Integrando Datos de Cato con Splunk

Visión general

Utiliza la integración de Splunk para incluir datos de red y seguridad de Cato en tus flujos de trabajo existentes de monitorización, correlación e investigación. La integración nativa envía datos directamente desde Cato a Splunk, permitiéndote analizar la actividad de Cato junto con datos de otras fuentes en una plataforma centralizada. Esto te ayuda a crear paneles de control, búsquedas, alertas e informes sin requerir mecanismos adicionales de recolección de datos.

Cato también ofrece una integración personalizada de GitHub desde el repositorio de GitHub de Cato. Para más detalles, consulta la sección Elegiendo entre los Métodos de Integración Nativa Turnkey y GitHub Personalizado, abajo.

Fuentes de Datos de Splunk 

La integración de Splunk admite dos fuentes de datos:

  • Eventos - Generados cuando ocurre una actividad específica en la red o el sistema, como cuando se cumple una regla de política o se detecta una amenaza. Estos registros proporcionan información discreta en tiempo real sobre la seguridad y la política de aplicación. Los datos se envían utilizando el esquema de eventos de Cato.

  • Flujos - Se originan como flujos de red (5-tuple) y se enriquecen con información a nivel de aplicación a medida que están disponibles desde los motores de Cato. Además del contexto de aplicación y usuario, los flujos incluyen datos de sesión agregados como bytes, paquetes y duración, proporcionando una vista completa de la actividad de red a lo largo del tiempo. El superconjunto de campos de flujo está representado por el esquema appStats.

    Algunos campos están disponibles solo para flujos transmitidos a través de la integración nativa y no son parte de appStats o Analítica de Aplicaciones. Por ejemplo, flow_id y métricas agregadas como paquetes y bytes ascendentes y descendentes, y duración del flujo. Estos campos están marcados con el siguiente comentario:

    Solo disponible para la integración de datos de flujos nativos creados en el CMA.

Por defecto, las nuevas integraciones exportan solo Eventos. La fuente de datos Flujos puede generar un volumen significativamente mayor de datos en comparación con los eventos. El volumen exacto depende de su tráfico. El CMA admite la configuración de múltiples integraciones, permitiendo enviar diferentes fuentes de datos según sea necesario. El filtrado es compatible solo para Eventos.

Casos de Uso

Eventos

Sample Company usa Splunk para monitorización y respuesta centralizada de seguridad. Como cliente de Cato, tienen datos útiles de funciones clave, como la actividad de red, amenazas, datos de usuarios, dispositivos y todos los demás aspectos del tráfico que atraviesa la plataforma de Cato. Pueden utilizar esta integración para enviar estos datos directamente a Splunk, donde pueden integrarlos fácilmente en los flujos de trabajo existentes para los equipos SOC y NOC.

Flujos

Un analista de seguridad en Splunk identifica un evento sospechoso donde un usuario accede a una aplicación de alto riesgo que puede estar asociada con la exfiltración de datos. Usando solo eventos de Cato, el analista puede ver la decisión de política, identidad del usuario y aplicación. Sin embargo, el evento no muestra cuántos datos fueron transferidos o cuánto duró la sesión.

Con datos de flujo de tráfico agregados correlacionados con el evento usando el campo flow_id, el analista puede ver el contexto completo de la sesión, incluyendo bytes totales transferidos, conteo de paquetes y duración de la sesión. Esto permite al analista determinar si la actividad involucró interacción mínima o una gran transferencia de datos que puede indicar exfiltración.

Combinando eventos y datos de flujo, el analista puede validar rápidamente la gravedad del incidente y tomar la acción apropiada.

Requisitos Previos

  • Para agregar un conector, debe tener permiso de editor para Integraciones (en la sección de Recursos). Para más información, consulte Gestión de Roles de Administrador Usando RBAC.
  • La URL y el puerto de Splunk son el punto final de HEC para acceder a tu cuenta. En general, esta es la URL web que usas para acceder a Splunk con los caracteres "http-inputs-" añadidos al principio. Por ejemplo, si tu cuenta es http://mydomain.splunk.com, usarías https://http-inputs-mydomain.splunkcloud.com/. Para más detalles, consulta la documentación de Splunk. El puerto es opcional, y usamos 443 si no especificas nada más (que es el valor predeterminado para Splunk Cloud).
  • Revisa los requisitos previos para todas las integraciones de eventos de Cato en Comenzando con las Integraciones de Eventos.

Creación de la Integración de Splunk

Agrega una integración de Splunk para enviar eventos y flujos de Cato a un punto de conexión del Colector de Eventos HTTP (HEC) de Splunk. Para configurar la integración, crea un token HEC en Splunk, crea una nueva integración Splunk en el CMA e introduce la URL de ingestión y la clave API.

En el proceso de configuración, puedes configurar si integrar Eventos, Flujos, o ambos. El predeterminado es exportar solo Eventos. La fuente de datos Flujo puede generar un volumen de datos significativamente mayor en comparación con los eventos. El volumen exacto depende de tu tráfico. El CMA admite la configuración de múltiples integraciones, permitiéndote enviar diferentes fuentes de datos según lo necesites.

Nota:

  • Para las integraciones de Splunk Enterprise (autogestionadas):

    • El punto de conexión HEC de Splunk debe ser accesible a través de Internet (es decir, expuesto a través de una dirección IP pública o un nombre DNS público). IPs privadas o puntos de conexión internos no son soportados.
    • La inspección TLS debe estar habilitada, y el endpoint debe presentar un certificado X.509 válido emitido por una Autoridad Certificadora pública de confianza. Certificados auto-firmados o certificados CA emitidos privadamente no son soportados, ya que las conexiones se validan solo utilizando cadenas de confianza estándar de CA.
  • Eliminar la integración en el CMA no elimina los recursos creados en Splunk.

Filtros

Utiliza filtros para controlar qué eventos de Cato se exportan a Splunk. Esto ayuda a reducir los costos de ingestión, minimizar el ruido y enfocar las investigaciones en los eventos que son más relevantes para sitios, usuarios o regiones específicas. También puedes usar filtros para enrutar diferentes subconjuntos de eventos a diferentes entornos SIEM.

Utiliza grupos de filtros para definir filtros basados en cualquier Campo de Evento o combinación de campos. Las condiciones dentro de cada grupo usan la lógica AND. La lógica OR se aplica entre grupos. Los filtros en la captura de pantalla configuran la integración para exportar:

  • Eventos que se originan desde París o Madrid, son de sub-tipo Cortafuegos de Internet, y resultaron en acciones distintas de Monitorear o Solicitar.
  • Nombre de usuario contiene Prueba

Para crear la integración con Splunk:

  1. En su cuenta de Splunk, cree un token nuevo para usar en esta integración. Para más detalles, consulte la documentación de Splunk. Puede definir un Índice personalizado o usar el Índice predeterminado para el token.
  2. Copie el valor del token que se muestra. Lo necesitas para configurar la integración con Cato.
  3. Desde el menú de navegación, selecciona Recursos > Integraciones.
  4. En la pestaña Integraciones Configuradas, haz clic en Nuevo. Se abre el panel de Nueva Integración.

  5. Seleccione Splunk y configure los siguientes campos:

    1. En el desplegable de Autenticación, selecciona Clave API.
    2. Introduce un Nombre del Conector y una Descripción opcional para esta integración.
    3. Introduce la URL de Ingestión y la Clave API que creaste en Splunk.
    4. Especifica el Índice que recibe los datos de Cato. Si dejas esto en blanco, Cato usa el Índice predeterminado definido en el token HEC.
    5. Si integrar Eventos, Flujos, o ambos.
    6. Opcional: Agrega filtros para controlar qué eventos de Cato se envían a Splunk.
      Nota: Los filtros solo se aplican a los datos de eventos.
    7. Especifica si deseas crear un evento cuando ocurran errores de integración.
  6. Haz clic en Guardar.
  7. En el CMA, actualiza la página de Integraciones. El estado de la integración aparece en la pestaña de Aplicaciones Integradas.

Elegir entre los Métodos de Integración Personalizada y Llave en Mano Nativa de GitHub

Además de la integración llave en mano nativa descrita en este artículo, también puedes integrar los eventos de Cato con Splunk utilizando las herramientas en la cuenta de GitHub de Cato. Cada enfoque ofrece ventajas diferentes dependiendo de tus objetivos y entorno. También puedes usar ambas integraciones si es necesario.

Cuándo usar la Integración Nativa

La integración nativa de Cato ofrece una solución escalable y soportable con configuración mínima. Los beneficios de la integración nativa incluyen:

  • Gestiona grandes volúmenes de eventos de manera eficiente sin limitaciones basadas en API
  • Es completamente mantenido y soportado por Cato
  • Admite filtros para ajustar los datos enviados a Splunk

Cuándo usar la Integración de GitHub

La integración GitHub proporciona flexibilidad para casos de uso avanzados donde se necesitan fuentes de datos personalizadas o lógica de procesamiento. Podrías querer utilizar esta integración en las siguientes situaciones:

  • Deseas enviar datos desde el Registro de Auditoría de Cato a Splunk
  • Quieres usar el repositorio de GitHub de Cato como recurso de código abierto para personalizar la integración

Limitaciones conocidas

  • Limitación de eventos grandes: La información de incidentes puede ser truncada al enviarse a Splunk si el campo raw_data (que incluye la información de la historia) supera los 5 MB de tamaño (este es el valor predeterminado de Splunk, pero puede aumentarse).

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios