Cato ইভেন্টসমূহের Microsoft Sentinel এর সাথে একত্রীকরণ

সারসংক্ষেপ

আপনার বিদ্যমান মনিটরিং, সমন্বয় এবং তদন্ত মোকাবিলা কাজে Cato ইভেন্ট ডেটা অন্তর্ভুক্ত করতে Microsoft Sentinel ইন্টিগ্রেশন ব্যবহার করুন।

Cato Microsoft Sentinel এর সাথে দুটি ধরনের ইন্টিগ্রেশন অফার করে। প্রতিটি পদ্ধতি ভিন্ন সুবিধা প্রদান করে, আপনার উদ্দেশ্য ও পরিবেশ অনুযায়ী।

নিটিভ টার্নকি ইন্টিগ্রেশন Cato থেকে Sentinel এ সরাসরি ইভেন্ট পাঠায় এবং সেগুলি স্বয়ংক্রিয়ভাবে Sentinel ডেটা মডেলের সাথে মানচিত্রায়িত করে, ফলে ড্যাশবোর্ড, বিশ্লেষণ নিয়ম, সতর্কতা এবং অন্যান্য Sentinel বৈশিষ্ট্যগুলি অতিরিক্ত বিশ্লেষণ বা স্বাভাবিকীকরণ ছাড়াই Cato ইভেন্ট ডেটা প্রক্রিয়া করতে পারে।
এই ইন্টিগ্রেশন প্রমাণীকরণ এবং পরিবহন জন্য Cato MS Tenant সংযোগকারী ব্যবহার করে Cato Microsoft ইন্টিগ্রেশন জুড়ে। শেয়ার করা কানেক্টর একটি সামঞ্জস্যপূর্ণ কনফিগারেশন কাজের প্রবাহ এবং Entra ID এবং অ্যাপস এবং ডেটা API-এর মত ইন্টিগ্রেশনগুলির জন্য কেন্দ্রিয় অ্যাক্সেস নিয়ন্ত্রণ প্রদান করে।
একটি কাস্টম গিটহাব ইন্টিগ্রেশন Cato গিটহাব রেপো থেকে উপলব্ধ। আরও বিস্তারিত জানার জন্য, নিচে নেটিভ টার্নকি এবং কাস্টম গিটহাব ইন্টিগ্রেশন পদ্ধতি নির্বাচনের জন্য দেখুন।

ব্যবহারের ক্ষেত্র

স্যাম্পল কোম্পানি সকেন্দ্রিক নিরাপত্তা মনিটরিং এবং প্রতিক্রিয়ার জন্য Microsoft Sentinel ব্যবহার করে। একজন Cato গ্রাহক হিসেবে, তারা IPS এর মত প্রধান নিরাপত্তা বৈশিষ্ট্য থেকে উপকারী ডেটা পায়। তারা এই ইন্টিগ্রেশনটি ব্যবহার করে উচ্চ-তীব্রতা IPS ইভেন্ট প্রকারগুলি সরাসরি Sentinel এ প্রেরণ করতে পারে, যেখানে তারা সহজেই SoC দলের বিদ্যমান কর্মপ্রবাহে একীভূত হতে পারে।

প্রয়োজনীয়তা

একটি MS টেনান্ট ইন্টিগ্রেশন CMA তেসম্পদ > ইন্টিগ্রেশন > কনফিগার করা ইন্টিগ্রেশন অধীনে।

এটি Microsoft অ্যাপগুলির জন্য একটি প্যারেন্ট ইন্টিগ্রেশন।
Sentinel এ বিদ্যমান লগ বিশ্লেষণ ওয়ার্কস্পেস যেখানে Cato ইভেন্টগুলি সংরক্ষিত হবে।
একটি কানেক্টর যোগ করতে, আপনাকে সম্পাদনার অনুমতি থাকতে হবে ইন্টিগ্রেশন (এর মধ্যে সম্পদ সেকশন)। আরও তথ্যের জন্য, দেখুন RBAC ব্যবহার করে অ্যাডমিন ভূমিকা ব্যবস্থাপনা.
গেটিং স্টার্টেড উইথ ইভেন্ট ইন্টিগ্রেশনস অংশে সমস্ত Cato ইভেন্ট ইন্টিগ্রেশনের জন্য পূর্বশর্তগুলি পর্যালোচনা করুন।

Microsoft টেনান্ট ইন্টিগ্রেশন তৈরি করা হচ্ছে

MS Tenant অধিকাংশ Microsoft অ্যাপসের জন্য একটি প্যারেন্ট কানেক্টর হিসেবে কাজ করে। যখন আপনি একটি Microsoft ইন্টিগ্রেশন যোগ করেন, প্রথমে প্যারেন্ট সংযোগকারী তৈরি করুন। এই সংযোগকারী একবার কনফিগার করতে হবে এবং তারপরে আপনি এটি সমস্ত Microsoft অ্যাপের জন্য ব্যবহার করতে পারেন।

MS টেন্যান্ট ইন্টিগ্রেশন তৈরি করতে:

নেভিগেশন মেনু থেকে সম্পদ > ইন্টিগ্রেশন নির্বাচন করুন, তারপর কনফিগার করা ইন্টিগ্রেশন ট্যাবে ক্লিক করুন।
নতুন ক্লিক করুন। নতুন কানেক্টর প্যানেলটি খুলবে।
নতুন কানেক্টর প্যানেলে MS Tenant (একটি নতুন MS Tenant কনফিগার করুন) অ্যাপ নির্বাচন করুন।
কানেক্টর নাম লিখুন।
অনুমোদন এবং সংরক্ষণ করুন ক্লিক করুন।

Microsoft 365 অ্যাপের জন্য একটি নতুন ব্রাউজার ট্যাব খোলে।
নতুন ব্রাউজার ট্যাবে, Microsoft 365 অ্যাপে প্রমাণীকরণ করুন:
1. Microsoft 365 অ্যাপটির জন্য Microsoft অ্যাকাউন্ট নির্বাচন করুন।
  
  অন্যথায়, Microsoft প্রমাণীকরণ ত্রুটি হতে পারে।
2. Microsoft অ্যাকাউন্টের জন্য পাসওয়ার্ড লিখুন এবং অনুমোদন করুন।
3. Microsoft 365 অ্যাপ অ্যাক্সেস করতে কেটোকে অনুমতি দিতে গ্রহণ করুন।
  
  একটি সফলতা পেজ প্রদর্শন করে যে অনুমতিগুলি প্রয়োগ করা হয়েছে।
4. আপনি ব্রাউজার ট্যাব বন্ধ করতে পারেন এবং Cato ম্যানেজমেন্ট অ্যাপ্লিকেশনে ফিরে যেতে পারেন।
Microsoft 365 অ্যাপটি ইন্টিগ্রেটেড অ্যাপস ট্যাবে যোগ করা হয়েছে।

সেন্টিনেল ইন্টিগ্রেশন তৈরি করা হচ্ছে

CMA তে টার্গেট Microsoft টেনান্ট, ওয়ার্কস্পেস এবং টেবিলটি ঠিক ঠাক নির্ধারণ করে Sentinel ইন্টিগ্রেশন সংজ্ঞায়িত করুন। আপনি এও ফিল্টার ব্যবহার করে নির্ধারণ করতে পারেন কোন ইভেন্টগুলি ইন্টিগ্রেশনে অন্তর্ভুক্ত হবে। আপনি Sentinel ইন্টিগ্রেশন সংরক্ষণ করার পরে, Microsoft টেনান্টকে প্রমাণীকরণ করতে হবে এবং Cato কে আপনার Sentinel অ্যাকাউন্টে ডেটা পাঠাতে অনুমতি দিতে হবে।

CMA-এ ইন্টিগ্রেশন তৈরি করার পরে, প্রক্রিয়াগুলি Microsoft এ নিরাপত্তা কারণে সম্পন্ন করার জন্য আপনার 10 মিনিট সময় রয়েছে। যদি এই সময়সীমার মধ্যে প্রক্রিয়া সম্পূর্ণ না হয়, তাহলে আপনাকে CMA তে ইন্টিগ্রেশন মুছতে হবে এবং আবার শুরু করতে হবে।

ইন্টিগ্রেশন তৈরি হওয়ার পর, আপনি উপরে নির্দিষ্ট টেবিলে তথ্য Microsoft-এ প্রবাহিত হবে। Cato আপনাকে Microsoft-এর বিল্ট-ইন টেবিল থেকে আলাদা করতে সাহায্য করার জন্য টেবিলের নামে "_CL" চিঠিগুলি যুক্ত করে।

CMA তে ইন্টিগ্রেশন মুছে ফেলা কোনো সম্পদকে Microsoft-এ তৈরি করবে না।

নোট: যদি তৃতীয় পক্ষের সেবায় অ্যাক্সেস নির্দিষ্ট IP ঠিকানায় সীমিত থাকে, তাহলে উক্ত লেখা অনুসরণ করুন যেসব Cato IP ঠিকানা গুলিকে আপনাকে অনুমতি দিতে হয়। লেখাটি দেখতে আপনাকে অবশ্যই সাইন ইন থাকতে হবে।

ফিল্টার

কোন Cato ইভেন্ট Microsoft Sentinel এ রপ্তানি করা যাবে তা নিয়ন্ত্রণ করতে ফিল্টার ব্যবহার করুন। এটি ইনজেশনের খরচ কমাতে, শব্দ কমাতে এবং নির্দিষ্ট সাইট, ব্যবহারকারী বা অঞ্চলের সাথে প্রাসঙ্গিক ইভেন্টগুলির উপর তদন্তকে কেন্দ্রীভূত করতে সাহায্য করে। আপনি এও বিভিন্ন ইভেন্ট উপসেটগুলি বিভিন্ন SIEM পরিবেশের কাছে রুট করতে ফিল্টার ব্যবহার করতে পারেন।

ফিল্টার গ্রুপ ব্যবহার করে যেকোনো ইভেন্ট ফিল্ড বা ক্ষেত্রের সংমিশ্রণের উপর ভিত্তি করে ফিল্টার নির্ধারণ করুন। কোনো গোষ্ঠীর মধ্যে শক্তি এবং যুক্তিকে ব্যবহার করে। গোষ্ঠীগুলির মধ্যে বা যুক্তি প্রয়োগ করা হয়। স্ক্রিনশটের ফিল্টার থেকে ইন্টিগ্রেশন রপ্তানি করতে কনফিগার করে:

মূল উদ্ভব প্যারিস অথবা মাদ্রিদ থেকে এবং উপ-ধরন ইন্টারনেট ফায়ারওয়াল, এবং ফলস্বরূপ ক্রিয়াগুলি মনিটর বা প্রম্পট ব্যতীত অন্য কিছু
ব্যবহারকারীর নাম টেস্ট অন্তর্ভুক্ত করে

Sentinel ইন্টিগ্রেশন তৈরি করতে:

নেভিগেশন মেনু থেকে সম্পদ > ইন্টিগ্রেশন নির্বাচন করুন।
Configured Integrations ট্যাবে, টিপুন নতুন. নতুন ইন্টিগ্রেশন প্যানেলটি খুলেছে।
Microsoft Sentinel নির্বাচন করুন এবং নিম্নলিখিত ক্ষেত্রগুলি কনফিগার করুন:
1. এই ইন্টিগ্রেশনের জন্য একটি নাম লিখুন।
2. কানেক্টর টেন্যান্ট নাম ক্ষেত্রটিতে MS টেন্যান্ট ইন্টিগ্রেশন নাম নির্বাচন করুন।
3. Microsoft লগ বিশ্লেষণের ডেটা গ্রহণকারী আপনার বিদ্যমান লগ বিশ্লেষণ ওয়ার্কস্পেস নাম লিখুন।
4. এই নাম সহ লগ বিশ্লেষণ ওয়ার্কস্পেসে ডেটা রাখার জন্য একটি নতুন লগ বিশ্লেষণ টেবিল নাম লিখুন।
5. কেটো তথ্য ধরে রাখার জন্য কত দিন Microsoft এ থাকতে চাই সেটা টেবিল ধারণ দিনক্ষেত্রে নির্ধারণ করুন।
6. ঐচ্ছিক: Cato ইভেন্টগুলি Microsoft Sentinel এ পাঠাতে কোন ফিল্টারগুলি নিয়ন্ত্রণ করবেন তা যোগ করুন।
ইন্টিগ্রেশন Microsoft এ রূপান্তর করতে সংরক্ষণ ক্লিক করুন।
নোট: আপনাকে এখন Microsoft এ সেটআপটি সম্পন্ন করতে ১০ মিনিট দেওয়া হয়েছে।
একটি ব্রাউজার ট্যাব খোলে এবং আপনাকে Microsoft-এ ইন্টিগ্রেশন তৈরির অনুমোদন করতে নির্দেশ দেয়।
নোট: আপনি অবশ্যই MS টেনান্ট ইন্টিগ্রেশন তৈরির জন্য একই টেনান্টের সাথে ইন্টিগ্রেশন অনুমোদন করতে হবে। ব্যবহারকারীর অবশ্যই ঐ টেনান্টের সম্পদ তৈরি করার অনুমতি থাকতে হবে।
Microsoft পোর্টালে, সেই রিসোর্স গ্রুপ এবং অঞ্চল নির্বাচন করুন যেখানে টার্গেট লগ বিশ্লেষণ ওয়ার্কস্পেস রয়েছে এবং রিভিউ + ক্রিয়েট ক্লিক করুন।
তৈরি করুন ক্লিক করুন যাতে প্রস্তুতি শুরু হয়।
যখন রূপান্তর সম্পন্ন হয়, আপনি Microsoft উইন্ডো বন্ধ করতে পারেন।
CMA-তে ইন্টিগ্রেশন পৃষ্ঠা রিফ্রেশ করুন। ইন্টিগ্রেশন স্ট্যাটাস ইন্টিগ্রেটেড অ্যাপস ট্যাবে দেখা যায়।

মালিকানাধীন কার্যকলাপ এবং কাস্টম গিটহাব ইন্টিগ্রেশন পদ্ধতি মধ্যে নির্বাচন করা

এই লেখায় বর্ণিত মৌলিক টার্নকি ইন্টিগ্রেশনের পাশাপাশি, আপনি Cato ঘটনাগুলি Microsoft Sentinel সাথে Cato GitHub অ্যাকাউন্ট এর টুলগুলির ব্যবহার করে সংহত করতে পারেন। প্রতিটি পদ্ধতি আপনার লক্ষ্য এবং পরিবেশের উপর নির্ভর করে পৃথক সুবিধা প্রদান করে।

মালিকানাধীন সম্পূর্ণ কার্যকলাপের জন্য ব্যবহার করার সময়

Cato-এর মৌলিক ইন্টিগ্রেশন সামান্য কনফিগারেশনের সাথে এক্সটেনসিবল এবং সাপোর্টযোগ্য সমাধান প্রদান করে। মৌলিক ইন্টিগ্রেশনের সুবিধাগুলির মধ্যে রয়েছে:

বড় পরিমাণ ইভেন্ট দক্ষতার সাথে পরিচালনা করে কোনো API- ভিত্তিক সীমাবদ্ধতা ছাড়াই
সম্পূর্ণভাবে Cato দ্বারা পরিচালিত এবং সমর্থিত
কেটো এবং Microsoft সেন্টিনেলের মধ্যে স্বয়ংক্রিয়ভাবে স্কিমা মানচিত্র তৈরি করে
Microsoft Sentinel এ পাঠানো ডেটা সূক্ষ্মরূপে টিউন করতে ফিল্টার সমর্থন করে

গিটহাব ইন্টিগ্রেশন ব্যবহার করার সময়

GitHub ইন্টিগ্রেশন স্বনির্ধারিত ডেটা উৎস বা প্রসেসিং লজিক যেখানে প্রয়োজন সেখানে উন্নত ব্যবহার ক্ষেত্রে নমনীয়তা প্রদান করে। আপনি নিম্নলিখিত পরিস্থিতিতে এই ইন্টিগ্রেশনটি ব্যবহার করতে চাইতে পারেন:

কেটোর ইন্টিগ্রেশন আপনার আনুষঙ্গিক ডেটা ধারণ করার ধরণের সাপোর্ট করে না
আপনি স্কিমা বা ইভেন্ট বিপণন ডেটা পরিবর্তন করতে চান

পরিচিত সীমাবদ্ধতা

বৃহৎ ইভেন্ট সীমাবদ্ধতা: কিছু XOps ইভেন্টগুলি raw_data ক্ষেত্রের মধ্যে বিস্তৃত গল্প তথ্য অন্তর্ভুক্ত করতে পারে, যা ইভেন্টকে Microsoft Sentinel গঠন সীমা (প্রায় 1 MB) অতিক্রম করতে পারে। যখন এটি ঘটে, তখন Cato এখনও ইভেন্টটিকে Sentinel এর কাছে পাঠায়, কিন্তু Sentinel গ্রহণের প্রয়োজনীয়তা বজায় রাখতে raw_data ক্ষেত্রটি বাদ দেয়।