将XOps事件静音

本文讨论如何创建规则以静音XOps事件，使其不出现在Stories Workbench中。

注意

注意：XOps是Cato的统一分析层，用于安全和操作，提供洞察和引导修复。 XOps已取代XDR，更多信息请参见XOps FAQ。

概述

XOps关联引擎分析流量数据以寻找潜在威胁或网络性能下降的匹配。如果识别出匹配，会在Stories Workbench中生成一个事件，帮助您理解和分析问题。如果您不希望创建故事，您可以配置一个静音故事规则。这样可以减少误报故事的生成，并帮助您将分析重点放在实际潜在威胁或网络问题上。故事可以在特定或无限的时间范围内静音

您可以静音由这些引擎创建的故事：

威胁预防
威胁狩猎
站点操作
使用异常
事件异常

要使故事静音，它必须精确匹配或包含插入在静音故事规则中的谓词。例如，如果规则包含3个域，但故事中只有2个，则故事被静音。如果规则包含2个域，故事中包含3个，则不会被静音。

注意

注意：MDR客户可以为Site Operations引擎创建和编辑静音故事规则。如果您希望为其他引擎定义静音故事，请联系mdr@catonetworks.com。

静音威胁防护和威胁狩猎故事

您可以定义来自受信任资源的流量，然后将其排除在故事之外。例如，XOps事件是为检测潜在的扫描尝试而生成的，但扫描的来源是已知无害的渗透测试。在为渗透测试流量创建一个静音故事规则后，就不再为它生成任何故事。

有两种方法可以为威胁预防和威胁狩猎故事添加静音故事规则：

在检测与响应页面创建规则
在故事工作台中从一个故事创建规则。当您在故事中注意到特定的流量时，这种方法很有用，您知道这是良性的

静音UEBA使用异常和事件异常故事

有两种方法可以为使用异常和事件异常故事添加静音故事规则：

在检测与响应页面创建规则
在故事工作台中从一个故事创建规则。当您在故事中注意到特定的流量时，这种方法很有用，您知道这是良性的

以下部分描述了对使用异常和事件异常静音故事规则有用的设置。

了解使用异常故事的静音设置

XOps使用异常引擎识别与应用程序非正常使用相关的异常，并在检测到异常时生成事件。静音事件策略允许您为使用异常事件配置规则，指定XOps引擎要排除的应用程序或应用程序类别。例如，如果您知道某个特定用户会根据其工作需求在OneDrive上传不寻常数量的数据，请创建一个规则，配置特定用户作为来源，并将OneDrive设置为应用程序。

可能一个使用异常故事涉及多个应用程序。在这种情况下，配置的应用程序指的是故事中的顶级应用程序。例如，如果您将应用程序配置为OneDrive，这意味着如果用异常事件中的顶级应用程序是OneDrive，XOps引擎将不会生成事件。但是，如果顶级应用程序是不同的应用程序，例如Dropbox，而OneDrive使用量位居第二，则仍会生成该故事。

了解事件异常故事的静音设置

XOps事件异常引擎检测涉及网络实体触发异常数量的安全事件的异常，并在检测到异常时生成事件。静音事件策略允许您为事件异常事件配置规则，指定XOps引擎要排除的事件类型。然后您可以进一步指定仅排除由特定规则或IPS威胁生成的事件。

例如，如果某用户在执行已知良性活动时生成异常数量多的WAN防火墙事件，请创建一个规则，配置用户为来源，并将事件异常指标配置为事件类型为WAN防火墙。然后在WAN防火墙规则库中指定规则。

将Site Operations事件静音

您可以静音由特定网络问题生成的故事。例如，如果您知道本地ISP有计划停机，您可以静音在停机期间由于站点关闭指示生成的故事。

故事已生成，但已从故事工作台中过滤。

您可以在故事事件时间线的静音列中识别一个故事是否已被静音。

您可以通过在检测与响应页面创建规则，为Site Operations事件添加静音事件规则。

先决条件

需要XOps许可证：

检测 & 响应静音故事规则中的项目

下表解释了用于定义检测与响应静音故事规则设置的项目。当您在设置中配置多个对象时，它们之间是“或”关系。例如，如果配置的规则源包括一个站点和一个用户，则当流量匹配站点或用户时应用该规则。

项目	描述
生产者	应用规则的检测 & 响应引擎或引擎。有关这些引擎及其检测的事件类型的更多信息，请参阅使用指示目录
指示ID	检测 & 响应引擎使用的指示标识符。每个指示ID与检测 & 响应引擎查询相关联，以识别特定的流量参数。如果您定义了一个指示ID，则该规则仅排除由与该指示ID关联的特定引擎查询生成的故事的流量。如果没有定义指示ID，则流量将从所有与规则设置匹配的引擎查询中排除。有关指示的更多信息，请参阅使用指示目录。
方向（威胁防护、威胁狩猎、使用异常和事件异常故事）	定义规则适用的流量方向。方向包括：入站 - 由外部源发起到您的网络的流量出站 - 从您的网络发往外部源的流量 WAN出站 - 从您的网络到您网络上的另一个站点的流量所有上述方向
时间范围	选择规则适用的时间范围，或选择无限以使规则持续生效而不失效。设置了到期日期时：对于威胁防护和威胁狩猎故事，规则在当天开始时到期，以卡托管理应用程序中用户配置文件设置的时区为准。对于Site Operations事件，您可以选择时间范围适用的时区。设置到期日期是保持有效安全态势的推荐最佳实践。
来源	此规则的流量来源。您可以选择以下一种或多种来源类型：威胁防护和威胁狩猎故事站点 IP IP范围用户任何站点操作站点网络接口（LAN链接） WAN链接站点连接类型任何
设备（威胁防护、威胁狩猎、使用异常和事件异常故事）	规则适用的设备类型，由操作系统定义。
目标（威胁防护、威胁狩猎、用量异常和事件异常故事）	此规则流量的目标。您可以选择以下一种或多种目标类型： IP URL 域 FQDN 应用程序应用程序类别（仅适用于使用异常故事）任何有关这些对象定义，请参阅规则对象参考
事件异常指标（Events Anomaly 故事）	选择要静音的事件类型。选择事件类型后，您可以指定规则名称或威胁名称。您可以选择以下事件类型之一：广域网防火墙互联网防火墙 IPS 反恶意软件下一代反恶意软件任何

除了上述设置之外，每个静音故事规则还显示以下信息：

作者 - 创建规则的用户的用户名。
创建于 - 规则创建的日期。

显示检测&响应静音故事规则库

要显示检测&响应静音故事规则库：

从导航菜单中，单击首页 > 检测&响应策略。

在检测&响应页面创建静音故事规则

添加一个新的静音故事规则，并配置定义由检测&响应引擎忽略的流量的设置。

要创建检测&响应静音故事规则：

从导航菜单，点击 首页 > 检测&响应策略。
选择 静音故事 标签。
点击新建。 添加到静音故事 面板打开。
配置如上所述的规则设置。
点击保存。规则被添加到静音故事规则库。

从故事中创建静音故事规则

在故事工作台中查看故事深入，并使用 故事操作 面板创建静音故事规则。

以下规则设置基于故事中的数据自动填充：

方向
来源
- 如果故事包含多个种类的数据来源，它们都将被添加到来源设置中。例如，如果故事为来源识别了 IP 和站点，那么在规则的来源部分中都会自动填充 IP 和站点。
目的地 - 基于故事目标自动填充
- 如果故事识别了多个目标，它们都会被添加到 目的地 设置中

要从故事中创建静音故事规则：

从导航菜单，点击 首页 > 故事工作台。
点击故事以打开故事的详细页面。
点击打开事件操作面板。
点击 添加到新静音故事。 添加到新静音故事规则 面板打开。
配置如上所述的规则设置。
点击保存。规则被添加到静音故事规则库。
要显示Detection & Response静音故事规则库，请从导航菜单中单击主页 > Detection & Response策略。