本文介绍Cato XOps平台的安全性和网络运维功能,以及不同XOps许可证级别所包含的内容。
注意
注意: XOps 是 Cato 的统一分析层,用于安全和运营,提供见解和指导性修复。 XOps 已取代 XDR,了解更多信息,请参见 XOps FAQ。
Cato XOps(原XDR)平台使安全运维和网络运维团队能够利用AI和自动化来监控组织的网络安全威胁和网络性能问题。 XOps 将难以管理的原始安全和网络事件转化为可消费、跨功能且可操作的事件。
平台包括多种类型的高级关联引擎,这些引擎分析流量数据以匹配特定的威胁活动或网络问题的指示。 当引擎找到匹配时,会生成一个可在 Cato 管理应用程序 (CMA) 中查看和调查的故事。 CMA 将这些引擎称为 生成器。
每个XOps事件包含来自具有共同属性的流量数据,这些属性与同一威胁或网络问题相关。 故事工作台页面显示每个故事的详情,帮助您理解和分析它们。 您可以对故事进行排序和过滤,以查找最重要的潜在攻击,然后深入分析以进一步调查细节。
以下是各种XOps事件生产者的名称和描述:
-
威胁防护-Cato XOps威胁防护生产者会检测Cato实时安全服务(如IPS和反恶意软件)生成的事件中特定的攻击行为。 威胁预防故事帮助分析师专注于立即的高置信威胁。
威胁预防故事通常基于关联的阻止事件,即由某个安全服务阻止的流量事件。 然而,即使流量已经被阻止,也可能该流量与正在进行的威胁有关。 XOps事件让您可以调查可疑流量的背景和详细信息,帮助确定是否还有需要进一步缓解的威胁。
关于威胁防护故事的更多信息,请参见深入分析和调查XOps安全故事。
-
威胁搜寻 – 威胁搜寻生产者持续扫描存储在数据湖中的大量历史流量数据,以检测指示潜在威胁的流量模式。 与专注于最近事件的威胁防护生产者不同,威胁搜寻生产者在存储的流量数据中寻找随时间变化的关联性。 为确保准确性,相关性是在一周的数据中识别出来的。 进一步来说,虽然威胁预防生成器查看事件日志中的数据,威胁狩猎生成器分析来自流量流的更广泛的数据集。 这使得威胁搜寻生产者能够检测到更具隐蔽性的威胁,这些威胁由于产生较低且难以检测的签名而难以用传统方法识别。
以下是一个威胁狩猎故事的概述页面,其中识别了与网络钓鱼威胁相关的40个不同流量流(信号):
关于威胁搜寻故事的更多信息,请参见深入分析和调查XOps安全故事。
-
使用异常 - 作为 Cato 用户和实体行为分析 (UEBA) 功能的一部分,此生成器将用户和站点的网络活动与机器学习算法计算的基准进行比较,并为偏离基准使用水平的可疑偏差生成故事。 例如,检测到特定用户使用的上行带宽比平常多。
关于使用异常故事的更多信息,请参见分析用于使用和事件异常的XOps UEBA故事。
-
事件异常 - Cato 的 UEBA 功能的另一个要素,该生成器可检测到某一网络实体触发异常数量的安全事件的迹象。 例如,与用户设备可能感染相关的流量阻止事件数量异常增加。
关于事件异常故事的更多信息,请参见分析用于使用和事件异常的XOps UEBA故事。
-
Microsoft Endpoint警报 - 使用Microsoft Defender for Endpoint的客户可以将Defender警报数据与Cato XOps集成,以生成端点设备的事件。 微软终端告警生成器通过关联在同一设备上24小时内发生的Defender告警数据创建一个故事。 终端告警故事包含 Defender 检测到的告警的所有相关证据。 通过扩展到终端的关注,这些故事帮助您更全面地了解网络中的潜在威胁。
关于与 Cato XOps集成Defender for Endpoint的更多信息,请参见Microsoft Defender for Endpoint Alerts: Configuring the XOps Integration。
-
Microsoft Entra ID 警报 - 你可以从 Microsoft Entra ID 保护集成警报数据,以生成 Cato XOps 事件。 这让分析师可以在XOps调查的更广泛背景中包括来自风险登录的数据。 Cato Entra身份警报引擎通过关联24小时内同一用户发生的Entra ID Protection警报数据创建事件。
关于与 Cato XOps集成Entra ID Alerts的更多信息,请参见Microsoft Entra ID: Configuring the XOps Integration。
-
Cato终端警报 - Cato EPP解决方案与Cato XOps集成,以生成端点设备的事件。 Cato 终端告警生成器通过关联在同一设备上24小时内发生的所有 Cato EPP 告警数据创建一个故事。 Cato 终端告警故事包含 Cato EPP 检测到的所有相关证据。
关于Cato终端警报故事的更多信息,请参见Cato Endpoint Protection (EPP): Configuring the XOps Integration。
-
SentinelOne警报 - 使用SentinelOne的客户可以集成来自SentinelOne EDR的数据以生成端点设备的事件。 SentinelOne生产者通过在90天内基于代理UUID(设备ID)和威胁文件哈希值的SentinelOne EDR事件创建事件。 这些事件包括由SentinelOne检测到的事件的所有相关证据。
关于与SentinelOne Alerts集成的更多信息,请参见SentinelOne EDR: Configuring the XOps Integration。
-
CrowdStrike警报 - 使用CrowdStrike的客户可以集成基于事件ID的CrowdStrike检测数据。 这些事件包括CrowdStrike识别的检测的所有相关证据。
关于与CrowdStrike Alerts集成的更多信息,请参见CrowdStrike: Configuring the XOps Integration。
-
AIOps - Cato XOps 特色在于一个独特的AIOps 生产者,称为站点操作(正式名称为网络XDR),将网络运维与安全运营融合为一个平台。 这个生产者检测与连接和性能相关的不同信号和指标,并生成故事来关联网络问题的数据。 例如,如果一个WAN链接偶尔遇到高数据包丢失,生产者会创建一个包含所有相关数据的单一故事。
欲了解更多关于 Cato XOps 中的网络故事,请参阅审阅站点操作故事。
您的XOps许可证决定了您账户中可用的生产者,以及服务是否由Cato管理。 所有许可证级别均可从Cato管理应用程序受益于XOps平台工具,包括:
下表描述了将于2025年8月6日生效的XOps许可证级别。 并解释了每个级别有哪些生产者可用。 有关购买XOps许可证的更多信息,请联系您的Cato代表或官方经销商。
|
许可证 |
描述 |
|---|---|
|
没有许可证 |
如果配置了连接器,则事件由以下生产者创建:
|
|
XOps |
一个付费的非托管级别,包括将数据关联到事件的以下生产者集、调查平台、缓解措施建议和缓解行动:
|
|
MDR |
包括托管的24/7安全运营中心服务的付费级别,增强事件的安全性和管理。 此服务由Cato托管检测和响应团队提供,包括:
|
0 条评论
请登录写评论。