本文介绍了 Cato XOps 平台的安全和网络操作功能,以及不同 XOps 许可证层级所包含的内容。
Cato DNS 策略平台XOps使安全运营和网络运维团队能够利用人工智能和自动化来监控组织网络的安全威胁和网络性能问题。 XOps 将难以管理的原始安全和网络事件转化为可消费、跨功能和可实施的故事。
该平台包括多种类型的高级关联引擎,这些引擎通过分析流量数据来查找特定威胁活动或网络问题的指示。 当引擎找到匹配项后,它会生成一个可在 Cato 管理应用程序 (CMA) 中查看和调查的故事。 CMA 将这些引擎称为 生产者。
每个 XOps 故事包含来自流量流的数据,具有相同威胁或网络问题的共同属性。 Stories Workbench 页面显示每个故事的详细信息,以帮助您理解和分析它们。 您可以对故事进行排序和过滤,以寻找最重要的潜在攻击,然后深入调查故事的细节。
以下是各种 XOps 故事生产者的名称和描述:
-
威胁预防 - Cato XOps 威胁预防生产者检测由 Cato 实时安全服务(如 IPS 和反恶意软件)生成的事件中的特定攻击行为。 威胁预防故事帮助分析人员专注于立即的、高置信度的威胁。
威胁预防故事通常基于关联的阻止事件,即被安全服务阻止的流量事件。 然而,即使流量已经被阻止,这些流量仍可能与正在进行的威胁相关。 XOps 故事让您可以调查可疑流量的背景和详细信息,以帮助确定是否仍有需要进一步缓解的威胁。
有关威胁预防故事的更多信息,请参见 深入分析 XOps 安全故事。
-
威胁狩猎 - 威胁狩猎生产者持续扫描存储在 数据湖 中的大量历史流量数据,以检测表明潜在威胁的流量模式。 与聚焦于最近事件的威胁防护生产者不同,威胁狩猎生产者在存储的流量数据中寻找时间上的关联。 在一周的数据中识别相关性以确保准确性。 进一步来说,威胁狩猎生产者分析来自流量流的更广泛的数据集,而不是查看事件日志中的数据。 这使得威胁狩猎生产者可以检测到更具隐蔽性的威胁,因为这些威胁生成了较低且难以检测的特征。
以下是一个识别了 40 个不同流量流(信号)的网络钓鱼威胁的威胁狩猎故事概览页面:
有关威胁狩猎故事的更多信息,请参见 深入分析 XOps 安全故事。
-
使用异常 - 作为 Cato 用户和实体行为分析(UEBA)功能的一部分,此生产者将用户和网站的网络活动与机器学习算法计算的基线进行比较,并产生偏离基线使用水平的可疑故事。 例如,检测到某个特定用户使用了比平常更多的上行带宽。
有关使用异常故事的更多信息,请参见 分析 XOps UEBA 故事中的使用和事件异常。
-
事件异常 - 作为 Cato 用户和实体行为分析(UEBA)功能的另一要素,此生产者检测与网络上某一实体触发大量安全事件的指示。 例如,一个用户被检测到与某个特定方向的不寻常大量入侵防御阻止事件有关,这可能表明用户设备上有潜在的感染。
有关事件异常故事的更多信息,请参见 分析 XOps UEBA 故事中的使用和事件异常。
-
体验异常:检测针对特定站点和应用程序的应用程序体验中的异常变化。 在对应用程序监控了14天后,它使用TTFB(首字节时间)创建基线。 生产者每天检查一次流量,当应用程序体验与基线显著不同时,生成一个事件故事。 该事件帮助您审查受影响的站点、应用程序、流量流以及可能的性能问题。
-
账户操作:检测可能影响用户、站点和服务的账户级问题。 这包括目录同步失败、许可证耗尽、证书过期、连接器问题以及其他配置或操作问题。 生产者生成一些事件,帮助您理解问题,审查其范围和影响,并遵循引导的补救步骤以恢复正常运行。
-
预测分析:在风险影响服务前,检测潜在性能和可用性。 它分析网络趋势、资源使用和配置上下文,以预测正在发展的问题。 例如,当预计某站点套接字的CPU使用率超过可接受水平时,它可以生成一个事件。 该事件帮助您审查预测,了解问题何时可能变得严重,并遵循引导的补救步骤。
-
Microsoft 终端设备警报 - 使用 Microsoft Defender for Endpoint 的客户可以将 Defender 警报数据与 Cato XOps 集成,以生成终端设备的故事。 微软终端告警生成器通过关联在同一设备上24小时内发生的Defender告警数据创建一个事件。 端点警报故事包含由 Defender 检测到的警报的所有相关证据。 通过扩展到端点的关注,这些故事帮助您更全面地了解网络中的潜在威胁。
有关将 Microsoft Defender for Endpoint 与 Cato XOps 集成的更多信息,请参见 Microsoft Defender for Endpoint Alerts: 配置 XOps 集成。
-
Microsoft Entra ID 警报 - 您可以集成 Microsoft Entra ID 保护的警报数据,以生成 Cato XOps 故事。 这样分析师就可以在 XOps 调查的更广泛背景下包含来自风险登录的数据。 Cato Entra 身份警报引擎通过关联在 24 小时内发生在同一用户上的 Entra ID 保护警报创建故事。
有关将 Microsoft Entra ID Alerts 与 Cato XOps 集成的更多信息,请参见 Microsoft Entra ID: 配置 XOps 集成。
-
云检测与响应:使用Wiz问题来检测云环境中的风险。 这包括不安全的配置、易受攻击的应用程序、暴露的凭据和威胁检测。 生产者几乎实时处理Wiz问题,并在事件工作台中生成事件。 这些事件结合了Wiz云智能与Cato上下文,帮助您调查云风险并识别可能的跨环境攻击。
-
Cato 端点警报 - Cato EPP 解决方案与 Cato XOps 集成,以生成终端设备的故事。 Cato 端点警报生产者通过关联 24 小时内在同一设备上发生的所有 Cato EPP 警报数据来创建故事。 Cato 端点警报故事包括 Cato EPP 检测到的所有相关证据。
有关 Cato 端点警报故事的更多信息,请参见 Cato Endpoint Protection (EPP): 配置 XOps 集成。
-
SentinelOne Alerts - 使用 SentinelOne 的客户可以将 SentinelOne EDR 的数据集成以生成端点设备的故事。 SentinelOne 生产者通过基于代理 UUID(设备 ID)和威胁文件哈希值的 SentinelOne EDR 事件来创建故事,并在 90 天内进行相关。 这些故事包含 SentinelOne 检测到的所有事件的相关证据。 事件在原始警报生成后几乎实时创建。
有关集成 SentinelOne 警报的更多信息,请参见 SentinelOne EDR: 配置 XOps 集成。
-
CrowdStrike Alerts - 使用 CrowdStrike 的客户可以根据事件 ID 集成 CrowdStrike 检测的数据。 这些故事包括 CrowdStrike 识别的检测事件的所有相关证据。 事件在原始警报生成后几乎实时创建。
有关集成 CrowdStrike 警报的更多信息,请参见 CrowdStrike: 配置 XOps 集成。
-
站点操作 - Cato XOps 具有独特的称为站点操作的AIOps生产者(正式名称为网络XDR),将网络操作和安全操作融合到一个平台中。 此生产者检测与连接性和性能相关的不同指示和指标,并生成将问题数据关联起来的故事。 例如,如果 WAN 链接间歇性地经历高丢包率,生产者将为该链接创建一个包含所有相关数据的单一故事。
有关Cato XOps中的网络故事的更多信息,请参见查看站点操作故事。
本节提供了每个生产者的使用案例:
场景
某分支办公室出现间歇性连接问题,主要的ISP链接不断上下浮动(抖动),导致无法访问云应用和VPN隧道。
工作原理
Cato的站点操作引擎持续监控链接的健康状况。 当多个Link down和Link up事件接连发生时,它会将它们组合成一个故事——识别一种不稳定的模式,而不是孤立的事件。
故事
故事展示:
-
受影响的站点和特定WAN链接
-
在监控窗口内相关链接抖动的时间表
-
分析识别抖动行为(例如,10分钟内发生五次链接断开事件)
结果
站点操作 引擎聚合所有相关事件到一个关联的事件中,减少警报噪声,并突出潜在的慢性链路问题。 IT团队主动收到通知,切换到备用ISP链接,并与供应商合作解决根本原因——最大限度地减少停机时间并防止重复的服务中断。
您的XOps许可证决定了您账户可用的生产者,以及服务是否由 Cato 管理。 所有许可证层级都可在 Cato 管理应用程序中受益于XOps平台工具,包括:
下表描述了自 2025 年 8 月 6 日起生效的XOps许可证层级。 并解释了每个层级可用的生产者。 如需了解更多有关购买XOps许可证的信息,请联系您的 Cato 代表或官方经销商。
|
许可证 |
描述 |
|---|---|
|
无许可证 |
如果配置了连接器,事件由以下生产者创建:
|
|
XOps |
一个付费的、非托管的层级,包括以下一组将数据关联到故事中的生产者、用于调查的平台、缓解建议和缓解行动:
|
|
MDR |
付费级别,包括增强故事安全性和管理的托管24/7 SOC服务。 该服务由 Cato 托管检测和响应团队提供,包含:
|
0 条评论
请登录写评论。