Intégration des Événements Cato avec le Stockage Azure

Vue d'ensemble de l'intégration des événements

Les organisations qui stockent et gèrent les données d'événements dans un Compte de stockage Azure peuvent configurer leur compte Cato pour téléverser automatiquement et continuellement les événements. 

Cette intégration pousse les événements directement du Cato Cloud vers le compte de stockage, contrairement à l'API eventsFeed, qui nécessite de tirer les données de Cato et peut être affectée par la limitation de débit.

Le Cato Cloud téléverse des données vers le compte de stockage toutes les 60 secondes, ou chaque fois que plus de 10 MB de données sont accumulées. Les données sont transférées en toute sécurité via HTTPS.

Les événements sont téléversés dans un format compressé .GZ. Certains clients (par exemple, certains navigateurs) peuvent décompresser automatiquement ces fichiers sans enlever l'extension .GZ. Si cela se produit, changer l'extension du fichier en LOG ou TXT alignera correctement le format du fichier avec son extension.

Cas d'utilisation de l'Intégration des Événements

L'entreprise exemple utilise la fonction de Suivi de l'Activité Suspecte IPS qui génère beaucoup d'Événements de sécurité. Ils décident de créer un Compte de stockage Azure pour stocker toutes les données d'événements, qu'ils peuvent ensuite intégrer à leur solution SIEM. La société type active l'Intégration des Événements et ajoute le compte de stockage Azure comme intégration à leur compte Cato, de sorte que tous les événements IPS sont téléversés automatiquement au Stockage Azure.

Prérequis

Configuration du compte de stockage Azure

Créez un nouveau compte de stockage et un conteneur pour les données d'événements Cato, nous vous recommandons de ne pas utiliser un compte de stockage existant pour l'Intégration des Événements. Vous pouvez utiliser une chaîne de connexion Azure à partir d'une clé d'accès ou d'une signature d'accès partagé (SAS).

Utilisation des clés d'accès pour la chaîne de connexion

Pour les clients qui utilisent des clés d'accès Azure pour authentifier le compte de stockage à Cato, copiez la chaîne de connexion. Vous collerez la chaîne de connexion des clés d'accès dans l'Application de Gestion Cato lors de la configuration de l'intégration Azure.

Pour créer un compte de stockage qui utilise des clés d'accès :

  1. Créez un nouveau compte de stockage avec les paramètres appropriés.

    1. Dans les détails de l'Instance, sélectionnez performance Standard.

      basic_storage_account.png
    2. Cliquez sur Revoir puis cliquez sur Créer.

  2. Créez un nouveau conteneur pour les données d'événements (Stockage de données > Conteneurs).

    Vous entrerez le Nom du conteneur dans l'Application de Gestion Cato lorsque vous créerez l'intégration pour les événements (ci-dessous).

  3. Dans le volet de navigation gauche, allez dans la section Sécurité + réseau et sélectionnez Clés d'accès.

  4. Copiez la chaîne de connexion des clés d'accès pour le compte de stockage.

    access_key_string.png
  5. Continuer avec Ajouter Stockage de Compte Azure pour les Événements (ci-dessous).

Utilisation du SAS pour la chaîne de connexion

Azure SAS vous permet de restreindre les autorisations pour le conteneur de stockage, telles que les adresses IP autorisées et une date d'expiration pour la chaîne de connexion.

Le jeton pour la chaîne de connexion SAS inclut une date d'expiration, qui est affichée sur la page d'Intégration des Événements. Après la date d'expiration, le jeton n'est plus valide, et Cato ne peut pas télécharger d'événements vers le conteneur de stockage. Pour maintenir le téléchargement ininterrompu des événements, assurez-vous de générer une nouvelle chaîne de connexion et de l'appliquer à l'intégration avant la date d'expiration SAS.

Pour configurer un compte de stockage dans Azure pour recevoir des données d'événements Cato :

  1. Créez un nouveau compte de stockage avec les paramètres appropriés.

    1. Dans les détails de l'Instance, sélectionnez performance Standard.

      basic_storage_account.png
    2. Cliquez sur Revoir puis cliquez sur Créer.

  2. Créez un nouveau conteneur pour les données d'événements (Stockage de données > Conteneurs).

    Vous entrerez le Nom du conteneur dans l'Application de Gestion Cato lorsque vous créerez l'intégration pour les événements (ci-dessous).

  3. Dans le volet de navigation gauche, allez dans la section Sécurité + réseau et sélectionnez Signature d'accès partagé.

  4. Configurez le SAS avec les autorisations d'accès suivantes :

    • Services autorisés - Blob, Fichier
    • Types de ressources autorisés - Conteneur, Objet
    • Autorisations autorisées - Lire, Écrire, Lister
    SAS_settings.png
  5. Cliquez sur Générer SAS et chaîne de connexion.

  6. Copiez la Chaîne de Connexion pour le compte de stockage. Vous collerez cette chaîne lorsque vous créerez l'intégration pour les événements (ci-dessous).

    sas_string.png

Ajouter une Intégration d'Événement pour le Stockage Azure

Créez une nouvelle intégration pour le compte de stockage Azure dans l'onglet Intégration des Événements, et collez la chaîne de connexion dans l'intégration. Cette chaîne donne à Cato l'autorisation de téléverser des données d'événement vers le compte de stockage. Vous ne pouvez pas modifier la chaîne après avoir créé l'intégration ; vous pouvez plutôt Réinitialiser le champ, puis coller la chaîne de connexion.

Après avoir défini et activé l'intégration du Stockage Azure, cela prend quelques minutes à Cato pour commencer à téléverser des événements vers le compte de stockage.

Vous pouvez filtrer les événements qui sont téléversés vers le compte de stockage par type ou sous-type d'événement. Par exemple, vous pouvez téléverser uniquement les événements IPS pour votre compte. Par défaut, aucun filtre n'est appliqué, et tous les événements sont téléversés vers le compte de stockage.

EventIntegration.png

Pour ajouter une intégration Azure Storage pour téléverser des événements vers votre compte :

  1. Dans le menu de navigation, sélectionnez Ressources > Intégrations d'Événements.
  2. Sélectionnez Activer l'intégration avec les événements Cato.
  3. Cliquez sur Nouveau. Le panneau Nouvelle Intégration s'ouvre.
  4. Dans Intégration, sélectionnez Compte de stockage Azure et entrez le Nom pour l'intégration.

  5. Entrez ces Détails de Connexion pour l'intégration sur la base des paramètres dans Azure :

    • Chaîne de Connexion - Collez la chaîne de connexion que vous avez copiée depuis le compte de stockage
    • Nom - Nom identique du conteneur dans le compte de stockage
    • (Optionnel) Dossier - Nom identique pour le chemin du dossier à l'intérieur du conteneur (si nécessaire)

  6. (Optionnel) Définissez les paramètres de filtrage pour les événements qui sont téléchargés sur le compte de stockage.

    Lorsque vous définissez plusieurs filtres, il existe une relation ET, et les événements qui correspondent à tous les filtres sont téléchargés.

  7. Cliquez sur Appliquer. Le compte de stockage Azure est maintenant intégré avec votre compte.

    Remarque : Vous pouvez définir jusqu'à un total de trois Intégrations d'Événements pour votre compte.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 4

0 commentaire