创建XDR故事的响应策略

这篇文章解释了如何使用webhooks和其他通知与XDR响应策略,该策略定义了何时为新的和更新的XDR故事通知您,以及何时生成事件。

有关XDR故事的更多信息,请参阅在XDR发现事件中查看Detection & Response (XDR) 故事

概览

响应策略帮助您通过定义何时将故事通知发送给管理员和分析师,以及何时为故事生成事件来监控安全和网络XDR故事。 您可以根据发送通知和生成事件的故事标准创建规则,并可以使用订阅组、邮件列表和第三方集成配置接收通知的管理员。

例如,您可以创建发送通知的规则:

  • 如果故事的严重性很高

  • 当为特定来源(例如Site或IP范围)创建新故事时

  • 当故事目标更新时

  • 对于具有特定攻击指示的安全故事

  • 对于特定问题的网络故事,例如站点或链接停机

注意

注意: 默认情况下,匹配静音事件规则的网络故事不会发送通知。

生成XDR事件并导出到第三方服务

默认情况下,不生成XDR事件。 事件仅根据配置的规则生成。 当您定义生成XDR事件的规则时,您可以在事件页面上查看它们,更多信息请参见分析您的网络中的事件

您还可以将XDR事件与您现有的第三方服务和工作流程进行集成:

事件页面显示每个事件的字段集。 要访问完整的事件数据,请将其导出为在additional_data字段中可用的JSON文件。 您还可以创建过滤器以仅导出您需要的数据。 有关XDR事件字段的更多信息,请参见下面XDR事件的相关字段

将规则添加到XDR响应策略

当您向响应策略添加规则时,配置规则中每个部分以定义发送通知或生成事件的条件。

例如,如果您希望为每个创建或更新的XDR故事生成事件,请将规则配置为来源任何触发器故事创建或更新

注意

注意:对于MDR客户,请联系以定义您账户的响应策略规则。

Response_Policy.png

响应策略规则设置

响应策略规则包括以下部分:

  • 名称 - 您为规则分配的名称

  • 规则的描述

  • 来源 - 故事中涉及的网络流量来源。 例如:站点、IP地址或用户

    有关规则的来源项的更多信息,请参见规则对象的参考

  • 标准 - 与规则匹配的故事特点。 当您添加标准时,选择标准类型、值和确定标准与值之间关系的运算符。 例如:严重性 | 大于 | 6

    可配置的故事标准包括以下内容:严重性,严峻性,指示,分析师裁决,生成器,添加的目标,状态。 有关这些事件标准的更多信息,请参见在XDR发现事件中查看Detection & Response (XDR)事件

    • 生成器标准是生成故事的引擎,并包括安全和网络XDR引擎。 有关网络XDR的更多信息,请参见在XDR中查看网络事件。 有关安全性XDR引擎及其所需许可证类型的更多信息,请参见 使用指示目录

    • 您可以为以下标准配置多个值:指示,分析师裁定,严峻性,生成器。 当您向一个标准条目添加多个值时,它们之间是或关系。

  • 触发器 - 定义何时响应策略引擎检查故事是否符合规则。 设置包括:

    • 故事创建 - 当创建新故事时,响应策略引擎检查规则的匹配情况。 现有的故事更新后不会检查是否符合规则。

    • 故事创建或更新 - 响应策略引擎在创建新故事或更新现有故事时检查是否符合规则。 更新可以包括故事的状态、分析师判决、严重性和目标的更改。

  • 响应 - 选择规则匹配时的响应。 响应可以包括生成事件和通知,这些通知由订阅组邮件列表Webhook集成定义。

创建新的响应策略规则

创建一个新的响应策略规则,并配置规则的设置以定义何时发送故事通知。

Response_Policy_New_rule_panel.png

要创建新的响应策略规则:

  1. 在导航菜单中,点击首页 > Detection & Response Policy

  2. 选择响应策略标签页。

  3. 点击新建添加到响应策略面板打开。

  4. 为规则输入名称

  5. 来源部分中,选择类型(例如:主机IP 范围站点),然后为此规则的故事来源选择一个或多个对象(或输入一个IP地址)。

    默认的来源值是任何

  6. (可选) 定义必须匹配规则的故事应具备的标准

  7. 为规则选择触发器

  8. 选择响应。 如果选择发送通知,则定义接收通知的订阅组、邮件列表或集成。

  9. 点击保存。 规则已添加到策略中。

创建Webhook集成

要使用Webhook集成将数据从XDR事件发送到第三方,您需要:

  1. 在CMA中配置第三方集成

  2. 在响应策略中创建所需规则

步骤1:配置第三方集成

您可以定义Webhook集成,将警报发送到ServiceNow、Jira和Slack等第三方平台,并创建基于警报的自动化流程。 Cato的Webhooks支持在警报中自定义HTTP头和消息以满足组织的特定需求。 有关更多信息,请参阅创建 Webhooks 警报集成

步骤2:创建所需规则

在定义第三方集成之后,在响应策略中创建规则。

Response.png

创建第三方集成的规则:

  1. 遵循创建新的响应策略规则中步骤1-7。

  2. 响应部分中选择发送通知

  3. 发送通知给下拉列表中选择集成

  4. 集成下拉列表中选择您希望在规则中使用的集成。

  5. 点击保存。 规则已添加到策略中。

Cato事件和API字段用于XDR故事事件

事件页面显示为您的账户生成的所有XDR故事事件。 您可以使用事件类型侦测与响应来筛选页面上的事件。

以下是XDR故事事件的相关字段。 Cato API的eventFeed查询在这些字段中显示XDR故事的数据,用于eventFieldName类型。

API枚举值

事件字段

评论

user_display_name

用户显示名称

analyst_verdict

分析师判决

严重程度

关键性

device_name

设备名称

event_count

事件计数

对于XDR故事,事件不是自动聚合的,因此事件计数通常为1。

sub-type

子类型

event_type

事件类型

对于XDR故事事件,事件类型为侦测与响应

指示

指示

event_internal_id

事件内部ID

生产者

生产者

生成故事的引擎。 可能的值:威胁预防、威胁狩猎、使用异常、事件异常、Microsoft端点警报。

规则

规则

生成事件的响应策略规则的名称。

source_ip

来源IP

source_is_site_or_sdp_user

来源是站点或用户

source_site

来源站点

状态

状态

story_id

故事ID

threat_name

威胁名称

threat_type

威胁类型

时间

时间

供应商

供应商

可能的值:Microsoft(用于Microsoft Endpoint Alert故事),Cato。

附加数据

N/A

故事数据不包含在其他事件字段。 此字段包含在导出的事件中,但不会显示在事件页面。

注意: 此字段以未解析的原始数据导出,可能包含转义字符。 此格式可能会更改。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论