دمج أحداث كاتو مع Microsoft Sentinel

نظرة عامة

استخدم تكامل Microsoft Sentinel لتضمين بيانات الأحداث من وإلى Cato في عمليات المراقبة والتتبع والتحقيق الحالية الخاصة بك. يرسل التكامل الأصلي الأحداث مباشرة من Cato إلى Sentinel ويقوم بتخطيطها تلقائيًا إلى نموذج بيانات Sentinel، بحيث يمكن لوحات المعلومات وقواعد التحليل والتنبيهات والوظائف الأخرى الخاصة بـ Sentinel معالجة بيانات حدث Cato دون الحاجة إلى تحليل إضافي أو تطبيع.

يستخدم التكامل موصل مستأجر Microsoft القياسي لتحقق النقل عبر تكاملات Cato وMicrosoft. يوفر الموصل المشترك سير عمل إعداد متسقًا وتحكمًا مركزيًا في الوصول من أجل تكاملات مثل Entra ID وتطبيق API وبياناته.

حالة الاستخدام

تستخدم إحدى الشركات Microsoft Sentinel لمراقبة الأمان المركزي والرد. بصفتهم عملاء كاتو، لديهم بيانات مفيدة من ميزات الأمان الرئيسية مثل IPS. يمكنهم استخدام هذا الدمج لإرسال أنواع أحداث IPS ذات الشدة العالية مباشرة إلى Sentinel، حيث يمكن دمجها بسهولة في سير العمل الحالي لفريق الأمن السيبراني (SoC).

المتطلبات الأساسية

  • تكامل مستأجر MS في علامة التبويب التكاملات المعدة في CMA (الموارد > التكاملات)

    هذا هو الدمج الأب لتطبيقات Microsoft

  • مساحة عمل لتحليلات السجلات موجودة مسبقًا في Sentinel حيث سيتم تخزين أحداث Cato
  • لإضافة موصل، يجب أن يكون لديك إذن محرر لـ التكاملات (في قسم الموارد). لمزيد من المعلومات، انظر إلى إدارة أدوار المسؤول باستخدام RBAC.
  • راجع المتطلبات الأساسية لجميع تكاملات أحداث Cato في البدء باستخدام التكاملات الحدثية

إنشاء تكامل مع المستأجر MS

يعمل مستأجر MS كموصل أم لمعظم تطبيقات Microsoft. عند إضافة دمج مع تطبيق Microsoft، تكون الخطوة الأولى لتكوين الدمج هي إنشاء موصل الأب. تحتاج فقط لتكوين هذا الموصل مرة واحدة، ثم يمكن استخدامه لجميع تطبيقات Microsoft.

لإنشاء تكامل المستأجر MS:

  1. من قائمة التنقل، اختر الموارد > التكاملات واضغط على علامة التبويب المعدة التكاملات.
  2. اضغط على جديد. يفتح لوحة موصل جديد.

  3. في لوحة موصل جديد، حدد تطبيق مستأجر MS (تكوين مستأجر MS جديد).

    New_Microsoft_365_Connector.png
  4. أدخل اسم الموصل.

  5. انقر فوق تفويض وحفظ.

    تفتح علامة تبويب متصفح جديدة على تطبيق Microsoft 365.

  6. في علامة تبويب المتصفح الجديدة، قم بالمصادقة على تطبيق Microsoft 365:

    1. حدد حساب Microsoft لتطبيق Microsoft 365.

      وإلا، قد يكون هناك خطأ في مصادقة Microsoft.

    2. أدخل كلمة المرور للتطبيق ووافق عليه.
    3. قبول الأذونات للسماح لـ Cato بالوصول إلى تطبيق Microsoft 365.

    4. تظهر الشاشة أنك قد نجحت في تطبيق الأذونات للتطبيق.

      Success_Connector_Permissions.png

      يمكنك إغلاق علامة تبويب المتصفح والعودة إلى تطبيق إدارة كاتو.

  7. يتم إضافة تطبيق SaaS الخاص بـ Microsoft 365 إلى علامة تبويب التطبيقات المتكاملة.

إنشاء تكامل Sentinel

حدد دمج Sentinel في إدارة كاتو عن طريق تحديد مستأجر Microsoft الهدف ومكان العمل والجدول، وكذلك تحديد الأحداث التي ترغب في تضمينها في الدمج باستخدام المرشحات. بعد ذلك، احفظ دمج Sentinel، تحتاج إلى المصادقة إلى مستأجر Microsoft والسماح لـ Cato بدفع البيانات لحساب Sentinel الخاص بك.

بعد إنشاء التكامل في CMA، لديك 10 دقائق لإكمال العملية في Microsoft لأسباب أمنية. إذا لم تكتمل العملية خلال هذا الإطار الزمني، ستحتاج إلى حذف الدمج في إدارة كاتو والبدء من جديد.

بعد إنشاء الدمج، تتدفق البيانات إلى Microsoft في الجدول الذي حددته أعلاه. تقوم كاتو بإلحاق الحروف "_CL" باسم الجدول لمساعدتك في تمييزه عن الجداول المدمجة في Microsoft.

حذف الدمج في إدارة كاتو لا يؤدي إلى إزالة أي موارد تم إنشاؤها في Microsoft.

ملاحظة: إذا كان الوصول إلى الخدمة الخارجية محدودًا لعناوين IP معينة، يرجى الرجوع إلى هذه المقالة للحصول على قائمة عناوين IP الخاصة بـ Cato التي تحتاج إلى السماح بها (يجب أن تكون مسجلًا للدخول لعرض هذه المقالة).

لإنشاء دمج Sentinel:

  1. من قائمة التنقل، اضغط على الموارد > التكاملات.
  2. على علامة التبويب التكاملات المعدة، اضغط جديد. يفتح لوحة تكامل جديد.

  3. حدد Microsoft Sentinel وقم بتكوين الحقول التالية:

    sentinel_3.png
    1. أدخل اسمًا لهذا التكامل.
    2. حدد اسم تكامل المستأجر MS في حقل مستأجر الموصل
    3. أدخل اسم مساحة العمل لتحليلات السجل الموجودة لديك لاستقبال البيانات في تحليلات السجل لـ Microsoft.
    4. أدخل اسم جدول لتحليل السجلات جديد للاحتفاظ بالبيانات في مساحة العمل لتحليل السجلات بهذا الاسم. 
    5. حدد عدد الأيام التي تريد أن يحتفظ Microsoft فيها ببيانات Cato في حقل أيام الاحتفاظ بالجدول.
    6. أضف مرشحًا لإرسال بعض أحداث Cato فقط إلى Microsoft Sentinel. 
  4. اضغط على حفظ لنشر التكامل إلى Microsoft. لديك الآن عشر دقائق لإكمال الإعداد في Microsoft.

  5. يفتح لسان المتصفح ويوجهك لتفويض إنشاء التكامل في Microsoft.

    ملاحظة: يجب أن تقوم بتفويض التكامل مع نفس المستأجر الذي تم إنشاء الموصل الرئيسي معه في تكامل MS Tenant أعلاه وأن يكون لديك مستخدم لديه أذونات لإنشاء الموارد على ذلك المستأجر.

  6. في بوابة Microsoft، حدد مجموعة الموارد والمنطقة التي تحتوي على مساحة عمل تحليلات السجل الهدف واضغط على مراجعة + إنشاء

    sentinel_4.png
  7. انقر فوق إنشاء لبدء النشر.
  8. عند اكتمال النشر، يمكنك غلق نافذة Microsoft.

  9. في إدارة كاتو، بعد تحديث صفحة الإضافات، يمكنك عرض حالة الدمج في علامة التبويب التطبيقات المتكاملة.

    image-20251019-105133.png

الاختيار بين طرق التكامل الأصلية المدمجة والمخصصة مع GitHub

بالإضافة إلى الدمج المباشر الأصلي الموصوف في هذه المقالة، يمكنك أيضًا دمج أحداث كاتو مع Microsoft Sentinel باستخدام الأدوات في حساب Cato على GitHub. كل نهج يقدم مزايا مميزة حسب أهدافك وبيئتك.

متى يجب استخدام التكامل الأصلي

يقدم الدمج الأصلي لكاتو حلاً قابلاً للتوسع والدعم بأقل تكوين. فوائد الدمج الأصلي تتضمن:

  • القدرة على معالجة كميات كبيرة من الأحداث بكفاءة دون قيود قائمة على API
  • مدعومة بالكامل بواسطة Cato
  • يقوم بربط مخطط البيانات بين Cato وMicrosoft Sentinel تلقائيًا

متى يجب استخدام تكامل GitHub

يوفر دمج gitHub المرونة لحالات الاستخدام المتقدمة حيث تكون هناك حاجة إلى مصادر البيانات أو منطق المعالجة المخصصة. قد ترغب في استخدام هذا الدمج في الحالات التالية:

  • تكامل Cato لا يدعم نوع البيانات الذي تريد إدخاله
  • تريد تخصيص مخطط البيانات أو تغذية الأحداث

القيود المعروفة

  • قيود الأحداث الكبيرة: يمكن لبعض أحداث XOps أن تتضمن معلومات قصة واسعة في حقل البيانات الخام، وهو ما قد يؤدي إلى تجاوز الحد الأقصى لحجم الإدخال في Microsoft Sentinel (تقريبًا 1 ميجابايت). عندما يحدث ذلك، تواصل Cato إرسال الحدث إلى Sentinel، ولكنها تحذف حقل البيانات الخام للحفاظ على التوافق مع متطلبات الإدخال في Sentinel.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات