Cet article traite des détails du taux de génération d'événements et de la rétention des données pour le lac de données Cato et votre compte.
Le lac de données Cato contient les données enregistrées par les différents services de la plateforme Cato, tels que la mise en réseau, la sécurité, l'accès, etc. Les données telles que les informations sur les événements sont ajoutées au lac de données en temps réel et conservées pendant une période spécifique, définie par le contrat du client. Cato utilise des unités de lac de données pour définir la rétention des données clients selon :
-
Taux d'événements horaire (actuellement en unités de 2,5 millions d'événements par heure)
-
Temps de rétention (ex. 3 mois, 6 mois, etc..)
Les données qui dépassent les termes de l'unité de lac de données sont supprimées. Par exemple, s'il y a plus de 2,5 millions d'événements en une heure ou des données datant de plus de 3 mois.
Dans le cadre de la plateforme Cato, les comptes reçoivent une seule unité de lac de données qui inclut une limite de taux d'événements de 2,5 millions d'événements par heure et une période de rétention de 3 mois. Les clients peuvent choisir d'acheter des unités de lac de données supplémentaires pour augmenter le taux d'événements horaire et/ou prolonger le temps de rétention des événements.
Les clients peuvent également utiliser différentes intégrations pour transférer leurs données vers un stockage en nuage externe et des SIEM sans frais supplémentaires.
Cette information dans cet article s'applique aux comptes Cato à partir du 1er janvier 2024(*).
Les événements sont conservés en temps réel et peuvent être suivis dans l'application de gestion Cato (CMA) sur la page des événements (Accueil > Événements).
-
Cato conserve un ensemble de base d'événements de sécurité et de connectivité clés pour chaque client
-
Les clients peuvent sélectionner, dans les politiques, des événements supplémentaires à générer et à conserver
-
Les licences clients définissent la limite de taux horaire pour le nombre maximum d'événements qui sont générés et conservés
-
Les événements dépassant ce nombre sont supprimés pour le reste de l'heure
-
Pour plus d'informations sur l'optimisation des événements générés, voir Meilleures pratiques pour le stockage et l'ingestion des journaux d'événements Cato
Le lac de données est soumis à une limitation du taux basée sur le nombre d'événements générés par heure.
Le nombre d'événements générés pour votre compte dans la dernière heure est suivi par un compteur.
-
Au début de chaque heure, le compteur est réinitialisé
-
Lorsque le nombre d'événements atteint un seuil défini pour le client, les événements supplémentaires sont supprimés pour le reste de cette heure
Cependant, Cato continue de conserver les événements système liés aux processus de Cato
-
Cato permet généralement un espace libre au-dessus du seuil, pour réduire la probabilité de suppression
Les détails de la limitation par défaut du taux d'événements par Cato sont basés sur les unités de lac de données détenues par un compte :
-
Cato permet jusqu'à une unité de lac de données, sans frais (actuellement 2,5 millions d'événements par heure)
-
Si plus d'événements sont générés que les unités de lac de données licenciées, les événements en excès sont supprimés pour le reste de l'heure
-
Pour éviter la suppression d'événements, les clients ont la possibilité d'acheter des unités de lac de données supplémentaires
Nous vous recommandons d'acheter des unités supplémentaires de lac de données pour répondre aux besoins de données de votre organisation, pour plus d'informations, voir ci-dessous Estimation des besoins en événements sans historique d'événements.
Pour les contrats et renouvellements à partir du 1er janvier 2024, la période de rétention par défaut des événements est de 3 mois.
-
Après la période de rétention (c'est-à-dire après 3 mois), les données des événements sont supprimées
-
Les clients peuvent acheter une rétention de données supplémentaire s'ils souhaitent conserver les données des événements pendant plus de trois mois
Si un client choisit de payer pour une rétention de données supplémentaire, aucune allocation n'est faite pour la rétention gratuite fournie par défaut : toute rétention d'événements est facturable.
-
Pour en savoir plus sur l'achat d'une rétention de données supplémentaire, veuillez contacter votre représentant Cato.
Cato prend en charge les options de stockage d'événements suivantes :
-
Directement dans l'application de gestion Cato (voir Analyse des événements sur votre réseau)
-
Un flux à grande échelle vers un stockage en nuage tel que AWS S3 et Azure Blob Storage
-
Utilisation de l'API Cato
Par défaut, chaque compte dispose des unités de lac de données suivantes :
-
Taux d'événements horaire (actuellement en unités de 2,5 millions d'événements par heure)
-
Temps de rétention (ex. 3 mois, 6 mois, etc..)
Vous pouvez choisir d'acheter des unités de lac de données supplémentaires pour augmenter le taux d'événements horaire et/ou le temps de rétention.
Les unités de lac de données définissent le nombre maximum d'événements qui peuvent être générés par heure. Une période où moins d'événements sont générés par heure n'aura aucune influence sur le nombre qui peut être généré dans les heures futures.
Chaque unité de lac de données est achetée pour augmenter la limitation de taux de 2,5 millions d'événements par heure. Ainsi, par exemple :
-
Deux unités de lac de données permettent 2,5 millions d'événements supplémentaires par heure (jusqu'à 5 millions d'événements par heure au total)
-
Trois unités permettront 5 millions d'événements supplémentaires par heure (jusqu'à 7,5 millions d'événements par heure au total)
Les unités de lac de données sont disponibles en trois variantes, selon la période de rétention requise :
-
Une unité de trois mois
-
Une unité de six mois
-
Une unité de douze mois
La variante choisie s'applique à toutes les unités de données, il n'est pas possible de mélanger les unités.
Le tableau ci-dessous illustre l'utilisation des unités de lac de données pour couvrir les besoins de stockage des événements des clients.
|
Nombre maximum d'événements générés par heure |
Période de rétention requise |
Unités de lac de données supplémentaires requises |
Type d'unité de lac de données requise |
|---|---|---|---|
|
Jusqu'à 2,5 millions |
3 mois |
0 |
Indisponible |
|
Jusqu'à 2,5 millions |
6 mois |
1 |
unité de 6 mois |
|
Jusqu'à 5 millions |
3 mois |
1 |
unité de 3 mois |
|
Jusqu'à 7,5 millions |
12 mois |
2 |
unité de 12 mois |
Les clients ayant un historique stable de génération d'événements peuvent inspecter le graphique des événements dans la CMA pour voir combien d'événements sont générés. Ils peuvent utiliser les pics dans ce graphique pour prendre en compte leurs exigences de limitation du taux d'événements.
Dans le graphique d'exemple ci-dessous, les pics atteignent un maximum de juste plus de 400 000 événements par heure. Cela serait couvert par l'unité unique de Data Lake gratuite.
Dans le graphique d'exemple ci-dessous, le nombre d'événements par heure dépasse 2,5 millions chaque heure, et le pic le plus élevé s'approche de 3 millions. Cela dépasse ce qui peut être couvert par la limitation par défaut du taux d'événements pour 1 unité de Data Lake. 1 unité supplémentaire couvrirait ces besoins de stockage, permettant de générer jusqu'à 5 millions d'événements par heure.
Notez que la hauteur exacte de chaque barre peut être inspectée en passant le curseur sur la barre, comme illustré dans le graphique ci-dessous.
Autres points à noter :
-
Ces exemples couvrent une petite période, pour plus de commodité. Une période d'analyse plus longue serait prudente.
-
La période de temps représentée par chaque barre changera selon la période couverte par le graphique. Faites attention à la Granularité de la Série Temporelle lorsque vous changez la période couverte.
Cette section vous aide à créer une estimation initiale approximative des événements de pointe par heure pour comprendre combien d'unités de Data Lake sont nécessaires. Nous vous recommandons de surveiller en continu les taux d'événements réels et de vous ajuster selon les besoins. Les événements réels générés par heure dépendent de plusieurs variables, comme les modèles de trafic et la configuration de la journalisation des politiques. Pour plus d'informations, voir Meilleures Pratiques pour le Stockage et l'Ingestion des Journaux d'Événements Cato.
La génération d'événements est corrélée à la fois à la bande passante totale utilisée sur le réseau et au nombre d'utilisateurs SDP pris en charge. Les clients sans historique de génération d'événements peuvent estimer leurs exigences probables en matière de limitation du taux d'événements en ajoutant la somme de la bande passante totale du site du compte et le nombre d'utilisateurs SDP. De plus, les services activés pour le compte peuvent également avoir un impact sur les exigences en matière d'événements. Par exemple, si le pare-feu LAN est activé, cela augmentera les exigences en matière d'événements proportionnellement au volume de trafic LAN et au trafic qui génère des événements.
Des tableaux sont fournis ci-dessous pour aider à estimer les événements de pointe générés par heure. Suivez cette procédure pour calculer les besoins à partir des tableaux :
-
Trouvez la ligne dans le tableau de Bande passante totale qui correspond à la bande passante licenciée maximale pour le réseau. Lisez le nombre estimé d'événements de pointe par heure qui sera généré
-
Trouvez la ligne dans le tableau des Clients SDP qui correspond au nombre de clients SDP utilisés. Lisez le nombre estimé d'événements de pointe par heure qui sera généré
-
Ajoutez les totaux des étapes 1 et 2.
-
Divisez le total des événements par heure par 2,5 millions, et arrondissez, pour estimer le nombre d'unités de Data Lake nécessaires pour la bande passante du site et les Clients SDP.
-
Si vous utilisez plusieurs services Cato qui génèrent un grand nombre d'événements, tels que CASB ou pare-feu LAN, ajoutez 1 unité de Data Lake.
Utilisez ces tableaux pour estimer le nombre maximum d'événements par heure générés pour un client. Ils supposent que le client enregistre tous les événements.
|
Bande Passante Totale |
Événements de pointe estimés par heure |
Clients SDP |
Événements de pointe estimés par heure |
|---|---|---|---|
|
Jusqu'à 2,5 Gbps |
1 000 000 |
Jusqu'à 3K |
1 000 000 |
|
2,5-6 Gbps |
5 000 000 |
3K-7K |
5 000 000 |
|
6-9 Gbps |
7 500 000 |
7K-11K |
7 500 000 |
|
9-12 Gbps |
10 000 000 |
11K-15K |
10 000 000 |
|
12-15 Gbps |
12 500 000 |
15K-19K |
12 500 000 |
|
15-18 Gbps |
15 000 000 |
19K-23K |
15 000 000 |
|
18-21 Gbps |
17 500 000 |
23K-27K |
17 500 000 |
|
21-24 Gbps |
20 000 000 |
27K-31K |
20 000 000 |
|
24-27 Gbps |
22 500 000 |
31K-35K |
22 500 000 |
|
27-30 Gbps |
25 000 000 |
35K-39K |
25 000 000 |
|
30-33 Gbps |
27 500 000 |
39K-43K |
27 500 000 |
Dans le tableau ci-dessus :
-
Un total de 3 Gbps de bande passante sur tous les sites générerait un maximum estimé de cinq millions d'événements par heure
-
Un total de 5 000 clients SDP générerait un supplémentaire estimé pic de deux millions et demi d'événements par heure
-
Par conséquent, le client pourrait s'attendre à un pic de 5+2,5= 7,5 millions d'événements par heure (2 unités)
-
Le client utilise le service CASB et RBI (1 unité)
-
Cela pourrait être couvert en achetant trois unités supplémentaires de stockage Data Lake d'une durée appropriée.
L'unité de mesure pour les unités de Data Lake est le nombre d'événements générés par heure. Le volume de données impliquées n'est pas utilisé dans le calcul ou l'achat de modules supplémentaires et n'est pas signalé par le CMA.
Cependant, les clients peuvent souhaiter estimer les implications s'ils prévoient d'exporter des données vers un stockage externe ou un SIEM. Les clients peuvent estimer approximativement le volume de données impliquées, en supposant qu'une unité de Data Lake (2,5 millions d'événements par heure) équivaut très approximativement à 180 Go par mois de stockage de données, comme illustré dans le tableau ci-dessous.
Notez que c'est une estimation très approximative. Les unités de Data Lake définissent le nombre maximum d'événements qui peuvent être générés en une heure. Il est évident qu'un client qui achète des unités pour faire face à des pics importants occasionnels dans la génération d'événements aura un besoin de stockage externe très différent d'un client qui achète le même nombre d'unités pour faire face à un nombre constamment élevé d'événements générés.
Le tableau suivant montre une estimation très approximative du total de Go selon la période de rétention :
|
Événements par heure |
Unités de Data Lake |
Go par mois (estimé) |
3 mois |
6 mois |
12 mois |
|---|---|---|---|---|---|
|
2,5 millions |
1 |
180 |
540 |
1080 |
2160 |
|
5 millions |
2 |
360 |
1080 |
2160 |
4320 |
|
7,5 millions |
3 |
540 |
2160 |
4320 |
8640 |
(*) Certains contrats avec Cato peuvent inclure des termes qui diffèrent de l'information dans cet article
0 commentaire
Vous devez vous connecter pour laisser un commentaire.