Intégration des Événements Cato avec un Compte de Stockage Azure

Cet article explique comment intégrer un compte de stockage Azure à votre compte Cato pour télécharger directement les événements vers un compte de stockage.

Vue d'ensemble de l'intégration des événements

Pour les clients qui examinent et analysent des données d'événements dans un compte de stockage Azure, vous pouvez configurer votre compte Cato pour téléverser automatiquement et en continu les événements vers celui-ci. Cela diffère de l'API eventsFeed, qui nécessite que les clients retirent les données de Cato et est impactée par des problèmes tels que la limitation de débit.

Le cloud Cato télécharge les données sur le compte de stockage comme suit : toutes les 60 secondes ou lorsqu'il y a plus de 10 Mo de données. Cato utilise HTTPS pour envoyer des données au compte de stockage Azure.

Les événements sont envoyés sous format compressé .gz, certains clients (par exemple certains navigateurs) peuvent décompresser automatiquement ces fichiers sans retirer l'extension .gz. Si cela se produit, changer l'extension de fichier en .log ou .txt alignera correctement le format du fichier avec son extension.

Cas d'utilisation de l'intégration des événements

L'entreprise exemple utilise la fonction de Suivi de l'Activité Suspecte IPS qui génère beaucoup d'Événements de sécurité. Ils décident de créer un compte de stockage Azure pour stocker toutes les données d'événements, qui peuvent ensuite être intégrées à leur solution SIEM. L'entreprise échantillon active l'intégration des événements et ajoute le compte de stockage Azure comme une intégration à leur compte Cato afin que tous les événements IPS soient automatiquement téléchargés sur le stockage Azure.

Conditions préalables

Vue d'ensemble de haut niveau de l'intégration des événements Azure

  1. Créer un nouveau compte de stockage Azure et un conteneur.

  2. Azure fournit une chaîne de connexion comme suit :

    1. Clés d'accès - la chaîne de connexion est générée automatiquement.

    2. SAS - configurez les autorisations et les paramètres recommandés, puis la chaîne de connexion est générée.

  3. Créez l'intégration Azure dans l'Application de Gestion Cato en utilisant la chaîne de connexion de l'étape précédente.

Configuration du compte de stockage Azure

Créez un nouveau compte de stockage et un conteneur pour les données d'événements Cato, nous vous recommandons de ne pas utiliser un compte de stockage existant pour l'Intégration des Événements. Vous pouvez utiliser une chaîne de connexion Azure à partir d'une clé d'accès ou d'une signature d'accès partagé (SAS).

Utilisation des clés d'accès pour la chaîne de connexion

Pour les clients qui utilisent des clés d'accès Azure pour authentifier le compte de stockage à Cato, copiez la chaîne de connexion. Vous collerez la chaîne de connexion des clés d'accès dans l'Application de Gestion Cato lors de la configuration de l'intégration Azure.

Pour créer un compte de stockage qui utilise des clés d'accès :

  1. Créez un nouveau compte de stockage avec les paramètres appropriés.

    1. Dans les détails de l'Instance, sélectionnez performance Standard.

      basic_storage_account.png

    2. Cliquez sur Revoir puis cliquez sur Créer.

  2. Créez un nouveau conteneur pour les données d'événements (Stockage de données > Conteneurs).

    Vous entrerez le Nom du conteneur dans l'Application de Gestion Cato lorsque vous créerez l'intégration pour les événements (ci-dessous).

  3. Dans le volet de navigation gauche, allez dans la section Sécurité + réseau et sélectionnez Clés d'accès.

  4. Copiez la chaîne de connexion des clés d'accès pour le compte de stockage.

    access_key_string.png

  5. Continuer avec Ajouter Stockage de Compte Azure pour les Événements (ci-dessous).

Utilisation du SAS pour la chaîne de connexion

Azure SAS vous permet de restreindre les autorisations pour le conteneur de stockage, telles que les adresses IP autorisées et une date d'expiration pour la chaîne de connexion.

Le jeton pour la chaîne de connexion SAS inclut une date d'expiration, qui est affichée sur la page d'Intégration des Événements. Après la date d'expiration, le jeton n'est plus valide, et Cato ne peut pas télécharger d'événements vers le conteneur de stockage. Pour maintenir le téléchargement ininterrompu des événements, assurez-vous de générer une nouvelle chaîne de connexion et de l'appliquer à l'intégration avant la date d'expiration SAS.

Pour configurer un compte de stockage dans Azure pour recevoir des données d'événements Cato :

  1. Créez un nouveau compte de stockage avec les paramètres appropriés.

    1. Dans les détails de l'Instance, sélectionnez performance Standard.

      basic_storage_account.png

    2. Cliquez sur Revoir puis cliquez sur Créer.

  2. Créez un nouveau conteneur pour les données d'événements (Stockage de données > Conteneurs).

    Vous entrerez le Nom du conteneur dans l'Application de Gestion Cato lorsque vous créerez l'intégration pour les événements (ci-dessous).

  3. Dans le volet de navigation gauche, allez dans la section Sécurité + réseau et sélectionnez Signature d'accès partagé.

  4. Configurez le SAS avec les autorisations d'accès suivantes :

    • Services autorisés - Blob, Fichier

    • Types de ressources autorisés - Conteneur, Objet

    • Autorisations autorisées - Lire, Écrire, Lister

    SAS_settings.png

  5. Cliquez sur Générer SAS et chaîne de connexion.

  6. Copiez la Chaîne de Connexion pour le compte de stockage. Vous collerez cette chaîne lorsque vous créerez l'intégration pour les événements (ci-dessous).

    sas_string.png

Ajout du stockage de compte Azure pour les événements

Créez une nouvelle intégration pour le compte de stockage Azure dans l'onglet Intégrations d'événements et collez la chaîne de connexion à l'intégration. Cette chaîne donne à Cato la permission de télécharger les données d'événements sur le compte de stockage. Vous ne pouvez pas modifier la chaîne après avoir créé l'intégration, vous pouvez plutôt Réinitialiser le champ, puis coller la chaîne de connexion.

Après avoir défini et activé l'intégration de stockage Azure, il faut quelques minutes pour que Cato commence à télécharger les événements sur le compte de stockage.

Vous pouvez choisir de filtrer les événements qui sont téléchargés sur le compte de stockage. Par exemple, ne téléchargez que les événements IPS pour votre compte. Le paramètre par défaut est sans filtre et tous les événements sont téléchargés sur le compte de stockage.

EventIntegration.png

Pour ajouter une intégration de stockage Azure pour télécharger des événements pour votre compte :

  1. Dans le menu de navigation, sélectionnez Ressources > Intégrations d'Événements.

  2. Sélectionnez Activer l'intégration avec les événements Cato.

  3. Cliquez sur Nouveau. Le panneau Nouvelle Intégration s'ouvre.

  4. Dans Intégration, sélectionnez Stockage de Compte Azure et entrez le Nom pour l'intégration.

  5. Entrez ces Détails de Connexion pour l'intégration sur la base des paramètres dans Azure :

    • Chaîne de Connexion - Collez la chaîne de connexion que vous avez copiée depuis le compte de stockage

    • Nom - Nom identique du conteneur dans le compte de stockage

    • (Optionnel) Dossier - Nom identique pour le chemin du dossier à l'intérieur du conteneur (si nécessaire)

  6. (Optionnel) Définissez les paramètres de filtrage pour les événements qui sont téléchargés sur le compte de stockage.

    Lorsque vous définissez plusieurs filtres, il existe une relation ET, et les événements qui correspondent à tous les filtres sont téléchargés.

  7. Cliquez sur Appliquer. Le compte de stockage Azure est maintenant intégré à votre compte.

    Remarque : Vous pouvez définir jusqu'à un total de trois Intégrations d'Événements pour votre compte.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 4

0 commentaire