دمج بيانات كاتو مع سبْلنك

نظرة عامة

استخدام التكامل مع Splunk لدمج بيانات الشبكة والأمان من Cato في سير العمل الحالي للمراقبة، الترابط والتحقيق. التكامل الأصلي يرسل البيانات مباشرة من Cato إلى Splunk، مما يتيح لك تحليل نشاط Cato جنباً إلى جنب مع بيانات من مصادر متعددة في منصة مركزية. يساعدك ذلك في إنشاء لوحات القياس، عمليات البحث، التنبيهات والتقارير دون الحاجة إلى آليات تجميع بيانات إضافية.

أيضا، تقدم Cato تكاملًا مخصصًا مع GitHub من مستودع Cato GitHub. لمزيد من التفاصيل، انظر اختيار بين طرق التكامل الجاهزة الأصلية والمخصصة من GitHub الموضحة في الأسفل.

مصادر بيانات Splunk 

يدعم تكامل Splunk مصدرين للبيانات:

  • الأحداث - تُولد عندما يحدث نشاط محدد في الشبكة أو النظام، مثل مطابقة قاعدة سياسة أو اكتشاف تهديد. تقدم هذه السجلات رؤى متميزة في الوقت الفعلي حول أمن وتطبيق السياسات. يتم إرسال البيانات باستخدام مخطط الحدث من كاتو.

  • التدفقات - تنشأ كتدفقات شبكية (5-tuple) وتُزود بمعلومات على مستوى التطبيق كلما أصبحت متاحة من محركات Cato. بالإضافة إلى سياق التطبيق والمستخدم، تشمل التدفقات بيانات الجلسات المجمعة مثل البايتات والحزم والفترة الزمنية، مما يوفر رؤية كاملة لنشاط الشبكة مع مرور الوقت. يمثل مجموعة الحقول الفائقة للتدفق مخطط appStats.

    تتوفر بعض الحقول فقط للتدفقات المتدفقة عبر التكامل الناشط ولا تعد جزءًا من appStats أو تحليلات التطبيقات. على سبيل المثال، معرف التدفق والمقاييس المجمعة مثل الحزم الصادرة والمستقبلة والبايتات، وفترة التدفق. تُعلّم هذه الحقول بالتعليق التالي:

    متاح فقط لتكامل بيانات التدفقات الأصلية التي تم إنشاؤها في CMA.

بشكل افتراضي، تقوم التكاملات الجديدة بتصدير الأحداث فقط. يمكن لمصدر بيانات التدفقات أن يولد حجم بيانات أعلى بكثير مقارنة بالأحداث. يعتمد الحجم الدقيق على حركتك. يدعم CMA تهيئة تكاملات متعددة، مما يتيح لك إرسال مصادر بيانات مختلفة حسب الحاجة. الدعم للتصفية متاح فقط للأحداث.

حالات الاستخدام

الأحداث

تستخدم شركة Sample Splunk للمراقبة الأمنية المركزية والاستجابة. بصفتهم عميل Cato، لديهم بيانات مفيدة من الميزات الأساسية مثل نشاط الشبكة، التهديدات، بيانات المستخدمين، الأجهزة وكل الجوانب الأخرى لحركة المرور عبر منصة Cato. يمكنهم استخدام هذا التكامل لإرسال هذه البيانات مباشرة إلى Splunk، حيث يمكنهم دمجها بسهولة في تدفقات العمل الحالية لفريق SOC و NOC.

التدفقات

يحدد محلل الأمان في Splunk حدثًا مشبوهًا حيث قام المستخدم بالوصول إلى تطبيق عالي الخطورة قد يرتبط بسحب البيانات. باستخدام أحداث كاتو فقط، يمكن للمحلل رؤية القرار السياسي، هوية المستخدم، والتطبيق. ومع ذلك، لا يظهر الحدث كمية البيانات التي تم نقلها أو مدة الجلسة.

مع بيانات تدفق المرور المجمعة المرتبطة بالحدث باستخدام حقل معرف التدفق، يمكن للمحلل رؤية سياق الجلسة كاملة، بما في ذلك إجمالي البايتات المنقولة وعدد الحزم ومدة الجلسة. هذا يسمح للمحلل بتحديد ما إذا كانت النشاط ينطوي على تفاعل بسيط أو نقل بيانات كبير قد يشير إلى سحب البيانات.

بتوحيد الأحداث وبيانات التدفق، يمكن للمحلل بسرعة التحقق من شدة الحادث واتخاذ الإجراءات المناسبة.

المتطلبات المسبقة

  • لإضافة موصل، يجب أن تكون لديك أذونات المحرر لـ التكاملات (في قسم الموارد). لمزيد من المعلومات، انظر إدارة أدوار المسؤول باستخدام RBAC.
  • عنوان URL و المنفذ الخاص بـ Splunk هي نقطة النهاية HEC للوصول إلى حسابك. بشكل عام، هذا هو عنوان URL الذي تستخدمه للوصول إلى Splunk مضاف إليه الأحرف "http-inputs-" في البداية. على سبيل المثال، إذا كان حسابك هو http://mydomain.splunk.com، فسوف تستخدم https://http-inputs-mydomain.splunkcloud.com/. للمزيد من التفاصيل، انظر وثائق Splunk. المنفذ اختياري، ونحن نستخدم 443 إذا لم تحدد شيئًا آخر (وهو الافتراضي لـ Splunk Cloud).
  • راجع الشروط المسبقة لجميع تكاملات أحداث Cato في البدء مع تكاملات الأحداث.

إنشاء تكامل Splunk

أضف تكاملًا مع Splunk لإرسال أحداث وتدفقات Cato إلى نقطة نهاية Splunk HTTP Event Collector (HEC). لإعداد التكامل، أنشئ رمز HEC في Splunk، أنشئ تكاملًا جديدًا مع Splunk في CMA، وأدخل عنوان URL للاندماج ومفتاح API.

في عملية التكوين، يمكنك تحديد ما إذا كنت ستدرج الأحداث، التدفقات، أو كلاهما. الافتراضي هو تصدير الأحداث فقط. يمكن أن يولد مصدر بيانات التدفقات ل كمية بيانات أعلى بشكل كبير مقارنة بالأحداث. يعتمد الحجم الدقيق على حركة المرور الخاصة بك. يدعم CMA تكوين تكاملات متعددة، مما يسمح لك بإرسال مصادر بيانات مختلفة حسب الحاجة.

ملحوظة:

  • للتكاملات مع Splunk Enterprise (الإدارة الذاتية):

    • يجب أن تكون نقطة نهاية Splunk HEC قابلة للوصول عبر الإنترنت (أي مكشوفة عبر عنوان IP عام أو اسم DNS عام). عناوين IP الخاصة أو نقاط النهاية الداخلية فقط غير مدعومة.
    • يجب تمكين فحص TLS، ويجب أن يقدم نقطة النهاية شهادة X.509 صالحة صادرة عن هيئة إصدار شهادات عامة موثوقة. الشهادات ذاتية التوقيع أو الشهادات الصادرة من قبل هيئة إصدار خصوصية غير مدعومة، حيث يتم التحقق من الاتصالات فقط باستخدام سلاسل الثقة القياسية CA.
  • حذف التكامل في CMA لا يزيل أي موارد تم إنشاؤها في Splunk.

مرشحات

استخدم المرشحات للتحكم في أي أحداث Cato يتم تصديرها إلى Splunk. يساعد هذا في تقليل تكاليف الاندماج، تقليل الضوضاء، والتركيز على التحقيقات في الأحداث الأكثر أهمية للمواقع، المستخدمين أو المناطق المحددة. يمكنك أيضًا استخدام المرشحات لتوجيه مجموعات فرعية مختلفة من الأحداث إلى بيئات SIEM مختلفة.

استخدم مجموعات المرشحات لتحديد المرشحات استنادًا إلى أي حقل حدث أو مجموعة من الحقول. تستخدم الشروط داخل كل مجموعة منطق AND. يطبق المنطق OR بين المجموعات. تُظهر المرشحات في لقطة الشاشة تكوين التكامل لتصدير:

  • الأحداث التي تنشأ من باريس أو مدريد، تكون من نوع الفرعي جدار حماية الإنترنت، وقد نتجت عنها إجراءات غير المراقبة أو المطالبة.
  • اسم المستخدم يحتوي على Test

لإنشاء تكامل Splunk:

  1. في حساب Splunk الخاص بك، أنشئ رمزاً جديداً لاستخدامه في هذا التكامل. للتفاصيل، انظر وثائق Splunk. يمكنك تحديد فهرس مخصص أو استخدام الفهرس الافتراضي للرمز.
  2. انسخ قيمة الرمز الذي يتم عرضه. تحتاج إليه لتكوين التكامل مع Cato.
  3. من قائمة التنقل، اختر موارد > تكاملات.
  4. في علامة تبويب التكاملات المكونة، انقر على جديد. يفتح اللوحة التكامل الجديد.

  5. اختر Splunk وقم بتكوين الحقول التالية:

    1. في القائمة المنسدلة المصادقة، اختر مفتاح API.
    2. أدخل اسم الموصل و الوصف الاختياري لهذا التكامل.
    3. أدخل عنوان URL للاندماج و مفتاح API الذي أنشأته في Splunk.
    4. حدد الفهرس الذي يستقبل البيانات من Cato. إذا تركتها فارغة، يستخدم Cato الفهرس الافتراضي المحدد في رمز HEC.
    5. سواء دمج الأحداث, التدفقات أو كليهما.
    6. اختياري: أضف مرشحات للتحكم في أي أحداث Cato تُرسل إلى Splunk.
      ملاحظة: تطبق المرشحات فقط على بيانات الأحداث.
    7. حدد ما إذا كنت تريد إنشاء حدث عند حدوث أخطاء في التكامل.
  6. انقر فوق حفظ.
  7. في CMA، قم بتحديث صفحة التكاملات. يظهر حالة التكامل في علامة تبويب التطبيقات المكاملة.

الاختيار بين أساليب التكامل الأصلية والتكامل المخصص لـ GitHub

بالإضافة إلى التكامل المحلي الموصوف في هذه المقالة، يمكنك أيضًا دمج أحداث كاتو مع Splunk باستخدام الأدوات في حساب GitHub الخاص بـ Cato. تقدم كل طريقة مزايا متميزة حسب أهدافك وبيئتك. يمكنك أيضًا استخدام كلا التكاملين إذا لزم الأمر.

متى يتم استخدام التكامل المحلي

يعرض التكامل المحلي لـ Cato حلاً قابلاً للتوسع والدعم مع إعدادات تكوين محدودة. تشمل فوائد التكامل المحلي:

  • يتعامل مع الأحجام الكبيرة من الأحداث بكفاءة دون أي قيود تستند إلى API.
  • يدعم بالكامل ويُحافظ عليه من قبل Cato
  • يدعم الفلاتر لضبط البيانات المرسلة إلى Splunk

متى يجب استخدام تكامل GitHub

يوفر تكامل GitHub مرونة لحالات الاستخدام المتقدمة حيث تكون هناك حاجة إلى مصادر بيانات مخصصة أو منطق معالجة. قد ترغب في استخدام هذا التكامل في الحالات التالية:

  • تريد إرسال البيانات من سجل التدقيق لكاتو إلى Splunk
  • تريد استخدام مستودع GitHub من Cato كمصدر مفتوح لتخصيص التكامل

القيود المعروفة

  • قيود الحدث الكبير: قد يتم اقتطاع معلومات الحادث عند إرسالها إلى Splunk إذا تجاوز حقل raw_data (الذي يتضمن معلومات القصة) حجم 5 ميجابايت (هذا هو الافتراضي لـ Splunk، لكنه يمكن زيادته).

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات