Este artículo explica cómo configurar la integración de CrowdStrike para enviar eventos de Cato.
Nota
Nota: Habilitar el conector en la Aplicación de Gestión de Cato te permite usar el conector genérico HEC/HTTP con CrowdStrike, pero los campos específicos del proveedor (Proveedor, Producto del Proveedor) y el análisis del esquema de CrowdStrike no son soportados. Actualmente, los campos específicos del proveedor y el analizador opcional de CrowdStrike están en Beta. Para obtener más información y habilitar estas funciones, contacta a tu representante de CrowdStrike.
La integración Next-Gen SIEM de CrowdStrike permite a Cato enviar eventos directamente a CrowdStrike utilizando un conector nativo. Puedes transmitir eventos normalizados de Cato, completos con un contexto enriquecido sobre la actividad de la red, amenazas, usuarios, dispositivos y todos los demás aspectos del tráfico que atraviesa la plataforma de Cato directamente en Falcon Next Gen. Esto permite a los analistas investigar y cazar con el contexto completo de la red sin salir de Falcon.
Para configurar la integración de CrowdStrike, necesitas:
-
Configurar la integración dentro de la aplicación SaaS
-
Crear el conector de API en la Aplicación de Gestión de Cato (CMA)
Una empresa está utilizando CrowdStrike para la monitorización y respuesta de seguridad centralizada. Como clientes de Cato, tienen datos útiles de características clave como actividad de red, amenazas, datos de usuarios, dispositivos y todos los otros aspectos del tráfico que atraviesan la plataforma de Cato. Pueden usar esta integración para enviar estos datos directamente a CrowdStrike, donde pueden integrarlos fácilmente en los flujos de trabajo existentes para los equipos de SOC y NOC.
-
Suscripción a Falcon Next-Gen SIEM o Falcon Next-Gen SIEM 10GB.
-
Para campos específicos del proveedor y el analizador opcional de CrowdStrike, la función Beta necesita estar habilitada en CrowdStrike. Para obtener más información y habilitar estas funciones, contacta a tu representante de CrowdStrike.
-
Para agregar un conector, debes tener permiso de editor para Integraciones (en la sección de Recursos). Para más información, consulta Gestión de Roles de Administrador Usando RBAC.
-
Por favor, revisa los requisitos previos para todas las integraciones de eventos de Cato en Cómo empezar con las Integraciones de Eventos
Para configurar la integración de CrowdStrike, crea una conexión de Datos.
En la consola de Falcon, crea una conexión de datos e identifica el XXXXX
Para configurar la integración de CrowdStrike:
-
En tu consola Falcon CrowdStrike, ve a Conectores de datos > Conectores de datos > Conexiones de datos.
-
Haz clic en Agregar conexión.
-
En el filtro de Producto, aplica un filtro para HEC y en el filtro de Tipo de conector, aplica un filtro para Enviar.
-
Haz clic en el Conector de Evento HEC/HTTP y haz clic en Configurar.
-
Agrega un nombre para la conexión y agrega los siguientes detalles (sólo soportados si están habilitados en CrowdStrike, para más información, consulta los Requisitos Previos):
-
Proveedor: CatoNetworks
-
ProductoProveedor: CatoNetworksSASECloud
-
(Opcional) Analizadores: cato-sase
-
-
Confirma los Términos y Condiciones y haz clic en Crear conexión.
-
Una vez que la conexión está creada, haz clic en los tres puntos y selecciona Generar clave API seguido de Regenerar clave API.
-
Copia y guarda la clave API y la URL API para que puedan ingresarse en la CMA.
Después de haber configurado una integración con la aplicación requerida, agrega los detalles en la CMA.
Para crear el conector de API en la CMA:
-
Desde el menú de navegación, haz clic en Recursos > Integraciones.
-
Haz clic en la pestaña Integraciones Configuradas.
-
Haz clic en Nuevo.
Se abre el panel de Nueva Integración.
-
Selecciona el CrowdStrike Falcon NG-SIEM.
-
Agrega los detalles creados durante el paso uno.
-
Haz clic en Guardar.
-
La aplicación es visible en la tabla de Aplicaciones Integradas con un estado de Conectado.
0 comentarios
El artículo está cerrado para comentarios.