L'intégration Splunk permet à Cato de transmettre les données directement à Splunk en utilisant un connecteur natif et prend en charge deux sources de données :
- Événements - Générés lorsqu'une activité spécifique se produit dans le réseau ou le système, comme lorsque une règle de Politique de déploiement est correspondante ou une Menace est détectée. Ces enregistrements fournissent des aperçus discrets et en temps réel de la sécurité et de l'application de la politique de déploiement. Les données sont envoyées en utilisant le schéma d'événement de Cato.
-
Flux - Ils originent comme les flux réseau (5-uple) et sont enrichis d'informations au niveau de l'application lorsqu'elles deviennent disponibles via les différents moteurs Cato. En plus du contexte de l'application et de l'utilisateur, les flux incluent les données de session agrégées telles que les octets, les paquets et la durée, fournissant une vue complète de l'activité réseau au fil du temps. Le surensemble de champs de flux est représenté par le schéma appStats.
Certains champs sont disponibles uniquement pour les flux diffusés via l'intégration native et ne font pas partie d'appStats ou Analytique des applications. Par exemple, le flow_id et les métriques agrégées telles que les paquets et octets amont et descendant, et la durée du flux. Ces champs sont marqués avec le commentaire suivant :
Disponible uniquement pour l'intégration des données des flux natifs créée dans le CMA.
Note : Le champ de données brutes contenant les informations d'incident pour les événements XOps (détection et réponse de type d'événement) peut être tronqué lorsqu'il est envoyé à Splunk si leur champ raw_data (qui inclut les informations de l'histoire) dépasse 5 MB (c'est la valeur par défaut de Splunk, mais elle peut être augmentée).
Une entreprise utilise Splunk pour la surveillance et la réponse de sécurité centralisée. En tant que clients Cato, ils disposent de données utiles issues de fonctionnalités clés telles que l'activité réseau, les menaces, les données utilisateur, les appareils et tous les autres aspects du trafic traversant la plateforme Cato. Ils peuvent utiliser cette intégration pour envoyer ces données directement à Splunk, où ils peuvent facilement les intégrer dans les flux de travail existants pour les équipes SOC et NOC.
Un analyste en sécurité dans Splunk identifie un événement suspect où un utilisateur a accédé à une application à haut risque qui peut être associée à de l'exfiltration de données. En utilisant uniquement les événements Cato, l'analyste peut voir la décision de politique de déploiement, l'identité de l'utilisateur et l'application. Cependant, l'événement ne montre pas la quantité de données transférée ni la durée de session.
Avec les données de flux de trafic agrégées corrélées à l'événement en utilisant le champ flow_id, l'analyste peut voir le contexte complet de la session, y compris les octets totaux transférés, le nombre de paquets et la durée de session. Cela permet à l'analyste de déterminer si l'activité impliquait une interaction minimale ou un transfert de données conséquent pouvant indiquer une exfiltration.
En combinant les événements et les données de flux, l'analyste peut rapidement valider la gravité de l'incident et prendre une action appropriée.
- Pour ajouter un connecteur, vous devez avoir la permission d'éditeur pour Intégrations (dans la section Ressources). Pour plus d'informations, voir Gestion des rôles d'admin avec RBAC.
- Veuillez vérifier les prérequis pour toutes les intégrations d'événements Cato dans Commencer avec l'intégration d'événements
Après avoir créé un token HEC dans Splunk, vous définissez une intégration dans le CMA. Vous pouvez utiliser les filtres pour limiter les données d'événements que vous souhaitez inclure dans l'intégration. Une fois l'intégration créée, les données affluent vers Splunk dans l'index que vous avez spécifié.
Dans le processus de configuration, vous pouvez configurer si vous souhaitez intégrer Événements, Flux ou les deux. Par défaut, seuls les Événements sont configurés. La source de données Flux peut générer un volume de données sensiblement plus élevé par rapport aux événements. Le volume exact dépend de votre trafic. Le CMA prend en charge la configuration de multiples intégrations, permettant l'envoi de différentes sources de données selon les besoins.
L'URL et le port de Splunk sont le point de terminaison HEC pour accéder à votre compte. En général, c'est l'URL Web que vous utilisez pour accéder à Splunk avec les caractères "http-inputs-" ajoutés au début. Par exemple, si votre compte est http://mydomain.splunk.com, vous utiliseriez https://http-inputs-mydomain.splunkcloud.com/. Pour plus de détails, consultez la documentation Splunk. Le port est facultatif, et nous utilisons 443 si vous ne spécifiez rien d'autre (ce qui est la valeur par défaut pour Splunk Cloud).
Supprimer l'intégration dans le CMA ne retire pas les ressources créées dans Splunk.
Remarque :
-
Pour les intégrations Splunk Enterprise (auto-gérées) :
- Le point de terminaison Splunk HEC doit être accessible via Internet (c'est-à-dire, exposé via une IP publique ou un nom DNS public). Les IP privées ou les points de terminaison internes uniquement ne sont pas pris en charge.
- L'inspection TLS doit être activée, et le point de terminaison doit présenter un certificat X.509 valide délivré par une Autorité de certification publique de confiance. Les certificats auto-signés ou les certificats CA privés ne sont pas pris en charge, car les connexions sont uniquement validées en utilisant des chaînes de confiance CA standard.
Pour créer l'intégration Splunk :
- Dans votre compte Splunk, créez un nouveau token à utiliser pour cette intégration. Pour les détails, voir la documentation Splunk. Vous pouvez définir un index personnalisé ou utiliser l'index par défaut pour le token.
- Copiez la valeur du token qui est affichée. Vous aurez besoin de cela pour configurer l'intégration avec Cato.
- Dans le menu de navigation, cliquez sur Ressources > Intégrations.
- Dans l'onglet Applications intégrées, cliquez sur Nouveau. Le panneau Nouvelle intégration s'ouvre.
-
Sélectionnez Splunk et configurez les champs suivants :
- Dans le menu déroulant Auth, sélectionnez Clé API.
- Un Nom du connecteur et Description (optionnelle) pour cette intégration.
- L'URL d'ingestion et la Clé API que vous avez créée dans Splunk.
- Spécifiez l'Index qui recevra les données de Cato. Si vous laissez cela vide, nous utiliserons l'index par défaut défini sur le token HEC.
- Que vous souhaitiez intégrer Événements, Flux, ou les deux.
-
Un filtre pour limiter lesquels événements Cato sont envoyés à Splunk.
Note : Les filtres s'appliquent uniquement aux données d'événements.
- Spécifiez si vous souhaitez créer un événement si des erreurs surviennent avec l'intégration.
- Cliquez sur Enregistrer.
- Dans le CMA, après avoir rafraîchi la page Intégrations, vous pouvez voir le statut de l'intégration dans l'onglet Applications intégrées.
En plus de l'intégration native clé en main décrite dans cet article, vous pouvez également intégrer les événements Cato avec Splunk en utilisant les outils du compte GitHub de Cato. Chaque approche offre des avantages uniques en fonction de vos objectifs et de votre environnement. Vous pouvez également utiliser les deux intégrations si nécessaire.
L'intégration native de Cato offre une solution évolutive et supportable avec une configuration minimale. Les avantages de l'intégration native incluent :
- La capacité de traiter efficacement de grands volumes d'événements sans limitations basées sur l'API
- Entièrement maintenu et supporté par Cato
L'intégration GitHub offre une flexibilité pour des cas d'utilisation avancés où des sources de données personnalisées ou une logique de traitement sont nécessaires. Vous pourriez vouloir utiliser cette intégration dans les situations suivantes :
- Vous souhaitez envoyer des données du journal d'audit de Cato à Splunk
- Vous souhaitez utiliser notre GitHub comme ressource open source pour personnaliser l'intégration
0 commentaire
Vous devez vous connecter pour laisser un commentaire.