Integración de Eventos de Cato con Microsoft Sentinel

Utilice la integración de Microsoft Sentinel para incluir datos de eventos de Cato en sus flujos de trabajo existentes de monitorización, correlación e investigación. 

Cato ofrece dos tipos de integración con Microsoft Sentinel. Cada enfoque ofrece ventajas distintas dependiendo de sus objetivos y entorno.

• La integración turnkey nativa envía eventos directamente desde Cato a Sentinel y los mapea automáticamente al modelo de datos de Sentinel, de manera que los paneles, reglas analíticas, alertas y otras funciones de Sentinel puedan procesar los datos de eventos de Cato sin una normalización o análisis adicional.
  La integración utiliza el conector estándar de Tenant MS de Cato para autenticación y transporte en las integraciones de Microsoft de Cato. El conector compartido proporciona un flujo de trabajo de configuración consistente y un control de acceso centralizado para integraciones como ID de Entra y las APIs de datos y aplicaciones.
• Una integración personalizada de GitHub está disponible desde el repositorio GitHub de Cato. Para más detalles, consulte el artículo Elegir entre métodos de integración Turnkey Nativa y GitHub Personalizada a continuación.

La empresa de ejemplo utiliza Microsoft Sentinel para la monitorización y respuesta centralizada de seguridad. Como cliente de Cato, tienen datos útiles de características de seguridad clave, como IPS. Pueden usar esta integración para enviar tipos de eventos IPS de alta gravedad directamente a Sentinel, donde pueden integrarse fácilmente en los flujos de trabajo existentes para el equipo de SoC.

El Tenant MS actúa como un conector principal para la mayoría de las Aplicaciones de Microsoft. Cuando agregue una integración de Microsoft, primero cree el conector principal. Solo necesita configurar este conector una vez, y luego puede usarlo para todas las aplicaciones de Microsoft.

Defina la integración de Sentinel en el CMA especificando el tenant de Microsoft objetivo, área de trabajo y tabla. También puede usar filtros para definir qué eventos incluir en la integración. Después de guardar la integración de Sentinel, necesita autenticarse en el tenant de Microsoft y permitir que Cato envíe datos a su cuenta de Sentinel.

Después de crear la integración en el CMA, tienes 10 minutos para completar el proceso en Microsoft por razones de seguridad. Si el proceso no se completa en este período de tiempo, necesitará eliminar la integración en el CMA y comenzar de nuevo.

Después de que la integración esté creada, los datos fluyen hacia Microsoft en la tabla que especificó arriba. Cato agrega las letras "_CL" al nombre de la tabla para ayudarle a distinguirla de las tablas integradas en Microsoft.

Eliminar la integración en el CMA no elimina ningún recurso creado en Microsoft.

Nota: Si el acceso al servicio de terceros está limitado a direcciones IP específicas, consulte este artículo para obtener la lista de direcciones IP de Cato que necesita permitir. Debe haber iniciado sesión para ver el artículo.

Filtros

Use filtros para controlar qué eventos de Cato se exportan a Microsoft Sentinel. Esto ayuda a reducir los costos de ingesta, minimizar el ruido y enfocar las investigaciones en los eventos que son más relevantes para sitios específicos, usuarios o regiones. También puede usar filtros para enrutar diferentes subconjuntos de eventos a diferentes entornos SIEM.

Utilice grupos de filtros para definir filtros basados en cualquier Campo de Evento o combinación de campos. Las condiciones dentro de cada grupo utilizan lógica AND. Se aplica lógica OR entre grupos. Los filtros en la captura de pantalla configuran la integración para exportar:

• Eventos que se originan desde París o Madrid, son de subtipo Cortafuegos de Internet, y resultaron en acciones aparte de Monitorear o Solicitar
• Nombre de usuario contiene Prueba

Para crear la integración de Sentinel:

1. Desde el menú de navegación, seleccione Recursos > Integraciones.
2. En la pestaña Integraciones Activas, haz clic en Nuevo. Se abre el panel Nueva Integración.

3. Seleccione Microsoft Sentinel y configure los siguientes campos:

   1. Ingrese un Nombre para esta integración.
   2. Seleccione el nombre de la integración de MS Tenant en el campo Inquilino del Conector. 
   3. Ingrese su Nombre del Espacio de Trabajo de Log Analytics existente que recibe los datos en Microsoft Log Analytics.
   4. Ingrese un nuevo Nombre de la Tabla de Análisis de Registro para almacenar los datos en el Espacio de Trabajo de Log Analytics con este nombre. 
   5. Defina cuántos días desea que Microsoft retenga los datos de Cato en el campo Días de Retención de Tabla.
   6. Opcional: Agregue filtros para controlar qué eventos de Cato se envían a Microsoft Sentinel.
4. Haga clic en Guardar para implementar la integración a Microsoft. 
   Nota: Ahora tiene 10 minutos para completar la configuración en Microsoft.
5. Se abre una pestaña del navegador y le dirige para autorizar la creación de la integración en Microsoft.
   Nota: Debe autorizar la integración con el mismo tenant usado para crear la integración de Tenant MS. El usuario debe tener permisos para crear recursos en ese tenant.
6. En el portal de Microsoft, seleccione el grupo de recursos y región que contienen el área de trabajo de Análisis de Registros objetivo, y haga clic en Revisar + Crear.
7. Haga clic en Crear para iniciar el despliegue.
8. Cuando la implementación esté completa, puede cerrar la ventana de Microsoft.
9. En el CMA, refresque la página de Integraciones. El estado de la integración aparece en la pestaña Aplicaciones Integradas.

Además de la integración turnkey nativa descrita en este artículo, también puede integrar eventos de Cato con Microsoft Sentinel utilizando las herramientas en la cuenta GitHub de Cato. Cada enfoque ofrece ventajas diferentes dependiendo de sus objetivos y entorno.