دمج أحداث كاتو مع التخزين في أزور

نظرة عامة على تكامل أحداث التخزين في Azure

يمكن للمؤسسات التي تخزن وتدير بيانات الأحداث في حساب التخزين في أزور إعداد حساب كاتو ليقوم بتحميل الأحداث إليه تلقائيًا وباستمرار. 

يقوم هذا التكامل بدفع الأحداث مباشرة من السحابة كاتو إلى حساب التخزين، على عكس واجهة برمجة التطبيقات eventsFeed التي تتطلب سحب البيانات من كاتو وقد تتأثر بتقييد السرعة.

تحميل سحابة كاتو البيانات إلى حساب التخزين كل ٦٠ ثانية أو عندما يتراكم أكثر من ١٠ ميغابايت من البيانات. يتم نقل البيانات بأمان عبر HTTPS.

يتم تحميل الأحداث بصيغة مضغوطة .GZ. بعض العملاء، مثل بعض المتصفحات، قد يفك ضغط هذه الملفات تلقائيًا دون إزالة امتداد .GZ. إذا حدث ذلك، فإن تغيير امتداد الملف إلى LOG أو TXT قد يضبط بشكل صحيح تنسيق الملف مع امتداده.

استخدام حالة دمج الأحداث

تستخدم الشركة النموذجية ميزة مراقبة النشاط المشتبه به باستخدام IPS، التي تولد حجمًا كبيرًا من الأحداث الأمنية. يقررون إنشاء حساب تخزين أزور لتخزين جميع بيانات الحدث، والتي يمكنهم بعد ذلك دمجها مع حل SIEM الخاص بهم. تقوم الشركة النموذجية بتمكين تكامل الأحداث وإضافة حساب تخزين Azure كتكامل إلى حسابهم في Cato بحيث يتم تحميل جميع أحداث IPS تلقائيًا إلى تخزين Azure.

المتطلبات المسبقة

تهيئة حساب تخزين Azure

قم بإنشاء حساب تخزين جديد وحاوية لبيانات أحداث Cato. نوصي بعدم استخدام حساب تخزين قائم بالفعل لتكامل الأحداث. يمكنك استخدام سلسلة اتصال Azure من مفتاح الوصول أو من توقيع الوصول المشترك (SAS).

استخدام مفاتيح الوصول لسلسلة الاتصال

بالنسبة للعملاء الذين يستخدمون مفاتيح الوصول Azure لمصادقة حساب التخزين إلى Cato، قم بنسخ سلسلة الاتصال. قم بلصق سلسلة الاتصال لمفتاح الوصول في تطبيق إدارة Cato عند تكوين تكامل Azure.

لإنشاء حساب تخزين يستخدم مفاتيح الوصول:

  1. قم بإنشاء حساب تخزين جديد بالإعدادات المناسبة.

    1. في تفاصيل المثال، اختر أداء قياسي.

      basic_storage_account.png
    2. انقر على مراجعة ثم انقر على إنشاء.

  2. قم بإنشاء حاوية جديدة لبيانات الحدث (تخزين البيانات > حاويات).

    ستدخل اسم الحاوية في تطبيق إدارة Cato عند إنشاء الدمج للأحداث (أدناه).

  3. في جزء التنقل على اليسار، انتقل إلى قسم الأمان + الشبكات وحدد مفاتيح الوصول.

  4. قم بنسخ سلسلة مفاتيح الوصول لحساب التخزين.

    access_key_string.png
  5. تابع مع إضافة تخزين حساب Azure للأحداث (في الأسفل).

استخدام SAS لسلسلة الاتصال

إجازات التخزين الاختصارات الخاصة بـAzure تتيح لك تقييد الصلاحيات لحاوية التخزين، بما في ذلك عناوين IP المسموحة وتاريخ انتهاء الصلاحية لسلسلة الاتصال. لمزيد من المعلومات حول عناوين IP التابعة لـCato، شاهد هذا المقال (يجب تسجيل الدخول لمشاهدته).

يتضمن الرمز لسلسلة اتصال SAS تاريخ انتهاء صلاحية، يُظهر في صفحة دمج الأحداث. بعد تاريخ انتهاء الصلاحية، لم يعد الرمز صالحًا، ولا يمكن لـ Cato دفع الأحداث إلى حاوية التخزين. للحفاظ على تحميل الأحداث دون انقطاع، قم بتوليد سلسلة اتصال جديدة وطبقها على التكامل قبل تاريخ انتهاء صلاحية SAS.

لتكوين حساب تخزين في Azure لاستقبال بيانات أحداث Cato:

  1. قم بإنشاء حساب تخزين جديد بالإعدادات المناسبة.

    1. في تفاصيل المثال، اختر أداء قياسي.

      basic_storage_account.png
    2. انقر على مراجعة ثم انقر على إنشاء.

  2. قم بإنشاء حاوية جديدة لبيانات الحدث (تخزين البيانات > حاويات).

    ستدخل اسم الحاوية في تطبيق إدارة Cato عند إنشاء الدمج للأحداث (أدناه).

  3. في جزء التنقل على اليسار، انتقل إلى قسم الأمان + الشبكات وحدد توقيع الوصول المشترك.

  4. قم بتكوين SAS بالأذونات التالية:

    • الخدمات المسموح بها - Blob، File
    • أنواع الموارد المسموح بها - Container، Object
    • الأذونات المسموح بها - Read، Write، List
    SAS_settings.png
  5. انقر على توليد سلسلة اتصال SAS.

  6. قم بنسخ سلسلة الاتصال لحساب التخزين. ستقوم بلصق هذه السلسلة عند إنشاء الدمج للأحداث (أدناه).

    sas_string.png

إضافة دمج حدث للتخزين في أزور

قم بإنشاء دمج جديد لحساب التخزين في أزور في علامة تبويب دمج الأحداث، ولصق سلسلة الاتصال في الدمج. تُعطي هذه السلسلة إذنًا لكتو لتحميل بيانات الحدث إلى حساب التخزين. لا يمكنك تعديل السلسلة بعد إنشاء التكامل. بدلاً من ذلك، انقر فوق إعادة تعيين وقم بلصق سلسلة الاتصال.

بعد تعريف وتمكين دمج التخزين في أزور، يستغرق الأمر بضع دقائق لكتو لبدء تحميل الأحداث إلى حساب التخزين.

يمكنك تصفية الأحداث التي يتم تحميلها إلى حساب التخزين حسب نوع الحدث أو النوع الفرعي. على سبيل المثال، يمكنك تحميل فقط أحداث IPS لحسابك. بشكل افتراضي، لم يتم تطبيق أي فلتر، ويتم تحميل جميع الأحداث إلى حساب التخزين.

EventIntegration.png

لإضافة تكامل تخزين Azure لتحميل الأحداث في حسابك:

  1. من قائمة التنقل، اختر الموارد > دمج الأحداث.
  2. اختر تفعيل الدمج مع أحداث Cato.
  3. انقر على جديد. يفتح لوحة دمج جديد.
  4. في التكامل، حدد حساب تخزين Azure وأدخل الاسم للتكامل.

  5. أدخل تفاصيل الاتصال للدمج بناءً على الإعدادات في Azure:

    • سلسلة الاتصال - قم بلصق سلسلة الاتصال التي نسختها من حساب التخزين
    • الاسم - الاسم الدقيق للحاوية في حساب التخزين
    • (اختياري) المجلد - مسار المجلد داخل الحاوية، إذا لزم الأمر

  6. (اختياري) تعريف إعدادات الفلتر للأحداث التي تم تحميلها إلى حساب التخزين.

    عند تعريف فلاتر متعددة، توجد علاقة AND، ويتم تحميل الأحداث التي تطابق جميع الفلاتر.

  7. انقر على تطبيق. تم الآن دمج حساب تخزين Azure مع حسابك.

    ملاحظة: يمكنك تعريف ما يصل إلى ثلاثة تكاملات أحداث لحسابك.

هل كان هذا المقال مفيداً؟

2 من 4 وجدوا هذا مفيداً

لا توجد تعليقات