Cato proporciona visibilidad a nivel de flujo para el tráfico que es inspeccionado y procesado por el Cato Cloud. Los datos de flujo te ayudan a investigar el comportamiento del tráfico, comprender las decisiones de política, analizar el uso de aplicaciones y revisar las decisiones de enrutamiento a través de tu entorno.
Los datos de flujo de Cato ayudan a los administradores a realizar muchas de las mismas tareas que NetFlow, IPFIX y sFlow, como la monitorización de tráfico, resolución de problemas, informes y análisis forense. Sin embargo, los datos de flujo de Cato se enriquecen con el contexto de la arquitectura de paso único, que incluye información a nivel de aplicación, usuario, sitio, política y seguridad.
Puedes trabajar con datos de flujo en tiempo real o exportarlos y consultarlos para flujos de trabajo externos:
-
Utiliza la Aplicación de Gestión de Cato (CMA) para análisis nativo basado en objetos y entidades de Cato.
-
Empuja datos a integraciones llave en mano, SIEMs de terceros o almacenamiento en la nube
-
Análisis estructurado de flujos basado en tus herramientas y flujos de trabajo existentes
-
-
Utiliza la API GraphQL de Cato para consultar datos para flujos de trabajo personalizados. Esto te ayuda a construir paneles, automatizar investigaciones y recuperar datos de manera programática
Un flujo representa una sesión de tráfico procesada por un PoP en el Cato Cloud. Cato genera datos de flujo para el tráfico evaluado por servicios de Cato, múltiples motores de seguridad y redes que analizan y procesan los flujos de tráfico simultáneamente.
Cada registro de flujo incluye el contexto necesario para entender cómo Cato procesó el tráfico. Esto ayuda a los administradores a investigar flujos por objetos y entidades de Cato, tales como aplicaciones, sitios, usuarios, reglas de firewall y reglas de red. Este enfoque te permite analizar el tráfico utilizando objetos y entidades de Cato en lugar de depender únicamente de metadatos básicos de red. Por ejemplo, los administradores pueden investigar flujos por aplicación, sitio, usuario, regla de firewall o regla de red.
Cato no requiere coleccionistas separados de NetFlow, IPFIX o sFlow en cada sucursal. El Cato Cloud procesa el tráfico en línea y genera datos de flujo enriquecidos desde el mismo canal de inspección que aplica decisiones de política de red, acceso remoto y seguridad. Esto da a los administradores visibilidad centralizada a través de sitios, usuarios, aplicaciones y políticas a través de la CMA, integraciones compatibles y la API de Cato.
La CMA proporciona análisis nativo de datos de flujo de Cato utilizando los mismos objetos y entidades de Cato que configuras y monitoreas en la CMA. Esto te ayuda a investigar el tráfico en su contexto nativo, incluyendo sitios, usuarios, aplicaciones, reglas de firewall y reglas de red.
Usa las páginas relevantes de la CMA, como eventos y Análisis de Aplicaciones, para investigar el tráfico y profundizar en detalles a nivel de flujo.
La CMA proporciona integraciones llave en mano para plataformas compatibiles, como la aplicación de Cato para Splunk. Esta integración te permite analizar los datos de flujo y eventos de Cato en Splunk utilizando campos estructurados de Cato y paneles. Esto ayuda a los equipos de seguridad y red a correlacionar los datos de Cato con otros datos de telemetría en su entorno de Splunk.
Cato admite métodos adicionales para enviar o recuperar datos relacionados con flujos para sistemas externos. Los datos, campos y comportamientos disponibles pueden variar dependiendo del método de integración.
Cato puede enviar datos relacionados con eventos y flujos a sistemas externos. Use esta opción cuando necesites ingerir datos de Cato en un SIEM, almacenar datos para cumplimiento o retención, o correlacionar datos de Cato con otras fuentes de telemetría.
Integraciones SIEM te permiten ingerir datos de Cato en plataformas de análisis de seguridad de terceros. Estas integraciones ayudan a los equipos de seguridad a analizar eventos de Cato y datos relacionados con flujos junto con otras telemetrías de seguridad.
Para más información, ver la documentación de integración SIEM relevante.
Cato puede enviar datos al almacenamiento en la nube para su ingestión por herramientas externas o para flujos de trabajo de retención. Los destinos de almacenamiento en la nube soportados incluyen:
Las herramientas externas pueden entonces recuperar los datos del destino de almacenamiento en la nube para análisis, informes, o flujos de trabajo de archivo.
Puedes usar la API GraphQL de Cato para consultar datos para paneles personalizados, automatización, informes e investigaciones. Esta opción es útil cuando necesitas acceso programático a los datos de Cato para flujos de trabajo que no están cubiertos por páginas nativas o integraciones compatibles.
Para más información, ver ¿Qué es la API de Cato.
0 comentarios
Inicie sesión para dejar un comentario.