تكامل أحداث كاتو مع كراودسترايك

تشرح هذه المقالة كيفية تكوين تكامل مشتق لتمرير أحداث كاتو.

ملاحظة

ملاحظة: تمكين الموصل في تطبيق إدارة كاتو يتيح استخدام الموصل العام HEC/HTTP مع كراودسترايك، لكن الحقول الخاصة بالمورد (Vendor, Vendor Product) وتحليل مخطط كراودسترايك غير مدعوم. الحقول الخاصة بالمورد والمحلل الاختياري لكراودسترايك حاليًا في المرحلة التجريبية. للحصول على مزيد من المعلومات ولتمكين هذه الميزات، تواصل مع ممثل كراودسترايك الخاص بك.

نظرة عامة

تمكن تكامل SIEM من الجيل القادم لكراودسترايك كاتو من تمرير الأحداث مباشرة إلى كراودسترايك باستخدام موصل أصلي. يمكنك بث أحداث كاتو الموحدة، مع سياق غني حول نشاط الشبكة، التهديدات، المستخدمين، الأجهزة وجميع الجوانب الأخرى للمرور في منصة كاتو مباشرة إلى Falcon Next Gen. هذا يسمح للمحللين بالتحقيق والصيد باستخدام سياق الشبكة الكامل دون مغادرة Falcon.

لتكوين تكامل كراودسترايك، يجب عليك:

  1. ضبط التكوين داخل تطبيق الساس (SaaS).

  2. إنشاء موصل API في تطبيق إدارة كاتو (CMA).

حالة الاستخدام

تستخدم شركة كراودسترايك لمراقبة وترصد الأمان المركزي. بصفتهم عملاء لكاتو، لديهم بيانات مفيدة من الميزات الرئيسية مثل نشاط الشبكة، التهديدات، بيانات المستخدم، الأجهزة، وجميع الجوانب الأخرى لحركة المرور التي تعبر منصة كاتو. يمكنهم استخدام هذا التكامل لإرسال هذه البيانات مباشرة إلى كراودسترايك، حيث يمكنهم دمجها بسهولة في سير العمل الحالي لفرق SOC و NOC.

المتطلبات المسبقة

  • اشتراك Falcon Next-Gen SIEM أو اشتراك Falcon Next-Gen SIEM 10GB.

  • لحقول المورد الخاصة والمحلل الاختياري لكراودسترايك، يجب تمكين خاصية Beta في كراودسترايك. للمزيد من المعلومات ولتمكين هذه الميزات، اتصل بممثل كراودسترايك الخاص بك.

  • لإضافة موصل، يجب أن يكون لديك إذن المحرر لـ التكاملات (في قسم المصادر). لمزيد من المعلومات، انظر إدارة أدوار المسؤول باستخدام RBAC.

  • يرجى مراجعة المتطلبات المسبقة لكافة تكاملات أحداث كاتو في البدء بتكامل الأحداث

تكوين تكامل كراودسترايك

لتكوين تكامل كراودسترايك، أنشئ اتصال بيانات.

الخطوة 1: تكوين التكامل في وحدة تحكم Falcon

في وحدة تحكم Falcon، أنشئ اتصال بيانات وحدد XXXXX

لتكوين تكامل كراودسترايك:

  1. في وحدة تحكم Falcon CrowdStrike ، انتقل إلى موصلات البيانات > موصلات البيانات > اتصالات البيانات.

  2. انقر على أضف اتصال.

  3. في مرشح المنتج، قم بتطبيق فلتر HEC وفي مرشح نوع الموصل، قم بتطبيق فلتر Push.

  4. انقر على موصل حدث HEC/HTTP وانقر على تكوين.

  5. أضف اسمًا للاتصال وأضف التفاصيل التالية (مدعومة فقط إذا كانت ممكنة في كراودسترايك، لمزيد من المعلومات انظر المتطلبات المسبقة):

    • المورد: كاتو نتوركس

    • منتج المورد: كاتو نتوركس SASE السحابي

    • (اختياري) المحللات: كاتو-Sase

  6. أكد الشروط والأحكام وانقر على إنشاء اتصال.

  7. عند إنشاء الاتصال، انقر على الثلاث نقاط وحدد توليد مفتاح API يليها إعادة توليد مفتاح API.

  8. انسخ احفظ مفتاح API و رابط API حتى يمكن إدخالهم في CMA.

الخطوة 2: إنشاء موصل API في CMA

بعد إعداد التكامل مع التطبيق المطلوب، أضف التفاصيل في CMA.

لإنشاء موصل API في CMA:

  1. من قائمة التنقل، انقر على مصادر > التكاملات.

  2. انقر على علامة التبويب التكاملات المكونة.

  3. انقر على جديد.

    يفتح لوحة تكامل جديد.

  4. حدد CrowdStrike Falcon NG-SIEM.

  5. أضف التفاصيل التي تم إنشاؤها خلال الخطوة الأولى.

  6. انقر على حفظ.

  7. التطبيق مرئي في جدول التطبيقات المتكاملة بحالة متصلة.

هل كان هذا المقال مفيداً؟

3 من 3 وجدوا هذا مفيداً

لا توجد تعليقات