Configurer l'Add-on Technologique Cato pour l'Intégration Splunk (EA)

Remarque

Remarque : Ceci est une fonction de Disponibilité Précoce (EA) qui est seulement disponible pour une diffusion limitée. Pour plus d'informations sur l'activation de la fonction, contactez votre représentant de Cato Networks ou envoyez un email à ea@catonetworks.com.

Vue d'ensemble

Cato vous permet de diffuser des événements et des flux directement vers Splunk et de normaliser les données vers le Modèle d'Information Commun de Splunk (CIM) avec l'Add-on Technologique Cato (TA), afin que vous puissiez utiliser immédiatement les recherches standards de Splunk, les tableaux de bord et le contenu de détection sans créer de parsing personnalisé. Le TA de Cato est une application Splunk qui cartographie la télémétrie de Cato vers des champs conformes au CIM à utiliser avec les analyses, tableaux de bord et détections de Splunk.

Avec des données normalisées CIM, votre télémétrie est immédiatement utilisable dans tout l'écosystème Splunk, y compris Sécurité d'Entreprise Splunk (ES). Vous pouvez utiliser des tableaux de bord préconstruits, des recherches de corrélation et du contenu de détection sans personnalisation supplémentaire, réduire les frais généraux opérationnels et accélérer les flux de travail d'enquête pour les réseaux, la sécurité et l'activité utilisateur.

Prérequis

Requis :

  • Add-on du Modèle d'Information Commun Splunk (CIM)

Optionnel :

  • Sécurité d'Entreprise Splunk (ES)

Comprendre l'Intégration Cato Splunk

L'intégration Cato Splunk avec le TA supporte les sources de données suivantes :

  • Événements - Événements générés par la plateforme Cato, y compris Internet et Pare-feu WAN, Prévention des Menaces, authentification, système et changements de connectivité

  • Flux - Télémetrie de flux réseau enrichi avec un contexte applicatif et des métriques agrégées

Vous pouvez ingérer les données dans l'un de ces formats :

  • Schéma natif Cato

  • Modèle d'Information Commun Splunk (CIM) utilisant le TA Cato

L'option basée sur CIM vous permet d'utiliser rapidement les analyses et contenu de sécurité natifs de Splunk.

Pour plus d'informations, voir Cato Événement vers Cartographie de Champ CIM Splunk (EA).

Avantages de l'Utilisation du CIM et de la Sécurité d'Entreprise Splunk

L'utilisation de données normalisées CIM avec l'Add-on Technologique Cato fournit ces avantages :

  • Utiliser des modèles de données Splunk standardisés pour une analyse cohérente à travers les environnements

  • Exécuter des recherches de corrélation prêtes à l'emploi et des détections dans Splunk ES

  • Activer des tableaux de bord préconstruits pour le réseau, la sécurité et l'activité utilisateur

  • Réduire le besoin d'extraction et de normalisation de champs personnalisés

  • Accélérer l'accueil SOC et les flux de travail d'enquête

Quand vous utilisez la Sécurité d'Entreprise Splunk (ES) :

  • Les données cartographiées CIM peuplent automatiquement les modèles de données ES

  • Les recherches de corrélation préconstruites génèrent des événements notables

  • Les tableaux de bord de sécurité fournissent une visibilité immédiate sur les menaces et l'activité

  • Les packs de contenu tel que ESCU fonctionnent sans personnalisation supplémentaire

À propos du TA Cato

L'Add-on Technologique Cato (TA) normalise la télémétrie Cato en champs conformes au CIM. Détails de l'application :

  • Nom de l'Application : Add-on pour CIM Cato Networks pour Splunk

  • ID de l'application : TA-catonetworks-cim

  • Auteur : Cato Networks

Modèles de Données CIM Supportés

L'Add-on Technologique Cato cartographie la télémétrie vers ces modèles de données CIM Splunk :

  • Trafic Réseau

  • Détection d'Intrusion

  • Résolution Réseau (DNS)

  • Web

  • Authentification

  • Logiciels Malveillants

  • Modification (Gestion des Comptes)

Déployer le TA Cato

Configurez l'intégration et déployez l'Add-on Technologique pour normaliser les données.

Pour configurer l'intégration avec l'Add-on Technologique Cato :

  1. Depuis le menu de navigation, sélectionnez Ressources > Intégrations.

  2. Configurez l'intégration Splunk pour diffuser les données dans votre environnement Splunk.

  3. Sélectionnez les sources de données :

    • Événements

    • Flux

  4. Dans votre environnement Splunk, recherchez Add-on pour CIM Cato Networks pour Splunk et installez-le.

  5. (Optionnel) Activer la Sécurité d'Entreprise Splunk pour des analyses avancées et des détections.

Configuration Recommandée

Pour une meilleure visibilité dans Splunk, nous vous recommandons d'activer à la fois Événements et Flux pour l'intégration. Cela fournit une couverture télémetrique plus large et vous permet de corréler les événements de sécurité discrets avec le contexte du trafic lié. Vous pouvez activer seulement une source de données si nécessaire, et le filtrage d'événements est pris en charge. Cependant, la visibilité complète et la corrélation nécessitent des événements et des flux.

Corréler Événements et Flux

Les Événements et Flux partagent le champ ID de Flux, ce qui vous permet de corréler les événements de sécurité avec le trafic réseau lié. Cela vous aide à enquêter sur les incidents avec le contexte du trafic supplémentaire et améliore l'analyse à travers le réseau, la sécurité et l'activité utilisateur.

Ressources Associées

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire