为XOps故事创建响应策略

本文介绍如何使用webhooks和其他通知与XOps响应策略,该策略定义了当新故事和更新的XOps故事通知您以及何时生成事件。

有关 XOps 事件的更多信息,请参阅在XDR发现事件中查看Detection & Response XOps 事件.

概述

响应策略帮助您通过定义何时向管理员和分析师发送故事通知以及何时为故事生成事件来监控XOps故事。 您可以创建规则来定义发送通知和生成事件的故事标准,并可以使用订阅组、邮寄列表和第三方集成来配置收到通知的管理员。

例如,您可以创建发送通知的规则:

  • 如果故事的关键性较高

  • 当为特定来源(例如站点或IP范围)创建新故事时

  • 当故事目标更新时

  • 对于具有特定攻击指示的安全故事

  • 对于特定问题的站点操作,例如站点或链接中断

注意

注意: 默认情况下,不会发送与静音事件规则匹配的站点操作的通知。

为XOps故事生成事件并导出到第三方服务

默认情况下,不会为XOps故事生成事件。 事件仅根据配置的规则生成。 当您定义生成 XOps 事件的规则时,您可以在 事件 页面查看它们。有关更多信息,请参阅分析您的网络中的事件

您还可以将 XOps 事件与现有的第三方服务和工作流程集成。

事件页面显示每个事件的一定数量的字段。 要访问完整的故事数据,请将其导出为additional_data字段中可用的JSON文件。 您还可以创建一个筛选器,仅导出所需的数据。 有关 XOps 事件字段的更多信息,请参见下面的XOps事件的Cato事件和API字段

向XOps响应策略添加规则

当您向响应策略添加规则时,配置规则中需要的每个部分以定义发送通知或生成事件的条件。

例如,如果要为每个创建或更新的XOps故事生成事件,请配置一个来源任何触发器故事已创建或更新的规则。

注意

注意: 对于MDR客户,请联系为您的账户定义响应策略规则。 可以通过将其选择为条件来覆盖此设置。

Response_Policy.png

响应策略规则设置

响应策略规则包括以下部分:

  • 名称 - 您为规则指定的名称

  • 描述用于规则

  • 来源 - 故事中涉及的网络流量来源。 例如:站点、IP地址或用户

    有关规则的 来源 项目的更多信息,请参见 规则对象的参考

  • 标准 - 符合规则的故事特征。 添加标准时,选择标准类型、值以及确定标准与值之间关系的运算符。 例如:关键性 | 大于 | 6

    可配置的事件条件包括以下内容:严重程度、严重程度、指示、分析师判定、生产者、已添加的目标和访问令牌状态。 有关这些事件标准的更多信息,请参见在XDR发现事件中查看Detection & Response XOps事件

    • 生产者 是生成事件的引擎。 有关 站点操作 的更多信息,请参阅审查站点操作事件。 有关 XOps 引擎及其所需许可证类型的更多信息,请参见 使用指示目录

    • 您可以为以下条件配置多个值:指示、分析师判定、严重程度和生产者。 当您为单个标准条目添加多个值时,它们之间是一个或关系。

  • 触发器 - 定义响应策略引擎何时检查故事与规则匹配。 设置包括:

    • 故事已创建 - 当创建新故事时,响应策略引擎会检查规则匹配。 不会检查已更新的现有故事以匹配规则。

    • 故事已创建或更新 - 当新故事创建或现有故事更新时,响应策略引擎会检查规则匹配。 更新可以包括对故事的状态、分析师判决、严重性和目标的更改。

  • 响应 - 选择在规则匹配时的响应。 响应可以包括生成事件和通知,这些通知由订阅组邮件列表Webhook集成定义。

创建新的响应策略规则

创建新的响应策略规则并配置规则的设置以定义何时发送故事通知。

Response_Policy_New_rule_panel.png

要创建新的响应策略规则:

  1. 从导航菜单中,点击首页 > 检测与响应策略

  2. 选择响应策略标签。

  3. 点击新建添加到响应策略面板打开。

  4. 输入规则的名称

  5. 来源部分,选择类型(例如:主机IP范围站点),然后为此规则的故事来源选择一个或多个对象(或者您可以输入一个IP地址)。

    默认的来源值是任何

  6. (可选)定义标准,指定故事必须具有的特征以匹配规则。

  7. 选择规则的触发器。 您可以配置触发器是在事件创建时、更新时或同时触发。

  8. 选择响应。 如果您选择发送通知,则定义接收通知的订阅组、邮件列表或集成。

  9. 点击保存。 规则被添加到策略中。

创建Webhook集成

要使用Webhook集成将XOps故事中的数据发送到第三方,您需要:

  1. 在CMA中配置第三方集成

  2. 在响应策略中创建所需的规则

步骤1:配置第三方集成

您可以定义一个Webhook集成,将警报发送到ServiceNow、Jira和Slack等第三方平台,并创建以警报为基础的自动化流程。 Cato的Webhooks支持自定义HTTP头和警报中的消息,以满足您组织的特定需求。 有关详细信息,请参阅 通过Webhook发送CMA通知

步骤2:创建所需的规则

在定义第三方集成后,在响应策略中创建一个规则。

Response.png

为第三方集成创建规则:

  1. 创建新的响应策略规则中,按照步骤1-7进行操作。

  2. 响应部分,选择发送通知

  3. 发送通知至下拉菜单中,选择集成

  4. 集成下拉菜单中,选择您想在规则中使用的集成。

  5. 点击保存。 规则被添加到策略中。

Cato事件和API字段用于XOps故事事件

事件页面显示为您的账户生成的所有XOps故事事件。 您可以过滤页面以使用事件类型检测和响应来显示事件。

以下是故事事件的相关字段。 Cato API的eventsFeed查询在这些字段中显示XOps故事的数据,适用于eventFieldName类型。

API enum 值

事件字段

评论

user_display_name

用户显示名称

analyst_verdict

分析师结论

criticality

重要性

device_name

设备名称

event_count

事件计数

对于XOps故事,事件不会自动聚合,因此事件计数通常为1。

sub-type

子类型

event_type

事件类型

对于XOps故事事件,事件类型为检测和响应

indication

指示

event_internal_id

事件内部ID

producer

生产者

生成故事的引擎。 可能的值:威胁预防、威胁狩猎、使用异常、事件异常、Microsoft终端警告。

rule

规则

生成事件的响应策略规则的名称。

source_ip

源IP

source_is_site_or_sdp_user

源是站点或用户

source_site

源站点

status

状态

story_id

故事ID

threat_name

威胁名称

threat_type

威胁类型

time

时间

vendor

供应商

可能的值:Microsoft(对于Microsoft终端警告故事)、Cato。

additional_data

N/A

不包含在其他事件字段中的故事数据。 此字段包含在导出的事件中,但未在事件页面中显示。

注意: 此字段以原始未解析数据导出,可能包含转义字符。 此格式可能会更改。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论