Integración de Eventos de Cato con la Cuenta de Almacenamiento de Azure

Este artículo explica cómo integrar una cuenta de almacenamiento de Azure con su cuenta de Cato para subir eventos directamente a una cuenta de almacenamiento.

Resumen de la Integración de Eventos

Para clientes que revisan y analizan datos de eventos en una Cuenta de Almacenamiento de Azure, puede configurar su cuenta de Cato para subir automáticamente y de manera continua los eventos a dicha cuenta. Esto es diferente de la API de eventsFeed, la cual requiere que los clientes obtengan los datos de Cato y se ve afectada por problemas como limitación de tasa.

La Nube de Cato sube datos a la cuenta de almacenamiento de la siguiente manera: cada 60 segundos, o cuando hay más de 10MB de datos. Cato usa HTTPS para subir datos a la cuenta de almacenamiento de Azure.

Los eventos se envían en un formato comprimido .gz. Algunos clientes (por ejemplo, ciertos navegadores) pueden descomprimir automáticamente estos archivos sin remover la extensión .gz. Si esto ocurre, cambiar la extensión del archivo a .log o .txt alineará correctamente el formato del archivo con su extensión.

Caso de Uso de Integración de Eventos

La empresa de ejemplo está usando la función de Monitoreo de Actividad Sospechosa de IPS que genera muchos eventos de seguridad. Deciden crear una cuenta de almacenamiento de Azure para almacenar todos los datos de eventos, que luego pueden integrar con su solución SIEM. La empresa de ejemplo habilita la Integración de Eventos y agrega la cuenta de almacenamiento de Azure como una integración a su cuenta de Cato para que todos los eventos de IPS se carguen automáticamente en el almacenamiento de Azure.

Requisitos Previos

Descripción General de alto nivel de la Integración de Eventos de Azure

  1. Crear nueva cuenta de almacenamiento de Azure y contenedor.

  2. Azure proporciona una cadena de conexión de la siguiente manera:

    1. Access keys - la cadena de conexión se genera automáticamente.

    2. SAS - configure los permisos y ajustes recomendados, y luego se genera la cadena de conexión.

  3. Cree la integración de Azure en la Aplicación de Gestión de Cato usando la cadena de conexión del paso previo.

Configuración de la Cuenta de Almacenamiento de Azure

Cree una nueva cuenta de almacenamiento y contenedor para los datos de eventos de Cato, recomendamos que no use una cuenta de almacenamiento existente para la Integración de Eventos. Puede usar una cadena de conexión de Azure de una clave de acceso o de una firma de acceso compartido (SAS).

Uso de Llaves de Acceso para la Cadena de Conexión

Para los clientes que están usando claves de acceso de Azure para autenticar la cuenta de almacenamiento en Cato, copie la cadena de conexión. Pegará la cadena de conexión de las claves de acceso en la Aplicación de Gestión de Cato al configurar la integración de Azure.

Para crear una cuenta de almacenamiento que use claves de acceso:

  1. Cree una nueva cuenta de almacenamiento con los ajustes apropiados.

    1. En los detalles de la Instancia, seleccione rendimiento Estándar.

      basic_storage_account.png

    2. Haga clic en Revisar y luego haga clic en Crear.

  2. Cree un nuevo contenedor para los datos de eventos (Almacenamiento de datos > Contenedores).

    Entrará el Nombre del contenedor en la Aplicación de Gestión de Cato cuando cree la integración para los eventos (abajo).

  3. En el panel de navegación a la izquierda, vaya a la sección de Seguridad + redes y seleccione Claves de acceso.

  4. Copie la cadena de conexión de las claves de acceso para la cuenta de almacenamiento.

    access_key_string.png

  5. Continuar con Agregar Almacenamiento de Cuenta de Azure para Eventos (abajo).

Uso de SAS para la Cadena de Conexión

Azure SAS le permite restringir permisos para el contenedor de almacenamiento, como direcciones IP permitidas y una fecha de expiración para la cadena de conexión.

El token para la cadena de conexión SAS incluye una fecha de expiración, que se muestra en la página de Integración de Eventos. Después de la fecha de expiración, el token ya no es válido, y Cato no puede subir eventos al contenedor de almacenamiento. Para mantener la carga ininterrumpida de eventos, asegúrese de generar una nueva cadena de conexión y aplicarla a la integración antes de la fecha de expiración de SAS.

Para configurar una cuenta de almacenamiento en Azure para recibir datos de eventos de Cato:

  1. Cree una nueva cuenta de almacenamiento con los ajustes apropiados.

    1. En los detalles de la Instancia, seleccione rendimiento Estándar.

      basic_storage_account.png

    2. Haga clic en Revisar y luego haga clic en Crear.

  2. Cree un nuevo contenedor para los datos de eventos (Almacenamiento de datos > Contenedores).

    Entrará el Nombre del contenedor en la Aplicación de Gestión de Cato cuando cree la integración para los eventos (abajo).

  3. En el panel de navegación a la izquierda, vaya a la sección de Seguridad + redes y seleccione Firma de acceso compartido.

  4. Configure el SAS con los siguientes permisos de acceso:

    • Servicios permitidos - Blob, Archivo

    • Tipos de recursos permitidos - Contenedor, Objeto

    • Permisos permitidos - Leer, Escribir, Listar

    SAS_settings.png

  5. Haga clic en Generar SAS y cadena de conexión.

  6. Copie la Cadena de Conexión para la cuenta de almacenamiento. Pegará esta cadena cuando cree la integración para los eventos (abajo).

    sas_string.png

Agregar Almacenamiento de Cuenta de Azure para Eventos

Cree una nueva integración para la cuenta de almacenamiento de Azure en la pestaña Integraciones de Eventos y pegue la cadena de conexión a la integración. Esta cadena da a Cato permiso para subir los datos de eventos a la cuenta de almacenamiento. No puede editar la cadena después de crear la integración; en su lugar, puede Restablecer el campo y luego pegar la cadena de conexión.

Después de definir y habilitar la integración de almacenamiento de Azure, toma unos minutos para que Cato comience a subir eventos a la cuenta de almacenamiento.

Puede optar por filtrar los eventos que se suben a la cuenta de almacenamiento. Por ejemplo, sólo subir eventos IPS para su cuenta a ella. La configuración predeterminada es sin filtro y todos los eventos se suben a la cuenta de almacenamiento.

EventIntegration.png

Para añadir una integración de almacenamiento de Azure para subir eventos a su cuenta:

  1. En el menú de navegación, seleccione Recursos > Integraciones de Eventos.

  2. Seleccione Habilitar integración con eventos de Cato.

  3. Haga clic en Nuevo. Se abre el panel de Nueva Integración.

  4. En Integración, seleccione Almacenamiento de Cuenta de Azure e ingrese el Nombre para la integración.

  5. Ingrese estos Detalles de Conexión para la integración basado en los ajustes en Azure:

    • Cadena de Conexión - Pegue la cadena de conexión que copió de la cuenta de almacenamiento

    • Nombre - Nombre idéntico del contenedor en la cuenta de almacenamiento

    • (Opcional) Carpeta - Nombre idéntico para la ruta de la carpeta dentro del contenedor (si es necesario)

  6. (Opcional) Defina las configuraciones de filtro para los eventos que se suben a la cuenta de almacenamiento.

    Cuando define múltiples filtros, hay una relación Y, y los eventos que coinciden con todos los filtros son subidos.

  7. Haga clic en Aplicar. La cuenta de almacenamiento de Azure ahora está integrada con su cuenta.

    Nota: Puede definir hasta un total de tres Integraciones de Eventos para su cuenta.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 4

0 comentarios