Intégration des Événements Cato avec Microsoft Sentinel

Vue d'ensemble

Utilisez l'intégration Microsoft Sentinel pour inclure les données d'événements Cato dans vos flux de travail de surveillance, de corrélation et d'investigation existants. 

Cato propose deux types d'intégration avec Microsoft Sentinel. Chaque approche offre des avantages distincts en fonction de vos objectifs et de votre environnement :

  • L'intégration native clé en main envoie directement les événements de Cato à Sentinel et les mappe automatiquement au modèle de données Sentinel, pour que les tableaux de bord, les règles d'analyse, les alertes et autres fonctionnalités Sentinel puissent traiter les données d'événements Cato sans un parse supplémentaire ou une normalisation.
    L'intégration utilise le connecteur standard de locataire MS de Cato pour l'authentification et le transport dans les intégrations Microsoft de Cato. Le connecteur partagé offre un flux de travail de configuration cohérent et un contrôle d'accès centralisé pour les intégrations telles que Entra ID et App et Data API.
  • Une intégration GitHub personnalisée est disponible à partir du référentiel GitHub Cato. Pour plus de détails, consultez ci-dessous Choisir entre les méthodes d'intégration clé en main native et GitHub personnalisée.

Cas d'utilisation

Sample Company utilise Microsoft Sentinel pour la surveillance de la sécurité centralisée et la réponse. En tant que client Cato, ils ont des données utiles des fonctionnalités de sécurité clés telles que IPS. Ils peuvent utiliser cette intégration pour envoyer directement à Sentinel des types d'événements IPS de haute gravité, où ils peuvent facilement s'intégrer dans les flux de travail existants pour l'équipe SOC.

Prérequis

  • Une intégration de locataire MS dans le CMA sous Ressources > Intégrations > Intégrations configurées.

    Ceci est une intégration parent pour les applications Microsoft.

  • Un espace de travail Log Analytics existant dans Sentinel où les événements Cato seront stockés.
  • Pour ajouter un connecteur, vous devez avoir la permission d'éditeur pour Intégrations (dans la section Ressources). Pour plus d'informations, voir Gérer les rôles d'admin en utilisant RBAC.
  • Passez en revue les prérequis pour toutes les intégrations d'événements Cato dans Introduction aux intégrations d'événements.

Création de l'intégration de locataire Microsoft

Le MS Tenant agit comme un connecteur parent pour la plupart des applications Microsoft. Lorsque vous ajoutez une intégration Microsoft, créez d'abord le connecteur parent. Vous n'avez besoin de configurer ce connecteur qu'une fois, ensuite vous pouvez l'utiliser pour toutes les applications Microsoft.

Pour créer l'intégration du locataire MS :

  1. À partir du menu de navigation, sélectionnez Ressources > Intégrations, puis cliquez sur l'onglet Intégrations configurées.
  2. Cliquez sur Nouveau. Le panneau Nouveau Connecteur s'ouvre.

  3. Dans le panneau Nouveau Connecteur, sélectionnez l'application MS Tenant (Configurer un nouveau MS Tenant).

    New_Microsoft_365_Connector.png
  4. Entrez le Nom du Connecteur.

  5. Cliquez sur Autoriser et enregistrer.

    Un nouvel onglet du navigateur s'ouvre sur l'application Microsoft 365.

  6. Dans le nouvel onglet du navigateur, authentifiez-vous à l'application Microsoft 365 :

    1. Sélectionnez le compte Microsoft pour l'application Microsoft 365.

      Sinon, une erreur d'authentification Microsoft peut survenir.

    2. Entrez le mot de passe pour le compte Microsoft et approuvez-le.

    3. Acceptez les autorisations pour permettre à Cato d'accéder à l'application Microsoft 365.

      Une page de réussite montre que les autorisations ont été appliquées.

    4. Vous pouvez fermer l'onglet du navigateur et retourner à l'Application de gestion Cato.
  7. L'application Microsoft 365 est ajoutée à l'onglet Applications intégrées.

Création de l'intégration Sentinel

Définissez l'intégration Sentinel dans le CMA en spécifiant le locataire Microsoft cible, l'espace de travail et la table. Vous pouvez également utiliser des filtres pour définir quels événements inclure dans l'intégration. Après avoir enregistré l'intégration Sentinel, vous devez vous authentifier auprès du locataire Microsoft et permettre à Cato de pousser des données vers votre compte Sentinel.

Après avoir créé l'intégration dans le CMA, vous disposez de 10 minutes pour terminer le processus sur Microsoft pour des raisons de sécurité. Si le processus n'est pas terminé dans ce délai, vous devrez supprimer l'intégration dans le CMA et recommencer.

Une fois l'intégration créée, les données circulent vers Microsoft dans la table que vous avez spécifiée ci-dessus. Cato ajoute les lettres "_CL" au nom de la table pour vous aider à la distinguer des tables intégrées dans Microsoft.

La suppression de l'intégration dans le CMA ne supprime pas les ressources créées dans Microsoft.

Remarque : Si l'accès au service tiers est limité à des adresses IP spécifiques, veuillez consulter cet article pour la liste des adresses IP de Cato que vous devez autoriser. Vous devez être connecté pour voir l'article.

Filtres

Utilisez des filtres pour contrôler quels événements Cato sont exportés vers Microsoft Sentinel. Cela aide à réduire les coûts d'ingestion, minimiser le bruit et concentrer les investigations sur les événements les plus pertinents pour des sites, utilisateurs ou régions spécifiques. Vous pouvez également utiliser des filtres pour diriger différents sous-ensembles d'événements vers différents environnements SIEM.

Utilisez des groupes de filtres pour définir des filtres basés sur tout champ d'événement ou combinaison de champs. Les conditions dans chaque groupe utilisent la logique ET. La logique OU est appliquée entre les groupes. Les filtres dans la capture d'écran configurent l'intégration pour exportation :

  • Événements qui proviennent de Paris ou Madrid, sont de sous-type Pare-feu Internet, et ont abouti à des actions autres que Surveiller ou Inviter
  • Nom d'utilisateur contient Test

Pour créer l'intégration Sentinel :

  1. À partir du menu de navigation, sélectionnez Ressources > Intégrations.
  2. Sur l'onglet Intégrations configurées, cliquez sur Nouveau. Le panneau Nouvelle Intégration s'ouvre.

  3. Sélectionnez Microsoft Sentinel et configurez les champs suivants :

    1. Entrez un Nom pour cette intégration.
    2. Sélectionnez le nom de l'intégration du locataire MS dans le champ Locataire du connecteur
    3. Entrez votre Nom de l'Espace de Travail Log Analytics existant qui reçoit les données dans Microsoft Log Analytics.
    4. Entrez un nouveau Nom de Table Log Analytics pour contenir les données dans l'Espace de Travail Log Analytics portant ce nom. 
    5. Définissez le nombre de jours pendant lesquels vous souhaitez que Microsoft conserve les données Cato dans le champ Jours de Conservation de la Table.
    6. Facultatif : ajoutez des filtres pour contrôler quels événements Cato sont envoyés à Microsoft Sentinel.
  4. Cliquez sur Enregistrer pour déployer l'intégration à Microsoft. 
    Note : Vous avez maintenant 10 minutes pour terminer la configuration dans Microsoft.
  5. Un onglet de navigateur s'ouvre et vous dirige pour autoriser la création de l'intégration dans Microsoft.
    Note: Vous devez autoriser l'intégration avec le même locataire utilisé pour créer l'intégration de locataire MS. L'utilisateur doit avoir les autorisations pour créer des ressources sur ce locataire.
  6. Dans le portail Microsoft, sélectionnez le groupe de ressources et la région qui contiennent l'espace de travail Log Analytics cible, puis cliquez sur Revoir + Créer.
  7. Cliquez sur Créer pour démarrer le déploiement.
  8. Lorsque le déploiement est terminé, vous pouvez fermer la fenêtre Microsoft.
  9. Dans le CMA, actualisez la page Intégrations. Le statut de l'intégration apparaît dans l'onglet Applications intégrées.
image-20251019-105133.png

Choisir entre les méthodes d'intégration natives et personnalisées GitHub

En plus de l'intégration clé en main native décrite dans cet article, vous pouvez également intégrer des événements Cato avec Microsoft Sentinel en utilisant les outils dans le compte GitHub de Cato. Chaque approche offre des avantages distincts selon vos objectifs et votre environnement.

Quand utiliser l'intégration native

L'intégration native de Cato offre une solution évolutive et maintenable avec une configuration minimale. Les avantages de l'intégration native incluent :

  • Gère efficacement de grands volumes d'événements sans limitations basées sur API
  • Est entièrement maintenu et supporté par Cato
  • Cartographie automatique du schéma entre Cato et Microsoft Sentinel
  • Prend en charge les filtres pour affiner les données envoyées à Microsoft Sentinel

Quand utiliser l'intégration GitHub

L'intégration GitHub offre de la flexibilité pour des cas d'utilisation avancés où des sources de données ou des logiques de traitement personnalisées sont nécessaires. Vous voudrez peut-être utiliser cette intégration dans les situations suivantes :

  • L'intégration Cato ne prend pas en charge le type de données que vous souhaitez ingérer
  • Vous souhaitez personnaliser le schéma ou les données du flux d'événements

Limitations Connues

  • Limitation des grands événements : Certains événements XOps peuvent inclure des informations d'histoire étendues dans le champ raw_data, ce qui peut amener l'événement à dépasser les limites de taille d'ingestion de Microsoft Sentinel (environ 1 Mo). Lorsque cela se produit, Cato transfère toujours l'événement à Sentinel, mais omet le champ raw_data pour maintenir la compatibilité avec les exigences d'ingestion de Sentinel.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 1

0 commentaire