Cato 终端保护 (EPP):配置 XOps 集成

本文讨论如何使用事件工作台审核 Cato EPP 警报的 XOps 事件。

注意

注意XOps 是 Cato 的统一分析层,为安全和操作提供洞察和指导修复。 XOps 已替换 XDR,欲了解更多信息,请参阅 XOps FAQ

Cato 终端警报故事概览

Cato EPP 解决方案与 Cato XOps(原 XDR) 集成以生成终端设备的事件。 终端事件帮助您全面了解网络中的潜在威胁,您可以在统一的 XOps 平台上进行调查,扩展到网络和终端。

Cato 终端警报引擎通过关联 24 小时内在同一设备上发生的所有 Cato EPP 警报数据创建一个故事。 Cato 终端警报故事包含 Cato EPP 检测到的所有相关证据。 故事工作台显示 Cato EPP 故事及其他类型的故事,您可以对故事进行排序和筛选,专注于 Cato 终端警报故事。

有关更多信息,请参见深入分析及了解 XOps 安全事件

已知限制

  • 如果 Cato EPP 代理与互联网断开连接超过 8 小时,则可能无法创建该期间某些 EPP 事件的 XOps 事件。 然而,EPP 代理将继续检测和阻止威胁,事件将在事件页面上可用。

显示故事工作台页面

Detection_Response_Workbench_Endpoint.png

一旦创建连接器,事件将会在 XDR 发现事件中显示。

查看 XDR 发现事件页面:

  • 从导航菜单中,点击 Home > Stories Workbench

For information about the columns in the Stories Workbench see Understanding the Stories Columns.

了解连接器状态

Connectors 设置页面的状态栏显示 CrowdStrike 应用和你的 Cato 账户之间的连接状态。 这些是状态的解释:

  • 已连接 - 你的账户已与应用连接并正常工作

  • 用户同意待处理 - 未授予权限以让 Cato 访问 CrowdStrike 应用。 解决此问题,请刷新浏览器。 如果状态变更为已连接,则问题已解决,如果状态没有变更,请删除并重新创建连接器。

  • 错误 - 连接器存在连接问题、权限问题或其他问题。 删除并重新创建连接器。

查看 XDR 发现事件页面

一旦创建连接器,事件将会在 XDR 发现事件中显示。

查看 XDR 发现事件页面:

  • 在导航菜单中,点击首页 > XDR 发现事件

有关 XDR 发现事件中列的信息,请参见了解事件列

有关更多信息,请参见深入分析及了解 XOps 安全事件

显示 Cato 终端警报故事

您可以根据 Cato 终端警报 的故事类型对故事进行分组和过滤,以便快速找到终端设备的故事。 有关分组和筛选事件的更多信息,请参阅 检查检测和响应 XOps 事件在事件工作台中

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论