Utilisez l'intégration Splunk pour inclure les données de réseau et de sécurité de Cato dans vos flux de surveillance, de corrélation et d'investigation existants. L'intégration native envoie les données directement de Cato à Splunk, vous permettant d'analyser l'activité de Cato aux côtés des données provenant d'autres sources sur une plateforme centralisée. Cela vous aide à créer des tableaux de bord, des recherches, des alertes et des rapports sans avoir besoin de mécanismes supplémentaires de collecte de données.
Cato propose également une intégration GitHub personnalisée à partir du dépôt GitHub Cato. Pour plus de détails, voir Choisir entre les méthodes d'intégration native clé en main et GitHub personnalisée ci-dessous.
L'intégration Splunk prend en charge deux sources de données :
- Événements - Générés lorsqu'une activité spécifique se produit dans le réseau ou le système, par exemple lorsqu'une règle de politique est appliquée ou qu'une menace est détectée. Ces enregistrements fournissent des aperçus discrets et en temps réel de la sécurité et de l'application de la politique de déploiement. Les données sont envoyées en utilisant le schéma d'événement de Cato.
-
Flux - Provenant de flux réseau (5-tuple) et enrichis avec des informations au niveau des applications dès qu'elles deviennent disponibles à partir des moteurs Cato. En plus du contexte de l'application et de l'utilisateur, les flux incluent les données de session agrégées telles que les octets, les paquets et la durée, fournissant une vue complète de l'activité réseau au fil du temps. Le surensemble de champs de flux est représenté par le schéma appStats.
Certains champs sont disponibles uniquement pour les flux diffusés via l'intégration native et ne font pas partie d'appStats ou Analytique des applications. Par exemple, le flow_id et les métriques agrégées telles que les paquets et octets amont et descendant, et la durée du flux. Ces champs sont marqués avec le commentaire suivant :
Disponible uniquement pour l'intégration des données des flux natifs créée dans le CMA.
Par défaut, de nouvelles intégrations exportent uniquement Événements. La source de données Flux peut générer un volume de données considérablement plus élevé comparé aux événements. Le volume exact dépend de votre trafic. Le CMA prend en charge la configuration de multiples intégrations, permettant l'envoi de différentes sources de données selon les besoins. Le filtrage n'est pris en charge que pour les Événements.
Sample Company utilise Splunk pour la surveillance centralisée de la sécurité et la réponse. En tant que client Cato, ils disposent de données utiles provenant de fonctionnalités clés telles que l'activité réseau, les menaces, les données utilisateur, les appareils et tous les autres aspects du trafic traversant la plateforme Cato. Ils peuvent utiliser cette intégration pour envoyer ces données directement à Splunk, où ils peuvent facilement les intégrer dans les flux de travail existants pour les équipes SOC et NOC.
Un analyste en sécurité dans Splunk identifie un événement suspect où un utilisateur a accédé à une application à haut risque qui peut être associée à de l'exfiltration de données. En utilisant uniquement les événements Cato, l'analyste peut voir la décision de politique de déploiement, l'identité de l'utilisateur et l'application. Cependant, l'événement ne montre pas la quantité de données transférée ni la durée de session.
Avec les données de flux de trafic agrégées corrélées à l'événement en utilisant le champ flow_id, l'analyste peut voir le contexte complet de la session, y compris les octets totaux transférés, le nombre de paquets et la durée de session. Cela permet à l'analyste de déterminer si l'activité impliquait une interaction minimale ou un transfert de données conséquent pouvant indiquer une exfiltration.
En combinant les événements et les données de flux, l'analyste peut rapidement valider la gravité de l'incident et prendre une action appropriée.
- Pour ajouter un connecteur, vous devez avoir la permission d'éditeur pour Intégrations (dans la section Ressources). Pour plus d'informations, voir Gestion des rôles d'admin avec RBAC.
- L'URL Splunk et le port sont le point d'accès HEC pour accéder à votre compte. En général, il s'agit de l'URL web que vous utilisez pour accéder à Splunk, avec les caractères "http-inputs-" ajoutés au début. Par exemple, si votre compte est http://mydomain.splunk.com, vous utiliseriez https://http-inputs-mydomain.splunkcloud.com/. Pour plus de détails, consultez la documentation Splunk. Le port est optionnel, et nous utilisons 443 si vous ne spécifiez rien d'autre (ce qui est le défaut pour Splunk Cloud).
- Examinez les prérequis pour toutes les intégrations d'événements Cato dans Commencer avec les intégrations d'événements.
Ajoutez une intégration Splunk pour envoyer les événements et flux Cato à un point de terminaison du collecteur d'événements HTTP (HEC) de Splunk. Pour configurer l'intégration, créez un jeton HEC dans Splunk, établissez une nouvelle intégration Splunk dans le CMA, et entrez l'URL d'ingestion et la clé API.
Dans le processus de configuration, vous pouvez choisir d'intégrer Événements, Flux, ou les deux. Par défaut, nous n'exportons que les Événements. La source de données Flux peut générer un volume de données sensiblement plus élevé par rapport aux événements. Le volume exact dépend de votre trafic. Le CMA prend en charge la configuration de multiples intégrations, vous permettant d'envoyer différentes sources de données selon vos besoins.
Remarque :
-
Pour les intégrations Splunk Enterprise (auto-gérées) :
- Le point de terminaison HEC de Splunk doit être accessible par Internet (c'est-à-dire exposé via une adresse IP publique ou un nom DNS public). Les IP privées ou les points de terminaison internes uniquement ne sont pas pris en charge.
- L'inspection TLS doit être activée, et le point de terminaison doit présenter un certificat X.509 valide délivré par une Autorité de certification publique de confiance. Les certificats auto-signés ou les certificats CA privés ne sont pas pris en charge, car les connexions sont uniquement validées en utilisant des chaînes de confiance CA standard.
- Supprimer l'intégration dans le CMA ne retire pas les ressources créées dans Splunk.
Filtres
Utilisez des filtres pour contrôler quels événements Cato sont exportés vers Splunk. Cela aide à réduire les coûts d'ingestion, à minimiser le bruit, et à centrer les investigations sur les événements les plus pertinents pour des sites, utilisateurs ou régions spécifiques. Vous pouvez aussi utiliser des filtres pour router différents ensembles d'événements vers différents environnements SIEM.
Utilisez des groupes de filtres pour définir des filtres basés sur tout Champ d'Événement ou combinaison de champs. Les conditions au sein de chaque groupe utilisent la logique ET. La logique OU est appliquée entre les groupes. Les filtres dans la capture d'écran configurent l'intégration pour exporter :
- Événements qui proviennent de Paris ou de Madrid, sont de sous-type Pare-feu Internet, et ont abouti à des actions autre que Surveiller ou Inviter.
- Nom d'utilisateur contient Test
Pour créer l'intégration Splunk :
- Dans votre compte Splunk, créez un nouveau token à utiliser pour cette intégration. Pour les détails, voir la documentation Splunk. Vous pouvez définir un index personnalisé ou utiliser l'index par défaut pour le token.
- Copiez la valeur du token qui est affichée. Vous en avez besoin pour configurer l'intégration avec Cato.
- Dans le menu de navigation, sélectionnez Ressources > Intégrations.
- Sur l'onglet Intégrations configurées, cliquez sur Nouveau. Le panneau Nouvelle intégration s'ouvre.
-
Sélectionnez Splunk et configurez les champs suivants :
- Dans le menu déroulant Auth, sélectionnez Clé API.
- Entrez un Nom de connecteur et une Description facultative pour cette intégration.
- Entrez l'URL d'ingestion et la Clé API que vous avez créées dans Splunk.
- Spécifiez l'index qui reçoit les données de Cato. Si vous laissez blanc, Cato utilise l'index par défaut défini sur le jeton HEC.
- Que vous souhaitiez intégrer Événements, Flux, ou les deux.
- Optionnel : Ajoutez des filtres pour contrôler quels événements Cato sont envoyés à Splunk.
Note: Les filtres s'appliquent uniquement aux données d'événements. - Spécifiez s'il faut créer un événement lorsque des erreurs d'intégration se produisent.
- Cliquez sur Enregistrer.
- Dans le CMA, rafraîchissez la page Intégrations. Le statut de l'intégration apparaît dans l'onglet Applications intégrées.
En plus de l'intégration native clé en main décrite dans cet article, vous pouvez également intégrer les événements Cato avec Splunk en utilisant les outils du compte GitHub de Cato. Chaque approche offre des avantages uniques en fonction de vos objectifs et de votre environnement. Vous pouvez également utiliser les deux intégrations si nécessaire.
L'intégration native de Cato offre une solution évolutive et supportable avec une configuration minimale. Les avantages de l'intégration native incluent :
- Gère de grands volumes d'événements efficacement sans limitations basées sur l’API
- Est entièrement maintenu et soutenu par Cato
- Prend en charge les filtres pour affiner les données envoyées à Splunk
L'intégration GitHub offre une flexibilité pour des cas d'utilisation avancés où des sources de données personnalisées ou une logique de traitement sont nécessaires. Vous pourriez vouloir utiliser cette intégration dans les situations suivantes :
- Vous souhaitez envoyer des données du journal d'audit de Cato à Splunk
- Vous voulez utiliser le dépôt GitHub Cato comme une ressource open-source pour personnaliser l'intégration
Limitations connues
- Limitation des grands événements : Les informations d'incident peuvent être tronquées lors de leur envoi à Splunk si le champ raw_data (qui inclut les informations de l'histoire) dépasse 5 Mo en taille (c'est le défaut de Splunk, mais il peut être augmenté).
0 commentaire
Vous devez vous connecter pour laisser un commentaire.