审查检测与响应 XOps 故事故事工作台

本文讨论了如何使用故事工作台审查您账户中潜在威胁的故事。

检测与响应故事概述

Cato 检测与响应是一个增加的安全层,专为威胁创作故事。 当 Cato 的高级关联引擎分析流量数据并发现潜在威胁匹配时,它们会生成一个故事。 故事包含来自具有相同威胁相关通性的数据流的流量数据。 故事工作台页面显示每个故事的详细信息,以帮助您理解和分析威胁。 您可以对故事进行排序和过滤以找到最重要的潜在攻击,然后深入研究故事以进一步调查细节。

这些是故事可以包含的数据示例:

  • 您网络中的来源

  • 网络流量的外部目标

  • 威胁的识别和描述

  • 相关的地理位置

  • 相关的应用程序

  • 相关事件

  • 根据 Cato 内部数据的目标受欢迎度

  • 根据 Cato 机器学习模型的目标恶意分数

所需许可证

显示故事工作台页面

创建连接器后,故事将显示在故事工作台中。

要查看故事工作台页面:

  • 从导航菜单中,单击 首页 > 故事工作台

理解故事栏

1677e55ac56a76.png

描述

ID

此故事的唯一 Cato ID

创建时间

故事的第一次流量流量的日期

更新

故事的最新流量流量的日期

严重性

Cato 对故事的风险分析(值从 1 到 10)

指示

故事的攻击指示器。 有关更多指示,请参阅使用指示目录

来源

故事涉及的网络中的 IP 地址、设备名称或 SDP 用户

引擎类型

创建故事的安全引擎。

状态

  • 待客户 - 故事已发送给客户,等待他们的回复

  • 待分析师 - 等待安全分析员的更多信息

  • 已关闭 - 安全分析员关闭了故事

对故事进行分组

为了在审查故事时提供上下文,您可以按详细信息定义的组显示故事,包括 来源指示状态类型。 例如,您可以一起显示所有与特定源 IP 地址或所有网络钓鱼相关的故事。 这使您在分析故事时获得更广泛的视角,并能帮助您更快、更准确地得出结论。

每组突出显示该组中故事的严重性级别,包括高、中和低严重故事的数量。

Stories_Workbench_Grouping.png

要在故事工作台中对故事进行分组:

  1. 从导航菜单中,单击 首页 > 故事工作台

  2. 按组 下拉菜单中,选择所需的标准。

    以可展开的组显示故事。

过滤故事

在故事工作台中,有三种方式过滤数据:

  • 选择预设过滤器

  • 用选定项自动更新过滤器

  • 手动配置过滤器

预设过滤器

您可以选择预设过滤器以专注于 网络操作安全操作 故事。 选择预设过滤器时,默认显示这种类型的故事最相关的故事栏。

选择预设过滤器:

  1. 在过滤器栏中,单击 选择预设 下拉菜单。

  2. 选择预设。 故事工作台更新以显示匹配预设的故事。

自动过滤项目

将鼠标悬停在提供过滤器选项的项目或字段时,TD_Filter.png按钮会出现。 点击图标以显示过滤选项:

  • 添加到过滤器 - 添加项目到过滤器,现在故事工作台仅显示包含此项目的故事。 例如,如果您为特定严重分数设置过滤,则页面仅显示具有该严重性的故事。

  • 从过滤器中排除 - 更新过滤器以排除此项目,现在故事工作台仅显示不包含此项目的故事。

您可以继续添加项目到过滤器,单击TD_Filter.png再次更新过滤器并进一步深入。

选择时间范围

故事工作台的默认时间范围为前两天。 您可以选择不同的时间范围以显示较长或较短的时间段。 有关查看更多信息,请参见设置时间范围过滤器

故事工作台的最大日期范围为 90 天。

手动配置过滤器

您可以手动配置故事过滤器,以更精细地分析故事。 配置过滤器后,它会被添加到故事过滤器栏中,页面会自动更新以显示匹配新过滤器的故事。

创建过滤器:

  1. 在内过滤器栏中,单击Add2.png

  2. 开始键入或选择 字段

  3. 选择 运算符,以确定 字段 与您搜索的 之间的关系。

  4. 选择

  5. 单击 添加过滤器。 过滤器被添加到过滤器栏中,并且 故事工作台 更新以基于过滤显示故事。

清除过滤器

您可以分别删除过滤器中的每个项目,或清除整个过滤器。

清除故事工作台页面的过滤器:

  1. 清除一个单独的过滤器,单击过滤器旁边的(上面项目 1)remove.png

  2. 要清除所有过滤器,点击过滤器栏右端的 X(上方项目2)。

这篇文章有帮助吗?

3 人中有 3 人觉得有帮助

0 条评论