创建 XOps 事件响应策略

本文介绍如何使用 Webhook 和其他通知与 XOps 响应策略配合,定义何时为新的和更新的 XOps 事件发送通知,以及何时生成事件。

有关XOps故事的更多信息,请参阅在故事工作台中查看检测和响应XOps故事

注意

注意:XOps 是 Cato 的统一安全与运营分析层,提供洞察和引导修复。 XOps已取代XDR,了解更多信息,请参阅XOps常见问题解答

概述

响应策略帮助您通过定义何时为事件发送通知到管理员和分析师,以及何时为事件生成事件来监控 XOps 事件。 您可以根据发送通知和生成事件的故事标准创建规则,并可以使用订阅组、邮件列表和第三方集成配置接收通知的管理员。

例如,您可以创建发送通知的规则:

  • 如果故事的严重性很高

  • 当为特定来源(例如Site或IP范围)创建新故事时

  • 当故事目标更新时

  • 对于具有特定攻击指示的安全故事

  • 对于特定问题的站点操作,例如站点或链接断开

注意

注意:默认情况下,不会为符合静音故事规则的站点操作发送通知。

XOps故事生成事件并导出到第三方服务

默认情况下,不生成 XOps 事件的事件。 事件仅根据配置规则生成。 当您定义生成XOps故事事件的规则时,您可以在事件页面上查看它们,了解更多信息,请参阅在您的网络中分析事件

您还可以将 XOps 事件与现有的第三方服务和工作流程集成:

事件页面显示每个事件的字段集。 要访问完整的事件数据,请将其导出为在additional_data字段中可用的JSON文件。 您还可以创建过滤器以仅导出您需要的数据。 有关XOps事件字段的更多信息,请参阅下面的XOps故事事件的Cato事件和API字段

向 XOps 响应策略中添加规则

当您向响应策略添加规则时,配置规则中每个部分以定义发送通知或生成事件的条件。

例如,如果您希望为每个创建或更新的 XOps 事件生成一个事件,请将规则配置为 来源任意触发条件事件创建或更新

注意

注意:对于MDR客户,请联系以定义您账户的响应策略规则。

Response_Policy.png

响应策略规则设置

响应策略规则包括以下部分:

  • 名称 - 您为规则分配的名称

  • 规则的描述

  • 来源 - 故事中涉及的网络流量来源。 例如:站点、IP地址或用户

    有关规则的来源项目的更多信息,请参阅规则对象参考

  • 标准 - 与规则匹配的故事特点。 当您添加标准时,选择标准类型、值和确定标准与值之间关系的运算符。 例如:严重性 | 大于 | 6

    可配置的故事标准包括以下内容:严重性,严峻性,指示,分析师裁决,生成器,添加的目标,状态。 有关这些故事标准的更多信息,请参阅在故事工作台中查看检测和响应XOps故事

    • 生产者是生成故事的引擎。 有关站点操作的更多信息,请参阅查看站点操作故事。 有关XOps引擎及其所需许可证类型的更多信息,请参阅使用指示目录

    • 您可以为以下标准配置多个值:指示,分析师裁定,严峻性,生成器。 当您向一个标准条目添加多个值时,它们之间是或关系。

  • 触发器 - 定义何时响应策略引擎检查故事是否符合规则。 设置包括:

    • 故事创建 - 当创建新故事时,响应策略引擎检查规则的匹配情况。 现有的故事更新后不会检查是否符合规则。

    • 故事创建或更新 - 响应策略引擎在创建新故事或更新现有故事时检查是否符合规则。 更新可以包括故事的状态、分析师判决、严重性和目标的更改。

  • 响应 - 选择规则匹配时的响应。 响应可以包括生成的事件和由订阅组邮件列表Webhook集成定义的通知。

创建新的响应策略规则

创建一个新的响应策略规则,并配置规则的设置以定义何时发送故事通知。

Response_Policy_New_rule_panel.png

要创建新的响应策略规则:

  1. 在导航菜单中,点击首页 > Detection & Response Policy

  2. 选择响应策略标签页。

  3. 点击新建添加到响应策略面板打开。

  4. 为规则输入名称

  5. 来源部分中,选择类型(例如:主机IP 范围站点),然后为此规则的故事来源选择一个或多个对象(或输入一个IP地址)。

    默认的来源值是任何

  6. (可选) 定义必须匹配规则的故事应具备的标准

  7. 为规则选择触发器

  8. 选择响应。 如果选择发送通知,则定义接收通知的订阅组、邮件列表或集成。

  9. 点击保存。 规则已添加到策略中。

创建Webhook集成

要使用 Webhook 集成将 XOps 事件的数据发送到第三方,您需要:

  1. 在CMA中配置第三方集成

  2. 在响应策略中创建所需规则

步骤1:配置第三方集成

您可以定义Webhook集成,将警报发送到ServiceNow、Jira和Slack等第三方平台,并创建基于警报的自动化流程。 Cato的Webhooks支持在警报中自定义HTTP头和消息以满足组织的特定需求。 有关更多信息,请参阅创建Webhooks警报集成

步骤2:创建所需规则

在定义第三方集成之后,在响应策略中创建规则。

Response.png

创建第三方集成的规则:

  1. 请遵循创建新的响应策略规则中的步骤1-7。

  2. 响应部分中选择发送通知

  3. 发送通知给下拉列表中选择集成

  4. 集成下拉列表中选择您希望在规则中使用的集成。

  5. 点击保存。 规则已添加到策略中。

XOps 事件的 Cato 事件和 API 字段

事件页面显示为您的账户生成的所有 XOps 事件。 您可以使用事件类型侦测与响应来筛选页面上的事件。

以下是事件的相关字段。 Cato API 的 eventsFeed 查询显示以下字段中用于 XOps 事件的数据,用于 eventFieldName 类型。

API枚举值

事件字段

评论

user_display_name

用户显示名称

  

analyst_verdict

分析师判决

  

严重程度

关键性

  

device_name

设备名称

  

event_count

事件计数

对于 XOps 事件,事件不会自动聚合,因此事件计数通常值为 1。

sub-type

子类型

  

event_type

事件类型

对于 XOps 事件,事件类型为 检测和响应

指示

指示

  

event_internal_id

事件内部ID

  

生产者

生产者

生成故事的引擎。 可能的值:威胁预防、威胁狩猎、使用异常、事件异常、Microsoft端点警报。

规则

规则

生成事件的响应策略规则的名称。

source_ip

来源IP

  

source_is_site_or_sdp_user

来源是站点或用户

  

source_site

来源站点

  

状态

状态

  

story_id

故事ID

  

threat_name

威胁名称

  

threat_type

威胁类型

  

时间

时间

  

供应商

供应商

可能的值:Microsoft(用于Microsoft Endpoint Alert故事),Cato。

附加数据

N/A

故事数据不包含在其他事件字段。 此字段包含在导出的事件中,但不会显示在事件页面。

注意: 此字段以未解析的原始数据导出,可能包含转义字符。 此格式可能会更改。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论