Cato offre une visibilité des flux pour le trafic inspecté et traité par le Cato Cloud. Les données de flux aident à enquêter sur le comportement du trafic, comprendre les décisions politiques, analyser l'utilisation des applications et examiner les décisions de routage dans votre environnement.
Les données de flux Cato aident les administrateurs à effectuer de nombreuses tâches similaires à NetFlow, IPFIX et sFlow, telles que la surveillance du trafic, le dépannage, le reporting et l'analyse judiciaire. Cependant, les données de flux Cato sont enrichies avec le contexte de l'architecture de passage unique, qui inclut des informations de niveau application, utilisateur, site, politique et sécurité.
Vous pouvez travailler avec les données de flux en temps réel ou les exporter et les interroger pour des workflows externes :
-
Utilisez l'Application de Gestion Cato (CMA) pour une analyse native basée sur les objets et entités Cato.
-
Transférez les données vers des intégrations prêtes à l'emploi, des SIEM tiers ou le stockage dans le cloud.
-
Analyse des flux structurée basée sur vos outils et workflows existants.
-
-
Utilisez l'API GraphQL Cato pour interroger des données pour des workflows personnalisés. Cela vous aide à construire des tableaux de bord, automatiser les enquêtes et récupérer des données de manière programmatique.
Un flux représente une session de trafic traitée par un PoP dans le Cato Cloud. Cato génère des données de flux pour le trafic évalué par les services Cato, de nombreux moteurs de réseau et de sécurité qui analysent et traitent simultanément les flux de trafic.
Chaque enregistrement de flux inclut le contexte nécessaire pour comprendre comment Cato a traité le trafic. Cela aide les administrateurs à enquêter sur les flux par objets et entités Cato, tels que les applications, sites, utilisateurs, règles de pare-feu et règles réseau. Cette approche vous permet d'analyser le trafic en utilisant des objets et entités Cato au lieu de se fier uniquement aux métadonnées réseau de base. Par exemple, les administrateurs peuvent enquêter sur les flux par application, site, utilisateur, règle de pare-feu ou règle réseau.
Cato ne requiert pas de collecteurs NetFlow, IPFIX ou sFlow séparés à chaque branche. Le Cato Cloud traite le trafic en ligne et génère des données de flux enrichies à partir du même pipeline d'inspection qui applique les décisions de politique de réseau, d'accès à distance et de sécurité. Cela donne aux administrateurs une visibilité centralisée sur les sites, utilisateurs, applications et politiques via le CMA, les intégrations prises en charge et l'API Cato.
Le CMA offre une analyse native des données de flux Cato en utilisant les mêmes objets et entités Cato que vous configurez et surveillez dans le CMA. Cela vous aide à enquêter sur le trafic dans son contexte natif, y compris les sites, utilisateurs, applications, règles de pare-feu et règles réseau.
Utilisez les pages CMA pertinentes, telles que événements et Analytique des Applications, pour enquêter sur le trafic et approfondir les détails au niveau des flux.
Le CMA fournit des intégrations prêtes à l'emploi pour les plateformes prises en charge, comme l'application Cato pour Splunk. Cette intégration vous permet d'analyser les données de flux et d'événements Cato dans Splunk en utilisant des champs et des tableaux de bord Cato structurés. Cela aide les équipes de sécurité et de réseau à corréler les données Cato avec d'autres télémétries dans leur environnement Splunk.
Cato prend en charge des méthodes supplémentaires pour envoyer ou récupérer des données liées aux flux pour des systèmes externes. Les données disponibles, les champs et le comportement peuvent varier selon la méthode d'intégration.
Cato peut envoyer des données d'événements et liées aux flux vers des systèmes externes. Utilisez cette option lorsque vous devez ingérer des données Cato dans un SIEM, stocker les données pour conformité ou rétention, ou corréler les données Cato avec d'autres sources de télémétrie.
Les intégrations SIEM vous permettent d'ingérer les données Cato dans des plateformes d'analyse de sécurité tierces. Ces intégrations aident les équipes de sécurité à analyser les événements Cato et les données liées aux flux avec d'autres télémétries de sécurité.
Pour plus d'informations, consultez la documentation d'intégration SIEM pertinente.
Cato peut envoyer les données vers le stockage dans le cloud pour ingestion par des outils externes ou pour des workflows de rétention. Les destinations de stockage dans le cloud prises en charge incluent :
Des outils externes peuvent alors récupérer les données de la destination de stockage dans le cloud pour analyse, reporting ou workflows d'archivage.
Vous pouvez utiliser l'API GraphQL Cato pour interroger des données pour tableaux de bord personnalisés, automatisation, reporting et enquêtes. Cette option est utile lorsque vous avez besoin d'un accès programmatique aux données Cato pour les workflows non couverts par les pages natives ou les intégrations prises en charge.
Pour plus d'informations, consultez Qu'est-ce que l'API Cato.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.