دمج أحداث كاتو مع التخزين في أزور

نظرة عامة على تكامل الأحداث

يمكن للمؤسسات التي تخزن وتدير بيانات الأحداث في حساب التخزين في أزور إعداد حساب كاتو ليقوم بتحميل الأحداث إليه تلقائيًا وباستمرار. 

يقوم هذا التكامل بدفع الأحداث مباشرة من السحابة كاتو إلى حساب التخزين، على عكس واجهة برمجة التطبيقات eventsFeed التي تتطلب سحب البيانات من كاتو وقد تتأثر بتقييد السرعة.

تحميل سحابة كاتو البيانات إلى حساب التخزين كل ٦٠ ثانية أو عندما يتراكم أكثر من ١٠ ميغابايت من البيانات. يتم نقل البيانات بأمان عبر HTTPS.

يتم تحميل الأحداث بصيغة مضغوطة .GZ. قد يقوم بعض العملاء (على سبيل المثال، بعض المتصفحات) بفك ضغط هذه الملفات تلقائيًا دون إزالة امتداد .GZ. إذا حدث ذلك، فإن تغيير امتداد الملف إلى LOG أو TXT قد يضبط بشكل صحيح تنسيق الملف مع امتداده.

استخدام حالة دمج الأحداث

تستخدم الشركة النموذجية ميزة مراقبة النشاط المشتبه فيه باستخدام IPS التي تولد العديد من الأحداث الأمنية. يقررون إنشاء حساب تخزين أزور لتخزين جميع بيانات الحدث، والتي يمكنهم بعد ذلك دمجها مع حل SIEM الخاص بهم. الشركة النموذجية تقوم بتفعيل دمج الأحداث وتضيف حساب تخزين أزور كدمج إلى حساب كاتو الخاص بهم حتى يتم تحميل جميع أحداث IPS تلقائيًا إلى تخزين أزور.

المتطلبات المسبقة

تهيئة حساب تخزين Azure

قم بإنشاء حساب تخزين وحاوية جديدة لبيانات أحداث Cato، نوصي بعدم استخدام حساب تخزين موجود لدمج الأحداث. يمكنك استخدام سلسلة اتصال Azure من مفتاح الوصول أو من توقيع الوصول المشترك (SAS).

استخدام مفاتيح الوصول لسلسلة الاتصال

بالنسبة للعملاء الذين يستخدمون مفاتيح الوصول Azure لمصادقة حساب التخزين إلى Cato، قم بنسخ سلسلة الاتصال. ستقوم بلصق سلسلة مفاتيح الوصول في تطبيق إدارة Cato عند تكوين دمج Azure.

لإنشاء حساب تخزين يستخدم مفاتيح الوصول:

  1. قم بإنشاء حساب تخزين جديد بالإعدادات المناسبة.

    1. في تفاصيل المثال، اختر أداء قياسي.

      basic_storage_account.png
    2. انقر على مراجعة ثم انقر على إنشاء.

  2. قم بإنشاء حاوية جديدة لبيانات الحدث (تخزين البيانات > حاويات).

    ستدخل اسم الحاوية في تطبيق إدارة Cato عند إنشاء الدمج للأحداث (أدناه).

  3. في جزء التنقل على اليسار، انتقل إلى قسم الأمان + الشبكات وحدد مفاتيح الوصول.

  4. قم بنسخ سلسلة مفاتيح الوصول لحساب التخزين.

    access_key_string.png
  5. تابع مع إضافة تخزين حساب Azure للأحداث (في الأسفل).

استخدام SAS لسلسلة الاتصال

تتيح لك Azure SAS تقييد الأذونات لحاوية التخزين، مثل عناوين IP المسموح بها، وتاريخ انتهاء صلاحية لسلسلة الاتصال.

يتضمن الرمز لسلسلة اتصال SAS تاريخ انتهاء صلاحية، يُظهر في صفحة دمج الأحداث. بعد تاريخ انتهاء الصلاحية، لم يعد الرمز صالحًا، ولا يمكن لـ Cato دفع الأحداث إلى حاوية التخزين. للحفاظ على تحميل الأحداث بدون انقطاع، تأكد من إنشاء سلسلة اتصال جديدة وتطبيقها على الدمج قبل تاريخ انتهاء صلاحية SAS.

لتكوين حساب تخزين في Azure لاستقبال بيانات أحداث Cato:

  1. قم بإنشاء حساب تخزين جديد بالإعدادات المناسبة.

    1. في تفاصيل المثال، اختر أداء قياسي.

      basic_storage_account.png
    2. انقر على مراجعة ثم انقر على إنشاء.

  2. قم بإنشاء حاوية جديدة لبيانات الحدث (تخزين البيانات > حاويات).

    ستدخل اسم الحاوية في تطبيق إدارة Cato عند إنشاء الدمج للأحداث (أدناه).

  3. في جزء التنقل على اليسار، انتقل إلى قسم الأمان + الشبكات وحدد توقيع الوصول المشترك.

  4. قم بتكوين SAS بالأذونات التالية:

    • الخدمات المسموح بها - Blob، File
    • أنواع الموارد المسموح بها - Container، Object
    • الأذونات المسموح بها - Read، Write، List
    SAS_settings.png
  5. انقر على توليد سلسلة اتصال SAS.

  6. قم بنسخ سلسلة الاتصال لحساب التخزين. ستقوم بلصق هذه السلسلة عند إنشاء الدمج للأحداث (أدناه).

    sas_string.png

إضافة دمج حدث للتخزين في أزور

قم بإنشاء دمج جديد لحساب التخزين في أزور في علامة تبويب دمج الأحداث، ولصق سلسلة الاتصال في الدمج. تُعطي هذه السلسلة إذنًا لكتو لتحميل بيانات الحدث إلى حساب التخزين. لا يمكنك تعديل السلسلة بعد إنشاء الدمج؛ بدلًا من ذلك يمكنك إعادة تعيين الحقل، ثم لصق سلسلة الاتصال.

بعد تعريف وتمكين دمج التخزين في أزور، يستغرق الأمر بضع دقائق لكتو لبدء تحميل الأحداث إلى حساب التخزين.

يمكنك تصفية الأحداث التي يتم تحميلها إلى حساب التخزين حسب نوع الحدث أو النوع الفرعي. على سبيل المثال، يمكنك تحميل فقط أحداث IPS لحسابك. بشكل افتراضي، لم يتم تطبيق أي فلتر، ويتم تحميل جميع الأحداث إلى حساب التخزين.

EventIntegration.png

لإضافة تكامل تخزين Azure لتحميل الأحداث في حسابك:

  1. من قائمة التنقل، اختر الموارد > دمج الأحداث.
  2. اختر تفعيل الدمج مع أحداث Cato.
  3. انقر على جديد. يفتح لوحة دمج جديد.
  4. في التكامل، حدد حساب تخزين Azure وأدخل الاسم للتكامل.

  5. أدخل تفاصيل الاتصال للدمج بناءً على الإعدادات في Azure:

    • سلسلة الاتصال - قم بلصق سلسلة الاتصال التي نسختها من حساب التخزين
    • اسم - الاسم المطابق لحاوية الحساب التخزين
    • (اختياري) المجلد - الاسم المطابق لمسار المجلد داخل الحاوية (إذا لزم الأمر)

  6. (اختياري) تعريف إعدادات الفلتر للأحداث التي تم تحميلها إلى حساب التخزين.

    عند تعريف فلاتر متعددة، توجد علاقة AND، ويتم تحميل الأحداث التي تطابق جميع الفلاتر.

  7. انقر على تطبيق. تم الآن دمج حساب تخزين Azure مع حسابك.

    ملاحظة: يمكنك تعريف ما يصل إلى إجمالي ثلاث عمليات دمج الأحداث لحسابك.

هل كان هذا المقال مفيداً؟

2 من 4 وجدوا هذا مفيداً

لا توجد تعليقات