دمج أحداث كاتو مع Microsoft Sentinel

نظرة عامة

استخدم تكامل Microsoft Sentinel لدمج بيانات أحداث Cato في مهام المراقبة والترابط والتحقيق الحالية لديك. 

يقدم Cato نوعين من التكامل مع Microsoft Sentinel. يوفر كل نهج مزايا مميزة اعتمادًا على أهدافك وبيئتك.

  • التكامل الفوري الأصلي يرسل الأحداث مباشرة من Cato إلى Sentinel ويرسمها تلقائيًا إلى نموذج البيانات في Sentinel، بحيث يمكن لوحات المعلومات وقواعد التحليل والتنبيهات وميزات Sentinel الأخرى معالجة بيانات أحداث Cato دون الحاجة إلى معالجة أو تنظيم إضافي.يستخدم التكامل موصل Cato MS Tenant القياسي للمصادقة والنقل عبر تكاملات Cato مع Microsoft. يوفر الموصل المشترك سير عمل إعداد متسقًا وتحكمًا مركزيًا في الوصول من أجل تكاملات مثل Entra ID وتطبيق API وبياناته.
  • التكامل المخصص لـ GitHub متاح من مستودع Cato على GitHub. للمزيد من التفاصيل، انظر اختيار بين طرق التكامل الفورية والمخصصة في GitHub أدناه.

حالة الاستخدام

تستخدم شركة العينة Microsoft Sentinel لمراقبة الأمان المركزية والاستجابة. كعميل لـ Cato، لديهم بيانات مفيدة من ميزات الأمان الرئيسية مثل التوقيع على الهجمات (IPS). يمكنهم استخدام هذا الدمج لإرسال أنواع أحداث IPS ذات الشدة العالية مباشرة إلى Sentinel، حيث يمكن دمجها بسهولة في سير العمل الحالي لفريق الأمن السيبراني (SoC).

المتطلبات الأساسية

  • تكامل المستأجر/العميل لـ MS في CMA تحت الموارد > التكاملات > التكاملات المكونة.

    هذا تكامل قائم للبرامج التابعة لـ Microsoft.

  • مساحة عمل Log Analytics موجودة في Sentinel حيث ستخزن فيها أحداث Cato.
  • لإضافة موصل، يجب أن يكون لديك إذن محرر لـ التكاملات (في قسم الموارد). لمزيد من المعلومات، انظر إلى إدارة أدوار المسؤول باستخدام RBAC.
  • راجع المتطلبات الأساسية لجميع تكاملات أحداث Cato في البدء في تكامل الأحداث.

إنشاء تكامل Microsoft Tenant

يعمل مستأجر MS كموصل أم لمعظم تطبيقات Microsoft. عند إضافة تكامل مع Microsoft، قم أولاً بإنشاء الموصل الرئيسي. يحتاج فقط إلى تكوين هذا الموصل مرة واحدة، ويمكنك بعد ذلك استخدامه لجميع تطبيقات Microsoft.

لإنشاء تكامل المستأجر MS:

  1. من قائمة التنقل، حدد الموارد > التكاملات، ثم انقر فوق علامة تبويب التكاملات المكونة.
  2. اضغط على جديد. يفتح لوحة موصل جديد.

  3. في لوحة موصل جديد، حدد تطبيق مستأجر MS (تكوين مستأجر MS جديد).

    New_Microsoft_365_Connector.png
  4. أدخل اسم الموصل.

  5. انقر فوق تفويض وحفظ.

    تفتح علامة تبويب متصفح جديدة على تطبيق Microsoft 365.

  6. في علامة تبويب المتصفح الجديدة، قم بالمصادقة على تطبيق Microsoft 365:

    1. حدد حساب Microsoft لتطبيق Microsoft 365.

      وإلا، قد يكون هناك خطأ في مصادقة Microsoft.

    2. أدخل كلمة المرور لحساب Microsoft ووافِق عليها.

    3. قبول الأذونات للسماح لـ Cato بالوصول إلى تطبيق Microsoft 365.

      تظهر صفحة النجاح أن الأذونات تم تطبيقها.

    4. يمكنك إغلاق علامة تبويب المتصفح والعودة إلى تطبيق إدارة كاتو.
  7. تمت إضافة تطبيق Microsoft 365 إلى علامة التبويب التطبيقات المتكاملة.

إنشاء تكامل Sentinel

حدد تكامل Sentinel في CMA عن طريق تحديد مستأجر Microsoft المستهدف ومساحة العمل والجدول. يمكنك أيضًا استخدام المرشحات لتحديد الأحداث التي سيتم تضمينها في التكامل. بعد حفظ تكامل Sentinel، تحتاج إلى المصادقة على مستأجر Microsoft والسماح لـ Cato بإرسال البيانات إلى حساب Sentinel الخاص بك.

بعد إنشاء التكامل في CMA، لديك 10 دقائق لإكمال العملية في Microsoft لأسباب أمنية. إذا لم تكتمل العملية خلال هذا الإطار الزمني، ستحتاج إلى حذف الدمج في إدارة كاتو والبدء من جديد.

بعد إنشاء الدمج، تتدفق البيانات إلى Microsoft في الجدول الذي حددته أعلاه. تقوم كاتو بإلحاق الحروف "_CL" باسم الجدول لمساعدتك في تمييزه عن الجداول المدمجة في Microsoft.

حذف الدمج في إدارة كاتو لا يؤدي إلى إزالة أي موارد تم إنشاؤها في Microsoft.

ملاحظة: إذا كان الوصول إلى الخدمة الخارجية محدودًا لعناوين IP معينة، يرجى الرجوع إلى هذه المقالة للحصول على قائمة عناوين IP الخاصة بـ Cato التي تحتاج إلى السماح بها. يجب أن تكون مسجلًا الدخول لعرض المقالة.

مرشحات

استخدم المرشحات للتحكم في أي أحداث Cato يتم تصديرها إلى Microsoft Sentinel. يساعد ذلك في تقليل تكاليف التلقي، وتقليل الضجيج، والتركيز على التحقيقات في الأحداث الأكثر أهمية للمواقع والمستخدمين أو المناطق المحددة. يمكنك أيضًا استخدام المرشحات لتوجيه مجموعات مختلفة من الأحداث إلى بيئات SIEM مختلفة.

استخدم مجموعات الفلاتر لتحديد الفلاتر بناءً على أي حقل حدث أو مجموعة من الحقول. تستخدم الشروط داخل كل مجموعة منطق AND. يتم تطبيق منطق OR بين المجموعات. المرشحات في الصورة تقوم بتكوين التكامل لتصدير:

  • الأحداث التي تنشأ من باريس أو مدريد، هي من النوع الفرعي لجدار الحماية على الإنترنت، ونتج عنها إجراءات أخرى غير المراقبة أو الإشعار.
  • اسم المستخدم يحتوي على اختبار

لإنشاء دمج Sentinel:

  1. من قائمة التنقل، حدد الموارد > التكاملات.
  2. على علامة التبويب التكاملات المعدة، اضغط جديد. يفتح لوحة تكامل جديد.

  3. حدد Microsoft Sentinel وقم بتكوين الحقول التالية:

    1. أدخل اسمًا لهذا التكامل.
    2. حدد اسم تكامل المستأجر MS في حقل مستأجر الموصل
    3. أدخل اسم مساحة العمل لتحليلات السجل الموجودة لديك لاستقبال البيانات في تحليلات السجل لـ Microsoft.
    4. أدخل اسم جدول لتحليل السجلات جديد للاحتفاظ بالبيانات في مساحة العمل لتحليل السجلات بهذا الاسم. 
    5. حدد عدد الأيام التي تريد أن يحتفظ Microsoft فيها ببيانات Cato في حقل أيام الاحتفاظ بالجدول.
    6. اختياري: أضف المرشحات للتحكم في أي أحداث Cato يتم إرسالها إلى Microsoft Sentinel.
  4. اضغط على حفظ لنشر التكامل إلى Microsoft. 
    ملاحظة: لديك الآن 10 دقائق لإكمال الإعداد في Microsoft.
  5. يفتح لسان المتصفح ويوجهك لتفويض إنشاء التكامل في Microsoft.ملاحظة: يجب عليك تفويض التكامل باستخدام نفس المستأجر الذي تم استخدامه لإنشاء تكامل MS Tenant. يجب أن يكون للمستخدم أذونات لإنشاء الموارد على ذلك المستأجر.
  6. في بوابة Microsoft، حدد مجموعة الموارد والمنطقة التي تحتوي على مساحة عمل Log Analytics المستهدفة، وانقر فوق المراجعة + الإنشاء.
  7. انقر فوق إنشاء لبدء النشر.
  8. عند اكتمال النشر، يمكنك غلق نافذة Microsoft.
  9. في CMA، قم بتحديث صفحة التكاملات. تظهر حالة التكامل في علامة التبويب التطبيقات المتكاملة.
image-20251019-105133.png

الاختيار بين طرق التكامل الأصلية المدمجة والمخصصة مع GitHub

بالإضافة إلى الدمج المباشر الأصلي الموصوف في هذه المقالة، يمكنك أيضًا دمج أحداث كاتو مع Microsoft Sentinel باستخدام الأدوات في حساب Cato على GitHub. كل نهج يقدم مزايا مميزة حسب أهدافك وبيئتك.

متى يجب استخدام التكامل الأصلي

يقدم الدمج الأصلي لكاتو حلاً قابلاً للتوسع والدعم بأقل تكوين. فوائد الدمج الأصلي تتضمن:

  • يتعامل بكفاءة مع أحجام كبيرة من الأحداث دون قيود على أساس API
  • يتم صيانته ودعمه بالكامل بواسطة Cato
  • يقوم بربط مخطط البيانات بين Cato وMicrosoft Sentinel تلقائيًا
  • يدعم المرشحات لضبط البيانات المرسلة إلى Microsoft Sentinel بشكل دقيق

متى يجب استخدام تكامل GitHub

يوفر دمج gitHub المرونة لحالات الاستخدام المتقدمة حيث تكون هناك حاجة إلى مصادر البيانات أو منطق المعالجة المخصصة. قد ترغب في استخدام هذا الدمج في الحالات التالية:

  • تكامل Cato لا يدعم نوع البيانات الذي تريد إدخاله
  • تريد تخصيص مخطط البيانات أو تغذية الأحداث

القيود المعروفة

  • قيود الأحداث الكبيرة: يمكن لبعض أحداث XOps أن تتضمن معلومات قصة واسعة في حقل البيانات الخام، وهو ما قد يؤدي إلى تجاوز الحد الأقصى لحجم الإدخال في Microsoft Sentinel (تقريبًا 1 ميجابايت). عندما يحدث ذلك، تواصل Cato إرسال الحدث إلى Sentinel، ولكنها تحذف حقل البيانات الخام للحفاظ على التوافق مع متطلبات الإدخال في Sentinel.

هل كان هذا المقال مفيداً؟

0 من 1 وجدوا هذا مفيداً

لا توجد تعليقات