本文讨论了如何使用故事工作台来审查您账户中的潜在威胁故事。
注意
注意: XOps 是 Cato 的统一分析层,用于安全和操作,提供洞察和指导的补救措施。 XOps 已取代 XDR,详情请参见 XOps FAQ。
Cato 检测与响应是一个额外的安全层,用于为威胁创建故事。 当 Cato 的高级关联引擎分析流量数据,并发现潜在威胁的匹配项时,它们会生成一个故事。 该故事包含与相同威胁相关的具有共同属性的数据流。 故事工作台页面显示每个故事的详细信息,以帮助您理解和分析威胁。 您可以对故事进行排序和过滤以找到最重要的潜在攻击,然后深入研究某个故事以进一步调查详情。
这些是故事可以包含的数据示例:
-
您网络中的来源
-
网络流量的外部目标
-
威胁的识别和描述
-
相关的地理位置
-
相关的应用程序
-
相关事件
-
根据 Cato 内部数据的目标流行度
-
根据 Cato 机器学习模型的目标恶意分数
-
可能需要额外的许可证。 有关更多信息,请参见 欢迎使用 Cato XOps 服务
创建连接器后,事件将在 XDR 发现事件中可见。
|
列 |
描述 |
|---|---|
|
ID |
此故事的独特 Cato ID |
|
创建 |
故事的第一次流量的日期 |
|
更新 |
故事的最新流量的日期 |
|
重要性 |
Cato 对故事的风险分析(值为 1 - 10) |
|
指示 |
故事的攻击指示。 For more about indications, see Using the Indications Catalog |
|
来源 |
网络中涉及该故事的 IP 地址、设备名称或 SDP 用户 |
|
引擎类型 |
创建故事的安全引擎。 |
|
状态 |
|
为便于在审查故事时提供背景,您可以将故事按不同细节分组显示,包括 来源,指示,状态 和 类型。 例如,您可以一起显示所有与特定源 IP 地址相关的故事或所有恶意利用故事。 这可以在分析故事时给您更广阔的视角,并可帮助您更快、更准确地得出结论。
每个组都突出显示该组中故事的重要性级别,包括高、中和低重要性的故事数量。
在故事工作台中,有三种方式可以过滤数据:
-
选择预设过滤器
-
自动使用所选项目更新过滤器
-
手动配置过滤器
您可以选择预设过滤器专注于 网络操作 或 安全操作 故事。 当您选择预设过滤器时,与该类型故事最相关的列会默认显示。
当您将鼠标悬停在可用筛选选项的项目或字段上时,会出现 按钮。 单击图标以显示过滤选项:
-
添加到过滤器 - 将项目添加到过滤器中,现在故事工作台仅显示包含此项目的故事。 例如,如果您按特定重要性得分过滤,页面仅显示具有该重要性的故事。
-
从过滤器中排除 - 更新过滤器以排除此项目,现在故事工作台仅显示不包含此项目的故事。
您可以继续向过滤器添加项目,再次点击 以更新过滤器并进一步深入。
您可以手动配置故事过滤器,以获得更大的粒度来分析故事。 配置过滤器后,其将被添加到事件过滤器栏,页面会自动更新以显示符合新过滤器的事件。
0 条评论
请登录写评论。