静音 XOps 故事

本文讨论如何创建一个规则,使XOps故事不在故事工作台中显示。

概览

XOps 关联引擎分析流量数据以查找潜在威胁或网络降级的匹配项。 如果识别到匹配项,则会在故事工作台中生成一个事件,以帮助您理解和分析问题。 如果您不希望创建故事,可以配置一个静音故事规则。 这减少了误报故事的生成,并帮助您将分析重点放在实际潜在威胁或网络问题上。 故事可以为特定或不限的时间范围静音

您可以使由以下引擎创建的故事静音:

  • 威胁防护
  • 威胁搜寻
  • 站点操作
  • 使用异常
  • 异常事件

要使某个事件静音,必须具有完全匹配项或包含添加到静音事件规则中的谓词。 例如,如果一个规则包含 3 个域名但事件中只有 2 个,则该事件将被静音。 如果规则包含 2 个域名,而故事包含 3 个,则不会被静音。 默认情况下,静音故事不会被生成;但是,可以通过选择它为一个条件来覆盖此设置。

注意

注意: MDR 客户可以为站点运营引擎创建和编辑静音故事规则。 如果您希望为其他引擎定义静音事件,请联系 mdr@catonetworks.com

静音威胁防护和威胁搜寻事件

您可以定义来自受信任资源的流量,然后从故事中排除它。 例如,XOps 事件生成用于检测潜在的扫描尝试,但扫描的源是已知的良性渗透测试。 

对于威胁防护和威胁搜寻事件,即使事件被静音,它总是会被创建。 静音会在事件中应用静音标志,确保在应用威胁防护或威胁搜寻过滤器时,该事件被排除在报告之外,并从事件工作台中隐藏。 默认情况下,根据响应策略,已静音事件不会触发警报。

有两种方法可以为威胁预防和威胁狩猎故事添加静音故事规则:

  • 检测与响应页面创建一个规则
  • 从故事工作台中的故事创建一个规则。 当您在故事中注意到已知无害的特定流量时,此方法会很有帮助

静音 UEBA 使用异常和事件异常事件

有两种方法可以为使用异常和事件异常故事添加静音故事规则:

  • 检测与响应页面创建一个规则
  • 从故事工作台中的故事创建一个规则。 当您在故事中注意到已知无害的特定流量时,此方法会很有帮助

以下部分介绍了使用异常和事件异常静音故事规则中可用的有用设置。

了解使用异常事件的静音事件设置

XOps 使用异常引擎识别应用程序中与异常使用相关的异常,并在检测到异常时生成故事。 静音故事策略允许您通过指定应用程序或应用程序类别为XOps引擎排除来配置使用异常故事规则。 例如,如果您知道某个特定用户由于工作需求在 OneDrive 上上传了异常大量的数据,请创建一个配置了特定 用户 作为 来源OneDrive 作为 应用程序 的规则。

使用异常故事可能涉及多个应用程序。 在这种情况下,配置的 应用程序 是指故事中的顶级应用程序。 例如,如果您将 应用程序 配置为 OneDrive,这意味着如果使用异常故事中的顶级应用程序是 OneDrive,则 XOps 引擎不会生成该故事。 但是,如果顶级应用程序是其他应用程序,例如 Dropbox,并且 OneDrive 的使用量是第二高的,则仍会生成故事。

了解事件异常事件的静音事件设置

XOps 事件异常引擎检测到涉及网络中实体触发大量异常安全事件的异常,并在检测到异常时生成故事。 静音故事策略允许您通过指定要排除的事件类型为XOps引擎配置事件异常故事规则。 然后,您可以进一步指定仅排除由特定规则或 IPS 威胁生成的事件。

例如,如果用户在执行已知无害活动时生成了大量 WAN 防火墙事件,请创建一个配置了 用户 作为 来源,并将 事件异常度量 配置为 事件类型WAN 防火墙 的规则。 然后指定 WAN 防火墙规则库中的规则。

静音 站点运维事件

您可以使由特定网络问题生成的故事静音。 例如,如果您知道本地 ISP 计划停机,可以将站点关闭指示生成的故事静音以覆盖停机期间。

对于站点运维事件,即使在静音情况下也始终创建一个事件。 静音会为事件应用静音标志,确保在应用网络运维筛选器时将其排除在报告之外并从事件工作台隐藏。 根据响应策略,静音事件默认不会触发警报。 仅针对 ILMM 客户,当站点未上线到服务时,这些事件类型默认静音:

  • 站点下线
  • 链路下线
  • ALT WAN 链路下线
  • 质量 SLA

您可以在故事的事件时间轴的静音列中识别出一个故事是否已被静音。

静音.png

您可以通过在检测与响应页面创建一个规则为站点运维事件添加静音事件规则。

先决条件

需要 XOps 许可证

检测和响应静音故事规则中的项目

下表解释了可以用于定义检测和响应静音故事规则设置的项目。 当您在一个设置中配置多个对象时,它们之间是或关系。 例如,如果规则配置了包括站点用户的来源,当流量与站点用户匹配时,规则适用。

项目

描述

生成者

规则适用于的检测和响应引擎或引擎。 有关这些引擎及其检测的事件类型的更多信息,请参阅使用指示目录

指示 ID

用于检测和响应引擎的指示标识符。 每个指示 ID都与检测和响应引擎查询相关联,该查询识别特定的流量参数。

如果您定义了一个指示 ID,则规则仅排除由与该指示 ID相关联的特定引擎查询生成的流量。

如果未定义指示 ID,则排除匹配规则设置的所有引擎查询中的流量。

关于指示的更多信息,请参阅使用指示目录

方向

(威胁预防、威胁狩猎、使用异常和事件异常故事)

定义规则适用的流量流动方向。 方向包括:

  • 入站 - 来自外部来源到您网络的流量

  • 出站 - 从您网络到外部来源的流量

  • WANbound - 从您网络到您网络内另一个站点的流量

  • 所有 的上述内容

时间框架

选择规则适用的时间框架,或选择 无限 以使规则继续适用而不失效。

设置到期日期:

  • 对于威胁预防和威胁狩猎故事,规则在该日期的开始时过期,以用户在 Cato 管理应用程序中配置的时区为准。

  • 对于 站点运营 故事,您可以选择适用时间框架的时区。

设置到期日期是保持有效安全态势的推荐最佳实践。

来源

此规则的流量来源。

您可以选择以下一种或多种 来源 类型:

  • 威胁预防和威胁狩猎故事

    • 站点

    • IP

    • IP 范围

    • 用户

    • 任意

  • 站点运营

    • 站点

    • 网络接口(LAN 链接)

    • WAN 链接

    • 站点连接类型

    • 任意

设备

(威胁防护、威胁狩猎、使用异常和事件异常故事)

规则适用的设备类型,由操作系统定义。

目标

(威胁防护、威胁搜寻、使用异常和异常事件故事)

此规则的流量目标。

您可以选择以下一种或多种目标类型:

  • IP

  • URL

  • FQDN

  • 应用程序

  • 应用程序类别(仅用于使用异常故事)

  • 任何

有关这些对象的定义,请参阅规则对象参考

事件异常指标

(事件异常故事)

选择要静音的事件类型。 选择事件类型后,您可以指定一个规则名称或威胁名称。

您可以选择以下事件类型之一:

  • WAN防火墙

  • 互联网防火墙

  • IPS

  • 反恶意软件

  • NG反恶意软件

  • 任何

除上述设置外,还为每条静音故事规则显示以下信息:

  • 作者 - 创建该规则的用户的用户名。
  • 创建时间 - 规则的创建日期。

显示检测和响应静音故事规则库

要显示检测和响应静音故事规则库:

  1. 从导航菜单中,点击首页>检测和响应策略
Detection_Response_Allow_List.png

在检测和响应页面中创建静音故事规则

添加新的静音故事规则并配置检测和响应引擎需忽略的流量定义。

Detection_Response_Allow_List_Add_to_Allowlist.png

要创建检测和响应静音故事规则:

  1. 从导航菜单中,点击首页>检测和响应策略
  2. 选择静音故事选项卡。
  3. 点击新建添加到静音故事面板打开。
  4. 配置如上所述的规则设置。
  5. 点击保存。 该规则被添加到静音故事规则库。

从一个故事中创建静音故事规则

在故事工作台中查看故事详细信息,并使用故事操作面板创建静音故事规则。

以下规则设置基于故事数据自动填写:

  • 方向

  • 来源

    • 如果故事包含多种类型的数据来源,它们都会被添加到来源设置中。 例如,如果故事为来源标识了一个IP站点,那么规则的来源部分会自动填充IP站点

  • 目标 - 根据故事目标自动填充

    • 如果故事识别了多个目标,它们都会被添加到目标设置中

要从一个故事中创建静音故事规则:

  1. 从导航菜单中,点击首页>故事工作台
  2. 点击故事以打开该故事的详细页面。
  3. 点击More_icon.png 以打开 故事操作 面板。

  4. 点击添加到新静音故事添加到新静音故事规则面板打开。

    Detection_Response_Allow_List_from_Story.png
  5. 配置如上所述的规则设置。
  6. 点击保存。 该规则被添加到静音故事规则库。
  7. 要显示检测和响应静音故事规则库,请从导航菜单中点击首页>检测和响应策略

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论