Intégration des Événements Cato avec le Stockage Azure

Vue d'ensemble de l'Intégration des événements de stockage Azure

Les organisations qui stockent et gèrent les données d'événements dans un Compte de stockage Azure peuvent configurer leur compte Cato pour téléverser automatiquement et continuellement les événements. 

Cette intégration pousse les événements directement du Cato Cloud vers le compte de stockage, contrairement à l'API eventsFeed, qui nécessite de tirer les données de Cato et peut être affectée par la limitation de débit.

Le Cato Cloud téléverse des données vers le compte de stockage toutes les 60 secondes, ou chaque fois que plus de 10 MB de données sont accumulées. Les données sont transférées en toute sécurité via HTTPS.

Les événements sont téléversés dans un format compressé .GZ. Certains clients, tels que certains navigateurs, peuvent automatiquement décompresser ces fichiers sans supprimer l'extension .GZ. Si cela se produit, changer l'extension du fichier en LOG ou TXT alignera correctement le format du fichier avec son extension.

Cas d'utilisation de l'Intégration des Événements

La société Exemple utilise la fonction de Surveillance d'activité suspecte IPS (SAM), qui génère un volume élevé d'événements de sécurité. Ils décident de créer un Compte de stockage Azure pour stocker toutes les données d'événements, qu'ils peuvent ensuite intégrer à leur solution SIEM. La société Exemple active l'Intégration des événements et ajoute le compte de stockage Azure comme intégration à leur compte Cato afin que tous les événements IPS soient automatiquement téléchargés sur Azure Storage.

Prérequis

Configuration du compte de stockage Azure

Créez un nouveau compte de stockage et conteneur pour les données d'événements Cato. Nous vous recommandons de ne pas utiliser un compte de stockage existant pour l'Intégration des événements. Vous pouvez utiliser une chaîne de connexion Azure à partir d'une clé d'accès ou d'une signature d'accès partagé (SAS).

Utilisation des clés d'accès pour la chaîne de connexion

Pour les clients qui utilisent des clés d'accès Azure pour authentifier le compte de stockage à Cato, copiez la chaîne de connexion. Collez la chaîne de connexion de la clé d'accès dans l'application de gestion Cato lors de la configuration de l'intégration Azure.

Pour créer un compte de stockage qui utilise des clés d'accès :

  1. Créez un nouveau compte de stockage avec les paramètres appropriés.

    1. Dans les détails de l'Instance, sélectionnez performance Standard.

      basic_storage_account.png
    2. Cliquez sur Revoir puis cliquez sur Créer.

  2. Créez un nouveau conteneur pour les données d'événements (Stockage de données > Conteneurs).

    Vous entrerez le Nom du conteneur dans l'Application de Gestion Cato lorsque vous créerez l'intégration pour les événements (ci-dessous).

  3. Dans le volet de navigation gauche, allez dans la section Sécurité + réseau et sélectionnez Clés d'accès.

  4. Copiez la chaîne de connexion des clés d'accès pour le compte de stockage.

    access_key_string.png
  5. Continuer avec Ajouter Stockage de Compte Azure pour les Événements (ci-dessous).

Utilisation du SAS pour la chaîne de connexion

Azure SAS vous permet de restreindre les autorisations pour le conteneur de stockage, y compris les adresses IP autorisées et la date d'expiration pour la chaîne de connexion. Pour plus d'informations sur les adresses IP de Cato, consultez cet article (vous devez être connecté pour le voir).

Le jeton pour la chaîne de connexion SAS inclut une date d'expiration, qui est affichée sur la page d'Intégration des Événements. Après la date d'expiration, le jeton n'est plus valide, et Cato ne peut pas télécharger d'événements vers le conteneur de stockage. Pour maintenir le téléversement ininterrompu des événements, générez une nouvelle chaîne de connexion et appliquez-la à l'intégration avant la date d'expiration du SAS.

Pour configurer un compte de stockage dans Azure pour recevoir des données d'événements Cato :

  1. Créez un nouveau compte de stockage avec les paramètres appropriés.

    1. Dans les détails de l'Instance, sélectionnez performance Standard.

      basic_storage_account.png
    2. Cliquez sur Revoir puis cliquez sur Créer.

  2. Créez un nouveau conteneur pour les données d'événements (Stockage de données > Conteneurs).

    Vous entrerez le Nom du conteneur dans l'Application de Gestion Cato lorsque vous créerez l'intégration pour les événements (ci-dessous).

  3. Dans le volet de navigation gauche, allez dans la section Sécurité + réseau et sélectionnez Signature d'accès partagé.

  4. Configurez le SAS avec les autorisations d'accès suivantes :

    • Services autorisés - Blob, Fichier
    • Types de ressources autorisés - Conteneur, Objet
    • Autorisations autorisées - Lire, Écrire, Lister
    SAS_settings.png
  5. Cliquez sur Générer SAS et chaîne de connexion.

  6. Copiez la Chaîne de Connexion pour le compte de stockage. Vous collerez cette chaîne lorsque vous créerez l'intégration pour les événements (ci-dessous).

    sas_string.png

Ajouter une Intégration d'Événement pour le Stockage Azure

Créez une nouvelle intégration pour le compte de stockage Azure dans l'onglet Intégration des Événements, et collez la chaîne de connexion dans l'intégration. Cette chaîne donne à Cato l'autorisation de téléverser des données d'événement vers le compte de stockage. Vous ne pouvez pas modifier la chaîne après avoir créé l'intégration. Cliquez sur Réinitialiser et collez la chaîne de connexion.

Après avoir défini et activé l'intégration du Stockage Azure, cela prend quelques minutes à Cato pour commencer à téléverser des événements vers le compte de stockage.

Vous pouvez filtrer les événements qui sont téléversés vers le compte de stockage par type ou sous-type d'événement. Par exemple, vous pouvez téléverser uniquement les événements IPS pour votre compte. Par défaut, aucun filtre n'est appliqué, et tous les événements sont téléversés vers le compte de stockage.

EventIntegration.png

Pour ajouter une intégration Azure Storage pour téléverser des événements vers votre compte :

  1. Dans le menu de navigation, sélectionnez Ressources > Intégrations d'Événements.
  2. Sélectionnez Activer l'intégration avec les événements Cato.
  3. Cliquez sur Nouveau. Le panneau Nouvelle Intégration s'ouvre.
  4. Dans Intégration, sélectionnez Compte de stockage Azure et entrez le Nom pour l'intégration.

  5. Entrez ces Détails de Connexion pour l'intégration sur la base des paramètres dans Azure :

    • Chaîne de Connexion - Collez la chaîne de connexion que vous avez copiée depuis le compte de stockage
    • Nom - Nom exact du conteneur dans le compte de stockage
    • (Optionnel) Dossier - Chemin du dossier dans le conteneur, si nécessaire

  6. (Optionnel) Définissez les paramètres de filtrage pour les événements qui sont téléchargés sur le compte de stockage.

    Lorsque vous définissez plusieurs filtres, il existe une relation ET, et les événements qui correspondent à tous les filtres sont téléchargés.

  7. Cliquez sur Appliquer. Le compte de stockage Azure est maintenant intégré avec votre compte.

    Note: Vous pouvez définir jusqu'à trois Intégrations d'événements pour votre compte.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 4

0 commentaire