Intégration des événements Cato avec CrowdStrike

Cet article explique comment configurer l'intégration CrowdStrike pour transmettre les événements Cato.

Remarque

Remarque : Activer le connecteur dans l'application de gestion Cato vous permet d'utiliser le connecteur générique HEC/HTTP avec CrowdStrike, mais les champs spécifiques aux fournisseurs (Fournisseur, Produit du fournisseur) et l'analyse du schéma CrowdStrike ne sont pas pris en charge. Les champs spécifiques aux fournisseurs et l'analyseur CrowdStrike optionnel sont actuellement en version bêta. Pour plus d'informations et pour activer ces fonctionnalités, contactez votre représentant CrowdStrike.

Vue d'ensemble

L'intégration Next-Gen SIEM de CrowdStrike permet à Cato de transmettre des événements directement à CrowdStrike en utilisant un connecteur natif. Vous pouvez diffuser les événements Cato normalisés, avec un contexte riche sur l'activité du réseau, les menaces, les utilisateurs, les appareils et tous les autres aspects du trafic traversant la plateforme Cato directement dans Falcon Next Gen. Cela permet aux analystes d'examiner et de rechercher avec un contexte complet du réseau sans quitter Falcon.

Pour configurer l'intégration CrowdStrike, vous devez :

  1. Configurer l'intégration au sein de l'application SaaS

  2. Créer le connecteur API dans l'application de gestion Cato (CMA)

Cas d'utilisation

Une entreprise utilise CrowdStrike pour la surveillance centrale de la sécurité et la réponse. En tant que clients Cato, ils disposent de données utiles provenant de fonctionnalités clés telles que l'activité du réseau, les menaces, les données utilisateur, les appareils et tous les autres aspects du trafic traversant la plateforme Cato. Ils peuvent utiliser cette intégration pour envoyer ces données directement à CrowdStrike, où elles peuvent être facilement intégrées dans les flux de travail existants pour les équipes SOC et NOC.

Prérequis

  • Abonnement Falcon Next-Gen SIEM ou Falcon Next-Gen SIEM 10GB.

  • Pour les champs spécifiques aux fournisseurs et l'analyseur CrowdStrike optionnel, la fonction bêta doit être activée dans CrowdStrike. Pour plus d'informations et pour activer ces fonctionnalités, contactez votre représentant CrowdStrike.

  • Pour ajouter un connecteur, vous devez avoir la permission d'éditeur pour Intégrations (dans la section Ressources). Pour plus d'informations, voir Gestion des rôles d'admin utilisant RBAC.

  • Veuillez revoir les prérequis pour toutes les intégrations d'événements Cato dans Commencer avec les intégrations d'événements

Configuration de l'intégration CrowdStrike

Pour configurer l'intégration CrowdStrike, créez une connexion de données.

Étape 1 : Configurer l'intégration dans la console Falcon

Dans la console Falcon, créez une connexion de données et identifiez le XXXXX

Pour configurer l'intégration CrowdStrike :

  1. Dans votre console Falcon CrowdStrike, naviguez vers Connecteurs de données > Connecteurs de données > Connexions de données.

  2. Cliquez sur Ajouter une connexion.

  3. Dans le filtre Produit, appliquez un filtre pour HEC et dans le filtre Type de connecteur, appliquez un filtre pour Push.

  4. Cliquez sur le Connecteur d'événements HEC/HTTP et cliquez sur Configurer.

  5. Ajoutez un nom pour la connexion et ajoutez les détails suivants (uniquement pris en charge si activé dans CrowdStrike, pour plus d'informations voir le Prérequis) :

    • Fournisseur : CatoNetworks

    • ProduitFournisseur : CatoNetworksSASECloud

    • (Optionnel) Analyseurs : cato-sase

  6. Affirmez les termes et conditions et cliquez sur Créer une connexion.

  7. Une fois la connexion créée, cliquez sur les trois points et sélectionnez Générer clé API suivi de Régénérer clé API.

  8. Copiez et enregistrez la clé API et l'URL API pour qu'elles puissent être entrées dans la CMA.

Étape 2 : Créer le connecteur API dans la CMA

Après avoir configuré une intégration avec l'application requise, ajoutez les détails à la CMA.

Pour créer le connecteur API dans la CMA :

  1. Dans le menu de navigation, cliquez sur Ressources > Intégrations.

  2. Cliquez sur l'onglet Intégrations configurées.

  3. Cliquez sur Nouveau.

    Le panneau Nouvelle Intégration s'ouvre.

  4. Sélectionnez le CrowdStrike Falcon NG-SIEM.

  5. Ajoutez les détails créés lors de la première étape.

  6. Cliquez sur Enregistrer.

  7. L'application est visible sur le tableau Applications intégrées avec un statut Connecté.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 3 sur 3

0 commentaire