دمج أحداث Cato مع حساب تخزين Azure

تشرح هذه المقالة كيفية دمج حساب تخزين Azure مع حساب Cato الخاص بك لتحميل الأحداث مباشرة إلى حساب التخزين.

نظرة عامة على تكامل الأحداث

بالنسبة للعملاء الذين يراجعون ويحللون بيانات الحدث في حساب التخزين على Azure، يمكنك تكوين حساب Cato الخاص بك لتحميل الأحداث عليه تلقائيًا وباستمرار. هذا يختلف عن حدث API التي تتطلب من العملاء سحب البيانات من Cato وتتأثر بقضايا مثل تحديد المعدل.

يقوم Cato Cloud بتحميل البيانات إلى حساب التخزين على النحو التالي: كل 60 ثانية، أو عندما يكون هناك أكثر من 10 ميغابايت من البيانات. تستخدم Cato بروتوكول HTTPS لرفع البيانات إلى حساب تخزين Azure.

تُرسل الأحداث بتنسيق مضغوط .gz، بعض العملاء (مثل بعض المتصفحات) قد يقوم بفك ضغط هذه الملفات دون إزالة ملحق .gz. إذا حدث ذلك، فإن تغيير ملحق الملف إلى .log أو .txt سيطابق تنسيق الملف بشكل صحيح مع الملحق.

حالة استخدام تكامل الأحداث

تستخدم الشركة النموذجية ميزة مراقبة النشاط المشتبه فيه باستخدام IPS التي تولد العديد من الأحداث الأمنية. تقرر إنشاء حساب تخزين Azure لتخزين جميع بيانات الحدث، والذي يمكنهم دمجه بعد ذلك مع حل SIEM الخاص بهم. تُفعل الشركة النموذجية تكامل الأحداث وتضيف حساب تخزين Azure كتكامل لحسابها في Cato بحيث يتم تحميل جميع أحداث IPS تلقائيًا إلى تخزين Azure.

المتطلبات الأساسية

نظرة عامة على مستوى عالٍ لتكامل أحداث Azure

  1. قم بإنشاء حساب تخزين وحاوية جديدة في Azure.

  2. توفر Azure سلسلة اتصال كما يلي:

    1. مفاتيح الوصول - يتم إنشاء سلسلة الاتصال تلقائيًا.

    2. SAS - قم بتكوين الأذونات والإعدادات الموصى بها، ثم يتم إنشاء سلسلة الاتصال.

  3. قم بإنشاء الدمج Azure في تطبيق إدارة Cato باستخدام سلسلة الاتصال من الخطوة السابقة.

تهيئة حساب تخزين Azure

قم بإنشاء حساب تخزين وحاوية جديدة لبيانات أحداث Cato، نوصي بعدم استخدام حساب تخزين موجود لدمج الأحداث. يمكنك استخدام سلسلة اتصال Azure من مفتاح الوصول أو من توقيع الوصول المشترك (SAS).

استخدام مفاتيح الوصول لسلسلة الاتصال

بالنسبة للعملاء الذين يستخدمون مفاتيح الوصول Azure لمصادقة حساب التخزين إلى Cato، قم بنسخ سلسلة الاتصال. ستقوم بلصق سلسلة مفاتيح الوصول في تطبيق إدارة Cato عند تكوين دمج Azure.

لإنشاء حساب تخزين يستخدم مفاتيح الوصول:

  1. قم بإنشاء حساب تخزين جديد بالإعدادات المناسبة.

    1. في تفاصيل المثال، اختر أداء قياسي.

      basic_storage_account.png

    2. انقر على مراجعة ثم انقر على إنشاء.

  2. قم بإنشاء حاوية جديدة لبيانات الحدث (تخزين البيانات > حاويات).

    ستدخل اسم الحاوية في تطبيق إدارة Cato عند إنشاء الدمج للأحداث (أدناه).

  3. في جزء التنقل على اليسار، انتقل إلى قسم الأمان + الشبكات وحدد مفاتيح الوصول.

  4. قم بنسخ سلسلة مفاتيح الوصول لحساب التخزين.

    access_key_string.png

  5. تابع مع إضافة تخزين حساب Azure للأحداث (في الأسفل).

استخدام SAS لسلسلة الاتصال

تتيح لك Azure SAS تقييد الأذونات لحاوية التخزين، مثل عناوين IP المسموح بها، وتاريخ انتهاء صلاحية لسلسلة الاتصال.

يتضمن الرمز لسلسلة اتصال SAS تاريخ انتهاء صلاحية، يُظهر في صفحة دمج الأحداث. بعد تاريخ انتهاء الصلاحية، لم يعد الرمز صالحًا، ولا يمكن لـ Cato دفع الأحداث إلى حاوية التخزين. للحفاظ على تحميل الأحداث بدون انقطاع، تأكد من إنشاء سلسلة اتصال جديدة وتطبيقها على الدمج قبل تاريخ انتهاء صلاحية SAS.

لتكوين حساب تخزين في Azure لاستقبال بيانات أحداث Cato:

  1. قم بإنشاء حساب تخزين جديد بالإعدادات المناسبة.

    1. في تفاصيل المثال، اختر أداء قياسي.

      basic_storage_account.png

    2. انقر على مراجعة ثم انقر على إنشاء.

  2. قم بإنشاء حاوية جديدة لبيانات الحدث (تخزين البيانات > حاويات).

    ستدخل اسم الحاوية في تطبيق إدارة Cato عند إنشاء الدمج للأحداث (أدناه).

  3. في جزء التنقل على اليسار، انتقل إلى قسم الأمان + الشبكات وحدد توقيع الوصول المشترك.

  4. قم بتكوين SAS بالأذونات التالية:

    • الخدمات المسموح بها - Blob، File

    • أنواع الموارد المسموح بها - Container، Object

    • الأذونات المسموح بها - Read، Write، List

    SAS_settings.png

  5. انقر على توليد سلسلة اتصال SAS.

  6. قم بنسخ سلسلة الاتصال لحساب التخزين. ستقوم بلصق هذه السلسلة عند إنشاء الدمج للأحداث (أدناه).

    sas_string.png

إضافة تخزين حساب Azure للأحداث

قم بإنشاء دمج جديد لحساب تخزين Azure في علامة دمج الأحداث، وقم بلصق سلسلة الاتصال للدمج. تمنح هذه السلسلة Cato إذنًا لتحميل بيانات الحدث إلى حساب التخزين. لا يمكنك تحرير السلسلة بعد إنشاء الدمج، بدلاً من ذلك يمكنك إعادة تعيين الحقل، ثم لصق سلسلة الاتصال.

بعد تعريف وتمكين دمج تخزين Azure، يستغرق الأمر بضع دقائق لبدء Cato بتحميل الأحداث إلى حساب التخزين.

يمكنك اختيار تصفية الأحداث التي تم تحميلها إلى حساب التخزين. على سبيل المثال، فقط قم بتحميل أحداث IPS لحسابك. الإعداد الافتراضي هو عدم وجود فلتر ويتم تحميل جميع الأحداث إلى حساب التخزين.

EventIntegration.png

لإضافة دمج تخزين Azure لتحميل الأحداث لحسابك:

  1. من قائمة التنقل، اختر الموارد > دمج الأحداث.

  2. اختر تفعيل الدمج مع أحداث Cato.

  3. انقر على جديد. يفتح لوحة دمج جديد.

  4. في الدمج، اختر تخزين حساب Azure وأدخل الاسم للدمج.

  5. أدخل تفاصيل الاتصال للدمج بناءً على الإعدادات في Azure:

    • سلسلة الاتصال - قم بلصق سلسلة الاتصال التي نسختها من حساب التخزين

    • اسم - الاسم المطابق لحاوية الحساب التخزين

    • (اختياري) المجلد - الاسم المطابق لمسار المجلد داخل الحاوية (إذا لزم الأمر)

  6. (اختياري) تعريف إعدادات الفلتر للأحداث التي تم تحميلها إلى حساب التخزين.

    عند تعريف فلاتر متعددة، توجد علاقة AND، ويتم تحميل الأحداث التي تطابق جميع الفلاتر.

  7. انقر على تطبيق. تم الآن دمج حساب تخزين Azure مع حسابك.

    ملاحظة: يمكنك تعريف ما يصل إلى إجمالي ثلاث عمليات دمج الأحداث لحسابك.

هل كان هذا المقال مفيداً؟

2 من 4 وجدوا هذا مفيداً

لا توجد تعليقات