دمج بيانات كاتو مع سبْلنك

نظرة عامة

تمكين التكامل مع سبْلنك يُتيح لكتو إرسال البيانات مباشرةً إلى سبْلنك باستخدام موصل أصلي ويدعم مصدرين للبيانات:

  • الأحداث - يتم إنشاؤها عندما تحدث نشاطات محددة في الشبكة أو النظام، مثل مطابقة قاعدة سياسة أو اكتشاف تهديد. تقدم هذه السجلات رؤى متميزة في الوقت الفعلي حول أمن وتطبيق السياسات. يتم إرسال البيانات باستخدام مخطط الحدث من كاتو.

  • التدفقات - تنبع من تدفقات الشبكة (خماسي) ويتم إثرائها بمعلومات مستوى التطبيق عند توفرها عبر محركات كاتو المختلفة. بالإضافة إلى سياق التطبيق والمستخدم، تشمل التدفقات بيانات الجلسات المجمعة مثل البايتات والحزم والفترة الزمنية، مما يوفر رؤية كاملة لنشاط الشبكة مع مرور الوقت. يمثل مجموعة الحقول الفائقة للتدفق مخطط appStats.

    تتوفر بعض الحقول فقط للتدفقات المتدفقة عبر التكامل الناشط ولا تعد جزءًا من appStats أو تحليلات التطبيقات. على سبيل المثال، معرف التدفق والمقاييس المجمعة مثل الحزم الصادرة والمستقبلة والبايتات، وفترة التدفق. تُعلّم هذه الحقول بالتعليق التالي:

    متاح فقط لتكامل بيانات التدفقات الأصلية التي تم إنشاؤها في CMA.

ملاحظة: قد يتم اقتطاع حقل البيانات الخام الذي يحتوي على معلومات الحادث لأحداث XOps (اكتشاف نوع الحدث والاستجابة) عندما يتم إرسالها إلى Splunk إذا تجاوز حقل raw_data الخاص بهم (الذي يتضمن معلومات القصة) 5 ميجابايت (هذا هو الافتراضي لـ Splunk، ولكن يمكن زيادته).

حالات الاستخدام

الأحداث

تستخدم شركة Splunk للمراقبة الأمنية المركزية والاستجابة. باعتبارهم عملاء كاتو، لديهم بيانات مفيدة من الميزات الرئيسية مثل نشاط الشبكة، التهديدات، بيانات المستخدم، الأجهزة، وجميع الجوانب الأخرى للحركة التي تمر عبر منصة كاتو. يمكنهم استخدام هذا التكامل لإرسال هذه البيانات مباشرة إلى Splunk، حيث يمكنهم دمجها بسهولة في تدفقات العمل الحالية لفريق SOC و NOC.

التدفقات

يحدد محلل الأمان في Splunk حدثًا مشبوهًا حيث قام المستخدم بالوصول إلى تطبيق عالي الخطورة قد يرتبط بسحب البيانات. باستخدام أحداث كاتو فقط، يمكن للمحلل رؤية القرار السياسي، هوية المستخدم، والتطبيق. ومع ذلك، لا يظهر الحدث كمية البيانات التي تم نقلها أو مدة الجلسة.

مع بيانات تدفق المرور المجمعة المرتبطة بالحدث باستخدام حقل معرف التدفق، يمكن للمحلل رؤية سياق الجلسة كاملة، بما في ذلك إجمالي البايتات المنقولة وعدد الحزم ومدة الجلسة. هذا يسمح للمحلل بتحديد ما إذا كانت النشاط ينطوي على تفاعل بسيط أو نقل بيانات كبير قد يشير إلى سحب البيانات.

بتوحيد الأحداث وبيانات التدفق، يمكن للمحلل بسرعة التحقق من شدة الحادث واتخاذ الإجراءات المناسبة.

المتطلبات المسبقة

إنشاء تكامل Splunk

بعد إنشاء رمز HEC في Splunk، يمكنك تعريف تكامل في CMA. يمكن استخدام الفلاتر لتحديد بيانات الحدث التي تريد تضمينها في التكامل. بعد إنشاء التكامل، تتدفق البيانات إلى Splunk في المؤشر الذي حددته.

في عملية التهيئة، يمكن تكوين ما إذا كان سيتم دمج الأحداث, التدفقات أو كليهما. بشكل افتراضي، يتم تكوين الأحداث فقط. يمكن أن يولد مصدر بيانات التدفقات ل كمية بيانات أعلى بشكل كبير مقارنة بالأحداث. يعتمد الحجم الدقيق على حركتك. يدعم CMA تهيئة تكاملات متعددة، مما يتيح لك إرسال مصادر بيانات مختلفة حسب الحاجة.

عنوان URL لـ Splunk والمنفذ هما نقطة النهاية الخاصة بـ HEC للدخول إلى حسابك. بشكل عام، هذا هو عنوان URL الذي تستخدمه للوصول إلى Splunk مع إضافة الأحرف "http-inputs-" إلى البداية. على سبيل المثال، إذا كان حسابك هو http://mydomain.splunk.com، فستستخدم https://http-inputs-mydomain.splunkcloud.com/. للحصول على مزيد من التفاصيل، انظر وثائق Splunk. المنفذ اختياري، ونستخدم 443 إذا لم تحدد أي شيء آخر (وهو الإعداد الافتراضي لـ Splunk Cloud).

حذف التكامل في CMA لا يزيل أي موارد تم إنشاؤها في Splunk.

ملحوظة:

  • للتكاملات مع Splunk Enterprise (الإدارة الذاتية):

    • يجب أن يكون نقطة النهاية HEC لخدمة Splunk قابلة للوصول عبر الإنترنت (أي معروضة عبر عنوان IP عام أو اسم DNS عام). عناوين IP الخاصة أو نقاط النهاية الداخلية فقط غير مدعومة.
    • يجب تمكين فحص TLS، ويجب أن يقدم نقطة النهاية شهادة X.509 صالحة صادرة عن هيئة إصدار شهادات عامة موثوقة. الشهادات ذاتية التوقيع أو الشهادات الصادرة من قبل هيئة إصدار خصوصية غير مدعومة، حيث يتم التحقق من الاتصالات فقط باستخدام سلاسل الثقة القياسية CA.

لإنشاء تكامل Splunk:

  1. في حساب Splunk الخاص بك، أنشئ رمزاً جديداً لاستخدامه في هذا التكامل. للتفاصيل، انظر وثائق Splunk. يمكنك تحديد فهرس مخصص أو استخدام الفهرس الافتراضي للرمز.
  2. انسخ قيمة الرمز الذي يتم عرضه. ستحتاج إلى هذا لتكوين التكامل مع كاتو.
  3. من قائمة التنقل، انقر فوق الموارد > التكاملات.
  4. في علامة التبويب تطبيقات متكاملة، انقر على جديد. يفتح اللوحة التكامل الجديد.

  5. اختر Splunk وقم بتكوين الحقول التالية:

    splunk_integration.png
    1. في القائمة المنسدلة للتوثيق، اختر مفتاح API.
    2. اسم الوصل والوصف (اختياري) لهذا التكامل.
    3. عنوان URL لاستيعاب البيانات ومفتاح API الذي أنشأته في Splunk.
    4. حدد المؤشر الذي سيستقبل البيانات من كاتو. إذا تركت هذا الحقل فارغًا، سنستخدم المؤشر الافتراضي المحدد على رمز HEC.
    5. سواء دمج الأحداث, التدفقات أو كليهما.

    6. فلتر لتحديد أي الأحداث من كاتو يتم إرسالها إلى Splunk.  

      ملحوظة: يتم تطبيق الفلاتر فقط على بيانات الأحداث.

    7. حدد ما إذا كنت تريد إنشاء حدث إذا حدثت أخطاء مع التكامل.
  6. انقر فوق حفظ.
  7. في CMA، بعد تحديث صفحة التكاملات، يمكنك عرض حالة التكامل في علامة تبويب تطبيقات التكامل.

الاختيار بين أساليب التكامل الأصلية والتكامل المخصص لـ GitHub

بالإضافة إلى التكامل المحلي الموصوف في هذه المقالة، يمكنك أيضًا دمج أحداث كاتو مع Splunk باستخدام الأدوات في حساب GitHub الخاص بـ Cato. تقدم كل طريقة مزايا متميزة حسب أهدافك وبيئتك. يمكنك أيضًا استخدام كلا التكاملين إذا لزم الأمر.

متى يتم استخدام التكامل المحلي

يعرض التكامل المحلي لـ Cato حلاً قابلاً للتوسع والدعم مع إعدادات تكوين محدودة. تشمل فوائد التكامل المحلي:

  • القدرة على معالجة كميات كبيرة من الأحداث بكفاءة دون قيود مستندة إلى API
  • مدعوم بالكامل ومدعوم من كاتو

متى يجب استخدام تكامل GitHub

يوفر تكامل GitHub مرونة لحالات الاستخدام المتقدمة حيث تكون هناك حاجة إلى مصادر بيانات مخصصة أو منطق معالجة. قد ترغب في استخدام هذا التكامل في الحالات التالية:

  • تريد إرسال البيانات من سجل التدقيق لكاتو إلى Splunk
  • تريد استخدام GitHub الخاص بنا كمورد مفتوح المصدر لتخصيص التكامل

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات