Integrando Eventos de Cato con Almacenamiento de Azure

Resumen de la Integración de Eventos

Las organizaciones que almacenan y gestionan datos de eventos en una Cuenta de Almacenamiento de Azure pueden configurar su cuenta de Cato para cargar automáticamente y de manera continua los eventos en ella. 

Esta integración empuja continuamente eventos directamente desde la Nube de Cato a la cuenta de almacenamiento, a diferencia de la API eventsFeed, que requiere extraer datos de Cato y puede verse afectada por la limitación de velocidad.

La Nube de Cato sube datos a la cuenta de almacenamiento cada 60 segundos o cada vez que se acumulan más de 10 MB de datos. Los datos se transfieren de manera segura a través de HTTPS.

Los eventos se suben en un formato comprimido .GZ. Algunos clientes (por ejemplo, ciertos navegadores) pueden descomprimir automáticamente estos archivos sin eliminar la extensión .GZ. Si esto ocurre, cambiar la extensión del archivo a LOG o TXT alineará correctamente el formato del archivo con su extensión.

Caso de Uso de Integración de Eventos

La empresa de ejemplo está usando la función de Monitoreo de Actividad Sospechosa de IPS que genera muchos eventos de seguridad. Deciden crear una Cuenta de Almacenamiento de Azure para almacenar todos los datos de eventos, los cuales luego pueden integrar con su solución SIEM. La empresa de ejemplo habilita la Integración de Eventos y agrega la cuenta de Almacenamiento de Azure como una integración a su cuenta de Cato para que todos los eventos IPS se suban automáticamente al Almacenamiento de Azure.

Requisitos Previos

Configuración de la Cuenta de Almacenamiento de Azure

Cree una nueva cuenta de almacenamiento y contenedor para los datos de eventos de Cato, recomendamos que no use una cuenta de almacenamiento existente para la Integración de Eventos. Puede usar una cadena de conexión de Azure de una clave de acceso o de una firma de acceso compartido (SAS).

Uso de Llaves de Acceso para la Cadena de Conexión

Para los clientes que están usando claves de acceso de Azure para autenticar la cuenta de almacenamiento en Cato, copie la cadena de conexión. Pegará la cadena de conexión de las claves de acceso en la Aplicación de Gestión de Cato al configurar la integración de Azure.

Para crear una cuenta de almacenamiento que use claves de acceso:

  1. Cree una nueva cuenta de almacenamiento con los ajustes apropiados.

    1. En los detalles de la Instancia, seleccione rendimiento Estándar.

      basic_storage_account.png
    2. Haga clic en Revisar y luego haga clic en Crear.

  2. Cree un nuevo contenedor para los datos de eventos (Almacenamiento de datos > Contenedores).

    Entrará el Nombre del contenedor en la Aplicación de Gestión de Cato cuando cree la integración para los eventos (abajo).

  3. En el panel de navegación a la izquierda, vaya a la sección de Seguridad + redes y seleccione Claves de acceso.

  4. Copie la cadena de conexión de las claves de acceso para la cuenta de almacenamiento.

    access_key_string.png
  5. Continuar con Agregar Almacenamiento de Cuenta de Azure para Eventos (abajo).

Uso de SAS para la Cadena de Conexión

Azure SAS le permite restringir permisos para el contenedor de almacenamiento, como direcciones IP permitidas y una fecha de expiración para la cadena de conexión.

El token para la cadena de conexión SAS incluye una fecha de expiración, que se muestra en la página de Integración de Eventos. Después de la fecha de expiración, el token ya no es válido, y Cato no puede subir eventos al contenedor de almacenamiento. Para mantener la carga ininterrumpida de eventos, asegúrese de generar una nueva cadena de conexión y aplicarla a la integración antes de la fecha de expiración de SAS.

Para configurar una cuenta de almacenamiento en Azure para recibir datos de eventos de Cato:

  1. Cree una nueva cuenta de almacenamiento con los ajustes apropiados.

    1. En los detalles de la Instancia, seleccione rendimiento Estándar.

      basic_storage_account.png
    2. Haga clic en Revisar y luego haga clic en Crear.

  2. Cree un nuevo contenedor para los datos de eventos (Almacenamiento de datos > Contenedores).

    Entrará el Nombre del contenedor en la Aplicación de Gestión de Cato cuando cree la integración para los eventos (abajo).

  3. En el panel de navegación a la izquierda, vaya a la sección de Seguridad + redes y seleccione Firma de acceso compartido.

  4. Configure el SAS con los siguientes permisos de acceso:

    • Servicios permitidos - Blob, Archivo
    • Tipos de recursos permitidos - Contenedor, Objeto
    • Permisos permitidos - Leer, Escribir, Listar
    SAS_settings.png
  5. Haga clic en Generar SAS y cadena de conexión.

  6. Copie la Cadena de Conexión para la cuenta de almacenamiento. Pegará esta cadena cuando cree la integración para los eventos (abajo).

    sas_string.png

Agregar una Integración de Evento para el Almacenamiento de Azure

Cree una nueva integración para la cuenta de Almacenamiento de Azure en la pestaña de Integración de Eventos y pegue la cadena de conexión en la integración. Esta cadena da permiso a Cato para subir datos de eventos a la cuenta de almacenamiento. No puede editar la cadena después de crear la integración; en su lugar, puede Restablecer el campo y luego pegar la cadena de conexión.

Después de definir y habilitar la integración de Almacenamiento de Azure, pasan algunos minutos para que Cato comience a subir eventos a la cuenta de almacenamiento.

Puede filtrar los eventos que se suben a la cuenta de almacenamiento por tipo o subtipo de evento. Por ejemplo, puede subir solo eventos IPS para su cuenta. Por defecto, no se aplica filtro y todos los eventos son subidos a la cuenta de almacenamiento.

EventIntegration.png

Para agregar una integración de Almacenamiento Azure para subir eventos a su cuenta:

  1. En el menú de navegación, seleccione Recursos > Integraciones de Eventos.
  2. Seleccione Habilitar integración con eventos de Cato.
  3. Haga clic en Nuevo. Se abre el panel de Nueva Integración.
  4. En Integración, selecciona Cuenta de Almacenamiento de Azure e ingrese el Nombre para la integración.

  5. Ingrese estos Detalles de Conexión para la integración basado en los ajustes en Azure:

    • Cadena de Conexión - Pegue la cadena de conexión que copió de la cuenta de almacenamiento
    • Nombre - Nombre idéntico del contenedor en la cuenta de almacenamiento
    • (Opcional) Carpeta - Nombre idéntico para la ruta de la carpeta dentro del contenedor (si es necesario)

  6. (Opcional) Defina las configuraciones de filtro para los eventos que se suben a la cuenta de almacenamiento.

    Cuando define múltiples filtros, hay una relación Y, y los eventos que coinciden con todos los filtros son subidos.

  7. Haga clic en Aplicar. La cuenta de Almacenamiento de Azure ahora está integrada con su cuenta.

    Nota: Puede definir hasta un total de tres Integraciones de Eventos para su cuenta.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 4

0 comentarios