Cato终端保护(EPP):配置XOps集成

本文讨论如何使用Stories Workbench查看Cato EPP警报的XOps故事。

Cato端点警报故事概览

卡托端点保护程序 (Cato EPP) 解决方案与 Cato XOps 集成以生成端点设备的事件。 终端故事帮助您更全面了解网络中的潜在威胁,您可以在统一的XOps平台上进行调查,延伸到网络和终端。

Cato终端警报引擎通过关联24小时内在同一设备上发生的所有Cato EPP警报数据来创建故事。 Cato终端警报故事包括Cato EPP检测到的所有相关证据。 Stories Workbench显示Cato EPP故事和其他故事类型,您可以对故事进行排序和过滤,以关注Cato终端警报故事。

有关查看 XOps 事件的更多信息,包括来自 Microsoft 卡托端点保护程序 (Cato EPP) 的数据,请参阅 深入分析和审查 XOps 安全事件

已知限制

  • 如果Cato EPP代理与互联网断开超过8小时,可能不会创建该期间内某些EPP事件的XOps故事。 然而,EPP代理继续检测和阻止威胁,这些事件将在事件页面上可用。

  • Cato EPP XOps存储最多需要4小时才能在事件页面上显示。

先决条件

显示Stories Workbench页面

Detection_Response_Workbench_Endpoint.png

一旦创建连接器,故事将在Stories Workbench中可见。

要查看Stories Workbench页面:

  • 从导航菜单中,点击首页 > Stories Workbench

有关 XDR 发现事件列的信息,请参阅理解事件列

理解连接器状态

Connectors Settings页面上的状态列显示CrowdStrike应用程序和您的Cato账户之间的连接状态。 这是状态的解释:

  • 已连接 - 你的账户已连接到应用程序,并正常工作。

  • 待用户同意 - 尚未授予权限以允许Cato访问CrowdStrike应用程序。 要解决此问题,请刷新浏览器。 如果状态更改为已连接,问题已解决;如果状态没有变化,请删除并重新创建连接器。

  • 错误 - 连接器存在连接性、权限、许可证或其他问题。 删除并重新创建连接器。

查看Stories Workbench页面

一旦创建连接器,故事将在Stories Workbench中可见。

要查看工作台的问题反馈:

  • 从导航菜单中,点击首页 > Stories Workbench

有关 XDR 发现事件列的信息,请参阅理解事件列

有关查看 XOps 事件的更多信息,包括来自 Microsoft Defender 的数据,请参阅 深入分析和审查 XOps 安全事件

显示Cato终端警报故事

您可以根据Cato终端警报故事类型进行分组和过滤,以快速找到终端设备的故事。 有关分组和过滤事件的更多信息,请参阅在 XDR 发现事件中审查检测和响应 (XDR) 事件

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论