Usa la integración de Microsoft Sentinel para incluir los datos de eventos de Cato en tus flujos de trabajo de monitorización, correlación e investigación existentes. La integración nativa envía eventos directamente desde Cato a Sentinel y los asigna automáticamente al modelo de datos de Sentinel, por lo que los paneles de control, reglas de análisis, alertas y otras funcionalidades de Sentinel pueden procesar datos de eventos de Cato sin necesidad de análisis o normalización adicionales.
La integración utiliza el conector estándar de Microsoft Cato Tenant para autenticación y transporte a través de las integraciones de Microsoft Cato. El conector compartido proporciona un flujo de trabajo de configuración consistente y un control de acceso centralizado para integraciones como ID de Entra y las APIs de datos y aplicaciones.
Una empresa está usando Microsoft Sentinel para monitorización y respuesta de seguridad centralizados. Como clientes de Cato, tienen datos útiles de características de seguridad clave como IPS. Pueden usar esta integración para enviar tipos de eventos IPS de alta gravedad directamente a Sentinel, donde pueden integrarse fácilmente en los flujos de trabajo existentes para el equipo de SoC.
-
Una integración MS Tenant en la pestaña Integraciones Activas en la CMA (Recursos > Integraciones)
Esto es una integración principal para aplicaciones de Microsoft
- Un espacio de trabajo de Log Analytics existente en Sentinel donde los eventos de Cato serán almacenados
- Para agregar un conector, debe tener permiso de editor para Integraciones (en la Recursos sección). Para más información, consulte Gestión de Roles de Administrador Usando RBAC.
- Revisa los prerrequisitos para todas las integraciones de eventos de Cato en Comenzando con Integraciones de Eventos.
El Tenant MS actúa como un conector principal para la mayoría de las Aplicaciones de Microsoft. Al agregar una integración con una aplicación de Microsoft, el primer paso para configurar la integración es crear el conector principal. Solo necesita configurar este conector una vez, y luego puede ser utilizado para todas las aplicaciones de Microsoft.
Para crear la integración de MS Tenant:
- Desde el menú de navegación, selecciona Recursos > Integraciones y haz clic en la pestaña Integraciones Activas.
- Haga clic en Nuevo. Se abre el panel Nuevo Conector.
-
En el panel Nuevo Conector, seleccione la aplicación MS Tenant (Configurar un nuevo Tenant MS).
- Ingrese el Nombre del Conector.
-
Haga clic en Autorizar y Guardar.
Se abre una nueva pestaña del navegador hacia la aplicación Microsoft 365.
- En la nueva pestaña del navegador, autentique la aplicación de Microsoft 365:
-
Seleccione la cuenta de Microsoft para la aplicación Microsoft 365.
De lo contrario, puede haber un error de autenticación de Microsoft.
- Ingrese la contraseña para la aplicación y apruébela.
- Aceptar los permisos para permitir que Cato acceda a la aplicación de Microsoft 365.
-
La pantalla muestra que ha aplicado correctamente los permisos para la aplicación.
Puede cerrar la pestaña del navegador y regresar a la Aplicación de Gestión de Cato.
-
- La aplicación SaaS de Microsoft 365 se agrega a la pestaña Aplicaciones Integradas.
Defina la integración de Sentinel en el CMA especificando el Tenant de Microsoft objetivo, Espacio de Trabajo y tabla, así como definiendo qué eventos desea incluir en la integración utilizando filtros. Después, guarda la integración de Sentinel, necesita autenticar al Tenant de Microsoft y permitir que Cato envíe datos a su cuenta de Sentinel.
Después de crear la integración en el CMA, tienes 10 minutos para completar el proceso en Microsoft por razones de seguridad. Si el proceso no se completa en este período de tiempo, necesitará eliminar la integración en el CMA y comenzar de nuevo.
Después de que la integración esté creada, los datos fluyen hacia Microsoft en la tabla que especificó arriba. Cato agrega las letras "_CL" al nombre de la tabla para ayudarle a distinguirla de las tablas integradas en Microsoft.
Eliminar la integración en el CMA no elimina ningún recurso creado en Microsoft.
Nota: Si el acceso al servicio de terceros está limitado a direcciones IP específicas, consulte este artículo para obtener la lista de direcciones IP de Cato que necesita permitir (debe haber iniciado sesión para ver este artículo).
Para crear la integración de Sentinel:
- Desde el menú de navegación, haga clic en Recursos > Integraciones.
- En la pestaña Integraciones Activas, haz clic en Nuevo. Se abre el panel Nueva Integración.
-
Seleccione Microsoft Sentinel y configure los siguientes campos:
- Ingrese un Nombre para esta integración.
- Seleccione el nombre de la integración de MS Tenant en el campo Inquilino del Conector.
- Ingrese su Nombre del Espacio de Trabajo de Log Analytics existente que recibe los datos en Microsoft Log Analytics.
- Ingrese un nuevo Nombre de la Tabla de Análisis de Registro para almacenar los datos en el Espacio de Trabajo de Log Analytics con este nombre.
- Defina cuántos días desea que Microsoft retenga los datos de Cato en el campo Días de Retención de Tabla.
- Agregue un filtro para enviar solo algunos eventos de Cato a Microsoft Sentinel.
- Haga clic en Guardar para implementar la integración a Microsoft. Ahora tiene diez minutos para completar la configuración en Microsoft.
-
Se abre una pestaña del navegador y lo dirige a autorizar la creación de la integración en Microsoft.
Nota: Debe autorizar la integración con el mismo inquilino con el que se creó el conector maestro en la integración de MS Tenant mencionada arriba y tener un usuario con permisos para crear recursos en ese inquilino.
-
En el portal de Microsoft, seleccione el grupo de recursos y la región que contiene el espacio de trabajo de Log Analytics objetivo y presione Revisar + Crear.
- Haga clic en Crear para iniciar el despliegue.
- Cuando la implementación esté completa, puede cerrar la ventana de Microsoft.
-
En el CMA, después de refrescar la página de Integraciones, puede ver el estado de la integración en la pestaña Aplicaciones Integradas.
Además de la integración turnkey nativa descrita en este artículo, también puede integrar eventos de Cato con Microsoft Sentinel utilizando las herramientas en la cuenta GitHub de Cato. Cada enfoque ofrece ventajas diferentes dependiendo de sus objetivos y entorno.
La integración nativa de Cato ofrece una solución escalable y soportable con mínima configuración. Los beneficios de la integración nativa incluyen:
- La capacidad de manejar grandes volúmenes de eventos eficientemente sin limitaciones basadas en API
- Completamente mantenido y soportado por Cato
- Mapea automáticamente el esquema entre Cato y Microsoft Sentinel
La integración de GitHub proporciona flexibilidad para casos avanzados de uso donde se necesitan fuentes de datos personalizadas o lógica de procesamiento. Podría querer usar esta integración en las siguientes situaciones:
- La integración de Cato no admite el tipo de datos que desea ingerir
- Desea personalizar el esquema o los datos del feed de eventos
- Limitación de eventos grandes: Algunos eventos XOps pueden incluir información extensa de historias en el campo raw_data, lo que puede hacer que el evento exceda los límites de tamaño de ingestión de Microsoft Sentinel (aproximadamente 1 MB). Cuando esto ocurre, Cato aún reenvía el evento a Sentinel pero omite el campo raw_data para mantener la compatibilidad con los requisitos de ingestión de Sentinel.
0 comentarios
Inicie sesión para dejar un comentario.