配置自动响应 XOps 事件

本文解释了如何创建自动响应,上传到一个XOps事件以抵御潜在威胁。

概述

自动响应上传至XOps事件,允许你定义缓解措施,当事件满足特定信任网络标准时被触发。 这有助于在检测到威胁时立即进行包含,减少响应时间,并确保在整个环境中执行访问权限策略和网络流量策略。

您可以在配置响应策略中的规则内定义自动响应。 每个规则评估事件属性,如严重程度、用户涉及或指示,并自动触发已配置操作,而不是依赖手动响应。

为了防止过度执行,自动操作每30分钟只应用于特定用户一次。 在这个30分钟的窗口期间,附加匹配事件不会在同一用户上触发重复操作。 这既避免了不必要的中断,又能确保有效响应真实威胁。

支持的操作

支持的操作如下:

  • 撤销用户会话:这会注销用户并提示他们通过客户端登录界面重新认证,以确保只有合法用户恢复访问。 有关详细信息,请参阅缓解XOps事件中的威胁事件

用例 - 自动响应严重性和严重程度高的事件

公司ABC面临大量XOps事件,使其难以确保最严重威胁得到立即处理。 为了减少曝光并执行一致缓解措施,他们配置响应策略规则,自动处理有最高风险指示事件。

他们创建一个规则来识别任何严重程度高的事件,并将自动操作设置为撤销用户会话。 为了确保自动操作安全使用,管理员添加指示过滤器,并只选择与网络钓鱼相关的事件类型应用于此策略。 这有助于在执行适当实施与安全效果之间取得平衡,并确保只有真正需要的用户被阻止。

任何符合这些信任网络标准的事件中包含的用户均被自动强制重新认证。 这种方法确保严重威胁得到即时关注,改善安全姿态一致性,并释放分析师专注于调查而不是紧急缓解任务。

创建自动响应

自动响应是在响应策略内配置。

Response_Policy.png

创建自动响应:

  1. 创建一个响应策略规则。 详细信息,请参考创建XOps事件响应策略
  2. 响应部分,选择自动操作应用于规则。 您还可以选择通知。
  3. 单击保存。 规则已添加到访问权限策略中。

审查缓解措施

如果事件符合自动响应规则,将自动采取操作并更新事件时间线。 操作在操作中心中也可见。

页面中的操作中心标签,让你可以审查账户中采取的XOps缓解措施。

ACtion_center.png

操作中心显示每个缓解操作的以下信息:

  • 时间 - 缓解操作发送的时间戳
  • 操作 - 缓解操作的描述
  • 主题 - 操作执行的用户

  • 状态 - 操作的访问令牌状态。 对于添加目标到阻止列表操作,这些是状态值:

    • 成功 - 撤销会话请求已发送到Cato用户服务
    • 失败 - 撤销会话请求出现问题
  • 作者 - 执行操作的管理员
  • 触发器 - 发送操作的事件ID。 单击以打开事件的概览页面
  • 注意 - 对于自动操作,不会添加任何注意。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论