Utilisez l’intégration Microsoft Sentinel pour inclure les données d’événements de Cato dans vos flux de travail existants de surveillance, corrélation et investigation. L’intégration native envoie directement des événements de Cato vers Sentinel et les associe automatiquement au modèle de données Sentinel, permettant ainsi aux tableaux de bord, aux règles d’analyse, aux alertes et aux autres fonctionnalités Sentinel de traiter les données d’événements de Cato sans analyse ou normalisation supplémentaires.
L'intégration utilise le connecteur standard Cato Microsoft Tenant pour l'authentification et le transport à travers les intégrations Cato Microsoft. Le connecteur partagé offre un flux de travail de configuration cohérent et un contrôle d'accès centralisé pour les intégrations telles que Entra ID et App et Data API.
Une entreprise utilise Microsoft Sentinel pour la surveillance centralisée de la sécurité et la réponse. En tant que clients Cato, ils disposent de données utiles provenant de fonctionnalités clés de sécurité telles que IPS. Ils peuvent utiliser cette intégration pour envoyer directement à Sentinel des types d'événements IPS de haute gravité, où ils peuvent facilement s'intégrer dans les flux de travail existants pour l'équipe SOC.
-
Une intégration MS Tenant dans l'onglet Intégrations configurées dans le CMA (Ressources > Intégrations)
Il s'agit d'une intégration parent pour les applications Microsoft
- Un espace de travail Log Analytics existant dans Sentinel où les événements Cato seront stockés.
- Pour ajouter un connecteur, vous devez avoir la permission d'éditeur pour Intégrations (dans la section Ressources). Pour plus d'informations, voir Gérer les rôles d'admin en utilisant RBAC.
- Examinez les prérequis pour toutes les intégrations d’événements Cato dans Getting Started with Event Integrations
Le MS Tenant agit comme un connecteur parent pour la plupart des applications Microsoft. Lors de l'ajout d'une intégration avec une application Microsoft, la première étape pour configurer l'intégration est de créer le connecteur parent. Vous n'avez besoin de configurer ce connecteur qu'une seule fois, et il peut ensuite être utilisé pour toutes les applications Microsoft.
Pour créer l'intégration du locataire MS :
- Dans le menu de navigation, sélectionnez Ressources > Intégrations et cliquez sur l'onglet Intégrations configurées.
- Cliquez sur Nouveau. Le panneau Nouveau Connecteur s'ouvre.
-
Dans le panneau Nouveau Connecteur, sélectionnez l'application MS Tenant (Configurer un nouveau MS Tenant).
- Entrez le Nom du Connecteur.
-
Cliquez sur Autoriser et enregistrer.
Un nouvel onglet du navigateur s'ouvre sur l'application Microsoft 365.
- Dans le nouvel onglet du navigateur, authentifiez-vous à l'application Microsoft 365 :
-
Sélectionnez le compte Microsoft pour l'application Microsoft 365.
Sinon, une erreur d'authentification Microsoft peut survenir.
- Entrez le mot de passe de l'application et approuvez-le.
- Acceptez les autorisations pour permettre à Cato d'accéder à l'application Microsoft 365.
-
L'écran montre que vous avez appliqué avec succès les autorisations pour l'application.
Vous pouvez fermer l'onglet du navigateur et retourner à l'Application de gestion Cato.
-
- L'application Microsoft 365 SaaS est ajoutée à l'onglet Applications intégrées.
Définissez l'intégration Sentinel dans le CMA en spécifiant le Microsoft Tenant cible, l'espace de travail et la table, ainsi qu'en définissant les événements que vous souhaitez inclure dans l'intégration à l'aide de filtres. Après avoir enregistré l'intégration Sentinel, vous devez vous authentifier au tenant Microsoft et permettre à Cato de pousser les données vers votre compte Sentinel.
Après avoir créé l'intégration dans le CMA, vous disposez de 10 minutes pour terminer le processus sur Microsoft pour des raisons de sécurité. Si le processus n'est pas terminé dans ce délai, vous devrez supprimer l'intégration dans le CMA et recommencer.
Une fois l'intégration créée, les données circulent vers Microsoft dans la table que vous avez spécifiée ci-dessus. Cato ajoute les lettres "_CL" au nom de la table pour vous aider à la distinguer des tables intégrées dans Microsoft.
La suppression de l'intégration dans le CMA ne supprime pas les ressources créées dans Microsoft.
Remarque : Si l'accès au service tiers est limité à des adresses IP spécifiques, veuillez consulter cet article pour la liste des adresses IP de Cato que vous devez autoriser (vous devez être connecté pour voir cet article).
Pour créer l'intégration Sentinel :
- Dans le menu de navigation, cliquez sur Ressources > Intégrations.
- Sur l'onglet Intégrations configurées, cliquez sur Nouveau. Le panneau Nouvelle Intégration s'ouvre.
-
Sélectionnez Microsoft Sentinel et configurez les champs suivants :
- Entrez un Nom pour cette intégration.
- Sélectionnez le nom de l'intégration du locataire MS dans le champ Locataire du connecteur.
- Entrez votre Nom de l'Espace de Travail Log Analytics existant qui reçoit les données dans Microsoft Log Analytics.
- Entrez un nouveau Nom de Table Log Analytics pour contenir les données dans l'Espace de Travail Log Analytics portant ce nom.
- Définissez le nombre de jours pendant lesquels vous souhaitez que Microsoft conserve les données Cato dans le champ Jours de Conservation de la Table.
- Ajoutez un filtre pour ne transmettre que certains événements Cato à Microsoft Sentinel.
- Cliquez sur Enregistrer pour déployer l'intégration à Microsoft. Vous avez maintenant dix minutes pour terminer la configuration dans Microsoft.
-
Un onglet du navigateur s'ouvre et vous dirige pour autoriser la création de l'intégration dans Microsoft.
Remarque: Vous devez autoriser l'intégration avec le même locataire que celui avec lequel le connecteur maître a été créé dans l'intégration MS ci-dessus et avoir un utilisateur avec les permissions pour créer des ressources sur ce locataire.
-
Dans le portail Microsoft, sélectionnez le groupe de ressources et la région qui contiennent l'espace de travail cible Log Analytics et appuyez sur Vérifier + Créer.
- Cliquez sur Créer pour démarrer le déploiement.
- Lorsque le déploiement est terminé, vous pouvez fermer la fenêtre Microsoft.
-
Dans le CMA, après avoir rafraîchi la page Intégrations, vous pouvez voir le statut de l'intégration dans l'onglet Applications intégrées.
En plus de l'intégration clé en main native décrite dans cet article, vous pouvez également intégrer des événements Cato avec Microsoft Sentinel en utilisant les outils dans le compte GitHub de Cato. Chaque approche offre des avantages distincts selon vos objectifs et votre environnement.
L'intégration native de Cato offre une solution évolutive et maintenable avec une configuration minimale. Les avantages de l'intégration native incluent :
- La capacité à gérer de grands volumes d'événements de manière efficace sans limitations basées sur l'API
- Entièrement maintenu et pris en charge par Cato
- Cartographie automatique du schéma entre Cato et Microsoft Sentinel
L'intégration GitHub offre de la flexibilité pour des cas d'utilisation avancés où des sources de données ou des logiques de traitement personnalisées sont nécessaires. Vous voudrez peut-être utiliser cette intégration dans les situations suivantes :
- L'intégration Cato ne prend pas en charge le type de données que vous souhaitez ingérer
- Vous souhaitez personnaliser le schéma ou les données du flux d'événements
- Limitation des grands événements : Certains événements XOps peuvent inclure des informations d'histoire étendues dans le champ raw_data, ce qui peut amener l'événement à dépasser les limites de taille d'ingestion de Microsoft Sentinel (environ 1 Mo). Lorsque cela se produit, Cato transfère toujours l'événement à Sentinel, mais omet le champ raw_data pour maintenir la compatibilité avec les exigences d'ingestion de Sentinel.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.