Cato CLI 提供了简单的命令行语法方法来访问 Cato GraphQL API 端点。 多个查询端点可以提供丰富的自定义分析报告,超越 Cato 管理应用程序 (CMA) 中预定义的仪表板和报告。 这些查询使管理员可以提取原始性能和安全数据,简化分析用户和应用程序的带宽消耗、Socket流量和抖动以及许多其他数据点的过程。 它还支持与外部分析、SIEM 或报告工具集成。
通过将这些核心分析查询与 Cato CLI 结合使用,您可以自动化数据收集用于网络监控、趋势分析和合规性用例。 每个查询从 Cato Cloud 检索特定类型的遥测信息,例如站点性能、应用程序使用情况或威胁活动,为 NOC 和 SOC 团队在分析操作指标方面提供更大的灵活性。
以下是 Cato CLI 的一些自定义分析:
-
账户指标 - 按站点、用户或接口的网络性能指标
-
应用程序统计 - 用户活动和应用程序使用分析
-
事件时间序列 - 安全事件、连接性和威胁分析
-
Socket端口指标 - Socket接口性能和流量分析
有关支持的字段、过滤器和聚合选项的完整列表,请参见 GitHub 上的 Cato CLI 文档: Cato CLI - 自定义报告查询操作
风险分析查询基于您组织中的使用情况,提供对风险评分较高的应用程序的可见性。 此查询帮助 SOC 团队识别访问高风险应用程序的用户并评估对影子 IT 或数据共享风险的曝光。
以下命令检索过去 7 天风险评分大于或等于 7 的应用程序:
catocli query appStats '{
"appStatsFilter": [
{
"fieldName": "risk_score",
"operator": "gte",
"values": ["7"]
}
],
"dimension": [
{"fieldName": "application_name"},
{"fieldName": "risk_score"},
{"fieldName": "user_name"}
],
"measure": [
{"aggType": "sum", "fieldName": "traffic"},
{"aggType": "sum", "fieldName": "flows_created"}
],
"timeFrame": "last.P7D"
}'
0 条评论
文章评论已关闭。