Configurando el Complemento de Tecnología Cato para la Integración con Splunk (EA)

Nota

Nota: Esta es una función de Disponibilidad Temprana (EA) que solo está disponible para lanzamiento limitado. Para obtener más información sobre cómo habilitar la función, contacte a su representante de Cato Networks o envíe un correo electrónico a ea@catonetworks.com.

Resumen

Cato le permite transmitir eventos y flujos directamente a Splunk y normalizar los datos al Modelo de Información Común de Splunk (CIM) con el Complemento de Tecnología Cato (TA), para que pueda utilizar inmediatamente búsquedas estándar de Splunk, paneles y contenido de detección sin construir análisis personalizados. El Complemento de Tecnología Cato (TA) es una aplicación de Splunk que mapea la telemetría de Cato a campos compatibles con CIM para su uso con análisis de Splunk, paneles y detecciones.

Con datos normalizados en CIM, su telemetría es inmediatamente utilizable en todo el ecosistema de Splunk, incluyendo Splunk Enterprise Security (ES). Puede utilizar paneles predefinidos, búsquedas de correlación y contenido de detección sin personalización adicional, reducir la sobrecarga operativa y acelerar los flujos de trabajo de investigación para la red, seguridad y actividad del usuario.

Requisitos Previos

Requerido:

  • Complemento del Modelo de Información Común de Splunk (CIM)

Opcional:

  • Seguridad Empresarial de Splunk (ES)

Comprensión de la Integración de Splunk Cato

La integración Cato Splunk con el TA admite las siguientes fuentes de datos:

  • Eventos - Eventos generados por la plataforma Cato, incluyendo Firewall de Internet y WAN, Prevención de Amenazas, autenticación, sistema y cambios de conectividad

  • Flujos - Telemetría de flujo de red enriquecida con contexto de aplicación y métricas agregadas

Puede ingerir los datos en uno de estos formatos:

  • Esquema nativo de Cato

  • Modelo de Información Común de Splunk (CIM) usando el TA de Cato

La opción basada en CIM le permite utilizar rápidamente análisis nativos de Splunk y contenido de seguridad.

Para más información, consulte Mapeo de Campos de Eventos de Cato a Splunk CIM (EA).

Beneficios de Usar CIM y Seguridad Empresarial de Splunk

Usar datos normalizados en CIM con el Complemento de Tecnología Cato proporciona estos beneficios:

  • Utilice modelos de datos estandarizados de Splunk para un análisis consistente a través de los entornos

  • Ejecute búsquedas de correlación y detecciones predefinidas en Splunk ES

  • Habilite paneles preconfigurados para red, seguridad y actividad de usuario

  • Reduzca la necesidad de extracción de campo personalizada y normalización

  • Acelere la incorporación al SOC y los flujos de trabajo de investigación

Cuando utiliza Splunk Enterprise Security (ES):

  • Los datos mapeados en CIM llenan automáticamente los modelos de datos de ES

  • Las búsquedas de correlación predefinidas generan eventos notables

  • Los paneles de control de seguridad proporcionan visibilidad inmediata de las amenazas y actividad

  • Los paquetes de contenido como ESCU funcionan sin personalización adicional

Acerca del Complemento de Tecnología Cato

El Complemento de Tecnología Cato (TA) normaliza la telemetría de Cato en campos compatibles con CIM. Detalles de la aplicación:

  • Nombre de la Aplicación: Complemento CIM de Redes Cato para Splunk

  • App ID: TA-catonetworks-cim

  • Autor: Cato Networks

Modelos de Datos CIM Soportados

El Complemento de Tecnología Cato mapea la telemetría a estos modelos de datos CIM de Splunk:

  • Tráfico de Red

  • Detección de Intrusiones

  • Resolución de Red (DNS)

  • Web

  • Autenticación

  • Malware

  • Cambio (Gestión de Cuentas)

Implementar el TA de Cato

Configure la integración y despliegue el Complemento de Tecnología para normalizar los datos.

Para configurar la integración con el Complemento de Tecnología Cato:

  1. Desde el menú de navegación, seleccione Recursos > Integraciones.

  2. Configure la integración de Splunk para transmitir datos a su entorno Splunk.

  3. Seleccione las fuentes de datos:

    • Eventos

    • Flujos

  4. En su entorno Splunk, busque Complemento CIM de Cato Networks para Splunk e instálelo.

  5. (Opcional) Habilite Seguridad Empresarial de Splunk para análisis avanzados y detecciones.

Configuración Recomendada

Para la mejor visibilidad en Splunk, recomendamos que habilite tanto Eventos como Flujos para la integración. Esto proporciona una cobertura más amplia de la telemetría y le permite correlacionar eventos de seguridad discretos con el contexto de tráfico relacionado. Puede habilitar solo una fuente de datos si es necesario, y se admite el filtrado de eventos. Sin embargo, la visibilidad y correlación completas requieren eventos y flujos.

Correlacionar Eventos y Flujos

Los Eventos y Flujos comparten el campo ID de Flujo, lo que le permite correlacionar eventos de seguridad con el tráfico de red relacionado. Esto le ayuda a investigar incidentes con contexto de tráfico adicional y mejora el análisis a través de la red, seguridad y actividad del usuario.

Recursos Relacionados

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios