие выберите автоматическое действие, которое применится к правилу. Вы также можете выбрать уведомление.
- Нажмите Сохранить. Правило добавлено в политику.
Если история соответствует правилу с автоматической реакцией, действие автоматически выполняется, и хронология истории обновляется. Действие также видно в Центре действий.
Вкладка Центра действий на странице Главная > Политика Обнаружения и Реагирования позволяет вам просматривать действия по смягчению последствий XOps, предпринятые в вашем аккаунте.
Центр действий показывает следующую информацию для каждого действия по смягчению последствий:
- Время - Временная метка, когда действие по смягчению последствий было отправлено
- Действие - Описание действия по смягчению последствий
- Тема - Пользователь, на которого было выполнено действие
-
Статус - Статус действия. Для действия Добавить Цель в Черный Список, эти значения Статус:
- Успех - Запрос на отзыв сессии был отправлен в службу пользователей Cato
- Неудача - Возникла проблема с запросом на отзыв сессии
- Автор - Администратор, который выполнил действие
- Триггер - ID Истории для истории, из которой было отправлено действие. Нажмите, чтобы открыть страницу Обзора для истории
- Примечание - Для автоматических действий не добавляется примечание
0 комментариев
Статья закрыта для комментариев.