La integración de Splunk permite a Cato enviar datos directamente a Splunk usando un conector nativo y soporta dos fuentes de datos:
- Eventos - Generados cuando ocurre una actividad específica en la red o el sistema, como cuando se coincide con una regla de política o se detecta una amenaza. Estos registros proporcionan información discreta en tiempo real sobre la seguridad y la política de aplicación. Los datos se envían utilizando el esquema de eventos de Cato.
-
Flujos - Se originan como flujos de red (5-tuple) y se enriquecen con información a nivel de aplicación a medida que está disponible a través de los distintos motores de Cato. Además del contexto de aplicación y usuario, los flujos incluyen datos de sesión agregados como bytes, paquetes y duración, proporcionando una vista completa de la actividad de red a lo largo del tiempo. El superconjunto de campos de flujo está representado por el esquema appStats.
Algunos campos están disponibles solo para flujos transmitidos a través de la integración nativa y no son parte de appStats o Analítica de Aplicaciones. Por ejemplo, flow_id y métricas agregadas como paquetes y bytes ascendentes y descendentes, y duración del flujo. Estos campos están marcados con el siguiente comentario:
Solo disponible para la integración de datos de flujos nativos creados en el CMA.
Nota: El campo de datos sin procesar que contiene la información del incidente para los eventos de XOps (tipo de evento detección y respuesta) puede truncarse cuando se envían a Splunk si su campo de datos sin procesar (que incluye información de la historia) excede los 5 MB de tamaño (esto es el predeterminado de Splunk, pero puede aumentarse).
Una empresa está utilizando Splunk para la monitorización de seguridad centralizada y respuesta. Como clientes de Cato, tienen datos útiles de características clave como actividad de red, amenazas, datos de usuarios, dispositivos y otros aspectos del tráfico que atraviesan la plataforma Cato. Pueden utilizar esta integración para enviar estos datos directamente a Splunk, donde pueden integrarlos fácilmente en los flujos de trabajo existentes para los equipos SOC y NOC.
Un analista de seguridad en Splunk identifica un evento sospechoso donde un usuario accede a una aplicación de alto riesgo que puede estar asociada con la exfiltración de datos. Usando solo eventos de Cato, el analista puede ver la decisión de política, identidad del usuario y aplicación. Sin embargo, el evento no muestra cuántos datos fueron transferidos o cuánto duró la sesión.
Con datos de flujo de tráfico agregados correlacionados con el evento usando el campo flow_id, el analista puede ver el contexto completo de la sesión, incluyendo bytes totales transferidos, conteo de paquetes y duración de la sesión. Esto permite al analista determinar si la actividad involucró interacción mínima o una gran transferencia de datos que puede indicar exfiltración.
Combinando eventos y datos de flujo, el analista puede validar rápidamente la gravedad del incidente y tomar la acción apropiada.
- Para agregar un conector, debe tener permiso de editor para Integraciones (en la sección de Recursos). Para más información, consulte Gestión de Roles de Administrador Usando RBAC.
- Revise los requisitos previos para todas las integraciones de eventos de Cato en Comenzando con las Integraciones de Eventos
Después de crear un token HEC en Splunk, define una integración en el CMA. Puede usar los filtros para limitar qué datos de eventos desea incluir en la integración. Después de que se crea la integración, los datos fluyen hacia Splunk en el Índice que especificaste.
En el proceso de configuración, puede configurar si integrar Eventos, Flujos o ambos. Por defecto, solo Eventos está configurado. La fuente de datos Flujo puede generar un volumen de datos significativamente mayor en comparación con los eventos. El volumen exacto depende de su tráfico. El CMA admite la configuración de múltiples integraciones, permitiendo enviar diferentes fuentes de datos según sea necesario.
La URL y puerto de Splunk son el endpoint HEC para acceder a tu cuenta. En general, esta es la URL web que utilizas para acceder a Splunk con los caracteres "http-inputs-" añadidos al inicio. Por ejemplo, si tu cuenta es http://mydomain.splunk.com, usarías https://http-inputs-mydomain.splunkcloud.com/. Para más detalles, consulte la documentación de Splunk. El puerto es opcional, y usamos 443 si no especificas otra cosa (que es el predeterminado para Splunk Cloud).
Eliminar la integración en el CMA no elimina los recursos creados en Splunk.
Nota:
-
Para las integraciones de Splunk Enterprise (autogestionadas):
- El endpoint del Splunk HEC debe ser accesible por Internet (es decir, expuesto a través de una IP pública o un nombre de DNS público). IPs privadas o puntos de conexión internos no son soportados.
- La inspección TLS debe estar habilitada, y el endpoint debe presentar un certificado X.509 válido emitido por una Autoridad Certificadora pública de confianza. Certificados auto-firmados o certificados CA emitidos privadamente no son soportados, ya que las conexiones se validan solo utilizando cadenas de confianza estándar de CA.
Para crear la integración con Splunk:
- En su cuenta de Splunk, cree un token nuevo para usar en esta integración. Para más detalles, consulte la documentación de Splunk. Puede definir un Índice personalizado o usar el Índice predeterminado para el token.
- Copie el valor del token que se muestra. Necesitará esto para configurar la integración con Cato.
- Desde el menú de navegación, haga clic en Recursos > Integraciones.
- En la pestaña Aplicaciones Integradas, haga clic en Nuevo. Se abre el panel de Nueva Integración.
-
Seleccione Splunk y configure los siguientes campos:
- En el menú desplegable de Auth, seleccione Clave API.
- Un Nombre del Conector y Descripción (opcional) para esta integración.
- La URL de Ingestión y Clave API que creó en Splunk.
- Especifica el Índice que recibirá los datos de Cato. Si dejas esto en blanco, usaremos el Índice predeterminado definido en el token HEC.
- Si integrar Eventos, Flujos, o ambos.
-
Un filtro para limitar qué eventos de Cato se envían a Splunk.
Nota: Los filtros solo se aplican a los datos de eventos.
- Especifica si deseas crear un evento si ocurren errores con la integración.
- Haz clic en Guardar.
- En el CMA, después de actualizar la página de Integraciones, puedes ver el estado de la integración en la pestaña Aplicaciones Integradas.
Además de la integración llave en mano nativa descrita en este artículo, también puedes integrar los eventos de Cato con Splunk utilizando las herramientas en la cuenta de GitHub de Cato. Cada enfoque ofrece ventajas diferentes dependiendo de tus objetivos y entorno. También puedes usar ambas integraciones si es necesario.
La integración nativa de Cato ofrece una solución escalable y soportable con configuración mínima. Los beneficios de la integración nativa incluyen:
- La capacidad para manejar volúmenes grandes de eventos de manera eficiente sin limitaciones basadas en API
- Totalmente mantenida y soportada por Cato
La integración GitHub proporciona flexibilidad para casos de uso avanzados donde se necesitan fuentes de datos personalizadas o lógica de procesamiento. Podrías querer utilizar esta integración en las siguientes situaciones:
- Deseas enviar datos desde el Registro de Auditoría de Cato a Splunk
- Deseas usar nuestro GitHub como un recurso de código abierto para personalizar la integración
0 comentarios
Inicie sesión para dejar un comentario.