Cato घटनाएँ और Azure स्टोरेज के साथ एकीकरण करना

घटना एकीकरण का अवलोकन

वे संगठन जो इवेंट डेटा को Azure स्टोरेज खाता में संग्रहीत और प्रबंधित करते हैं, वे अपने Cato खाते को स्वचालित रूप से उन घटनाओं को अपलोड करने के लिए विन्यस्त कर सकते हैं। 

यह एकीकरण Cato क्लाउड से स्टोरेज खाते में सीधे घटनाएँ धकेलता है, जबकि eventsFeed API के लिए Cato से डेटा खींचना ज़रूरी है और यह दर सीमा के द्वारा प्रभावित हो सकता है।

Cato क्लाउड डेटा को स्टोरेज खाता में हर 60 सेकंड में या जब 10 MB से अधिक डेटा संचित होता है, तब अपलोड करता है। डेटा HTTPS के माध्यम से सुरक्षित रूप से स्थानांतरित किया जाता है।

घटनाओं को संकुचित .GZ प्रारूप में अपलोड किया जाता है। कुछ क्लाइंट (उदाहरण के लिए, कुछ ब्राउज़र) इन फ़ाइलों को बिना .GZ एक्सटेंशन हटाए स्वचालित रूप से डी-कंप्रेस कर सकते हैं। यदि ऐसा होता है, तो फ़ाइल एक्सटेंशन को LOG या TXT में बदलने से फ़ाइल के प्रारूप को उसके एक्सटेंशन के साथ सही ढंग से जोड़ा जा सकता है।

घटनाएँ एकीकरण उपयोग मामला

उदाहरण कंपनी IPS संदिग्ध गतिविधि निगरानी सुविधा का उपयोग कर रही है जो बहुत सारे सुरक्षा ईवेंट उत्पन्न करती है। वे सभी इवेंट डेटा को संग्रहीत करने के लिए एक Azure स्टोरेज खाता बनाने का निर्णय लेते हैं, जिसे वे अपने SIEM समाधान के साथ एकीकृत कर सकते हैं। नमूना कंपनी इवेंट्स इंटीग्रेशन को सक्षम करती है और उनके Cato खाते में एकीकरण के रूप में Azure स्टोरेज खाता जोड़ती है ताकि सभी IPS घटनाएँ स्वचालित रूप से Azure स्टोरेज में अपलोड हो सकें।

पूर्वापेक्षाएँ

Azure स्टोरेज अकाउंट कॉन्फ़िगर करना

Cato ईवेंट डेटा के लिए नया स्टोरेज खाता और कंटेनर बनाएं, हम सुझाव देते हैं कि आप ईवेंट इंटीग्रेशन के लिए मौजूदा स्टोरेज खाता का उपयोग न करें। आप Azure कनेक्शन स्ट्रिंग को एक्सेस की या साझा एक्सेस सिग्नेचर (एसएएस) से उपयोग कर सकते हैं।

कनेक्शन स्ट्रिंग के लिए एक्सेस कीज़ का उपयोग करना

जो ग्राहक Cato स्टोरेज खाते को प्रमाणित करने के लिए Azure एक्सेस कुंजियाँ उपयोग कर रहे हैं, उनके लिए कनेक्शन स्ट्रिंग को कॉपी करें। जब आप Azure इंटीग्रेशन को कॉन्फ़िगर करते हैं, तो आप Cato प्रबंधन अनुप्रयोग में एक्सेस कुंजियों की कनेक्शन स्ट्रिंग को पेस्ट करेंगे।

एक स्टोरेज खाता बनाने के लिए जो एक्सेस कुंजियों का उपयोग करता है:

  1. उपयुक्त सेटिंग्स के साथ नया स्टोरेज खाता बनाएं।

    1. इंस्टेंस विवरण में, मानक प्रदर्शन चुनें।

      basic_storage_account.png
    2. समीक्षा करें पर क्लिक करें और फिर बनाएँ पर क्लिक करें।

  2. ईवेंट डेटा के लिए नया कंटेनर बनाएं (डेटा स्टोरेज > कंटेनर)।

    जब आप ईवेंट्स के लिए एकीकरण बनाते हैं (नीचे), तो आप Cato प्रबंधन अनुप्रयोग में कंटेनर नाम दर्ज करेंगे।

  3. बाएँ नेविगेशन पैन में, सुरक्षा + नेटवर्किंग अनुभाग में जाएँ और एक्सेस कुंजियाँ चुनें।

  4. स्टोरेज खाता के लिए एक्सेस कुंजी कनेक्शन स्ट्रिंग की प्रतिलिपि बनाएं।

    access_key_string.png
  5. घटनाओं के लिए Azure खाता संग्रहण जोड़ें (नीचे जारी रखें)।

कनेक्शन स्ट्रिंग के लिए SAS का उपयोग करना

Azure SAS आपको स्टोरेज कंटेनर के लिए अनुमतियाँ प्रतिबंधित करने की अनुमति देता है, जैसे कि अनुमत IP पते, और कनेक्शन स्ट्रिंग की समाप्ति तिथि।

SAS कनेक्शन स्ट्रिंग के लिए टोकन में एक समाप्ति तिथि शामिल होती है, जो घटना एकीकरण पृष्ठ पर प्रदर्शित होती है। समाप्ति तिथि के बाद, टोकन अब मान्य नहीं होता है, और Cato स्टोरेज कंटेनर को घटनाएँ नहीं भेज सकता। घटनाओं की अबाधित अपलोडिंग बनाए रखने के लिए, सुनिश्चित करें कि आप SAS समाप्ति तिथि से पहले एक नई कनेक्शन स्ट्रिंग उत्पन्न करें और इसे एकीकरण पर लागू करें।

Cato घटना डेटा प्राप्त करने के लिए Azure में एक स्टोरेज खाता कॉन्फ़िगर करने के लिए:

  1. उपयुक्त सेटिंग्स के साथ एक नया स्टोरेज खाता बनाएँ।

    1. इंस्टेंस विवरण में, मानक प्रदर्शन चुनें।

      basic_storage_account.png
    2. समीक्षा करें पर क्लिक करें और फिर बनाएँ क्लिक करें।

  2. घटना डेटा के लिए एक नया कंटेनर बनाएँ (डेटा स्टोरेज > कंटेनर)।

    जब आप घटनाओं के लिए एकीकरण बनाएँगे, तब आप Cato प्रबंधन अनुप्रयोग में कंटेनर नाम दर्ज करेंगे (नीचे)।

  3. बाएँ नेविगेशन पैन में, सुरक्षा + नेटवर्किंग अनुभाग में जाएँ और साझा पहुँच हस्ताक्षर चुनें।

  4. SAS को निम्नलिखित एक्सेस अनुमतियों के साथ कॉन्फ़िगर करें:

    • अनुमत सेवाएं - ब्लॉब, फ़ाइल
    • अनुमत संसाधन प्रकार - कंटेनर, वस्तु
    • अनुमत अनुमतियाँ - पढ़ें, लिखें, सूचीबद्ध करें
    SAS_settings.png
  5. SAS और कनेक्शन स्ट्रिंग उत्पन्न करें पर क्लिक करें।

  6. स्टोरेज खाता के लिए कनेक्शन स्ट्रिंग की प्रतिलिपि बनाएं। जब आप घटनाओं के लिए एकीकरण बनाएँगे, तो इस स्ट्रिंग को चिपकाएँ (नीचे)।

    sas_string.png

Azure स्टोरेज के लिए एक इवेंट एकीकरण जोड़ना

इवेंट्स इंटीग्रेशन टैब में Azure स्टोरेज खाता के लिए एक नया एकीकरण बनाएँ और एकीकरण में कनेक्शन स्ट्रिंग पेस्ट करें। यह स्ट्रिंग Cato को स्टोरेज खाते में घटना डेटा अपलोड करने की अनुमति देती है। आप एकीकरण बनाने के बाद स्ट्रिंग को संपादित नहीं कर सकते; इसके बजाय आप रीसेट कर सकते हैं और फिर कनेक्शन स्ट्रिंग पेस्ट कर सकते हैं।

आप द्वारा Azure स्टोरेज इंटीग्रेशन को परिभाषित और सक्षम किए जाने के बाद, Cato को स्टोरेज खाता में घटनाएँ अपलोड करने के लिए कुछ मिनट लगते हैं।

आप इवेंट प्रकार या उपप्रकार के आधार पर स्टोरेज खाते में अपलोड की जाने वाली घटनाओं को फ़िल्टर कर सकते हैं। उदाहरण के लिए, आप अपने खाते के लिए केवल IPS घटनाएँ अपलोड कर सकते हैं। डिफ़ॉल्ट रूप से, कोई फ़िल्टर लागू नहीं किया गया है, और सभी घटनाएँ स्टोरेज खाता में अपलोड की जाती हैं।

EventIntegration.png

घटनाओं को अपने खाता के लिए अपलोड करने के लिए Azure स्टोरेज एकीकरण जोड़ें:

  1. नेविगेशन मेनू से संसाधन > इवेंट इंटीग्रेशन चुनें।
  2. Cato घटनाओं के साथ एकीकरण सक्षम करें
  3. नया पर क्लिक करें। नया एकीकरण पैनल खुलता है।
  4. एकीकरण में, Azure Storage Account चुनें और एकीकरण के लिए नाम दर्ज करें।

  5. Azure में सेटिंग्स के आधार पर एकीकरण के लिए इन कनेक्शन विवरण दर्ज करें:

    • कनेक्शन स्ट्रिंग - वह कनेक्शन स्ट्रिंग पेस्ट करें जिसे आपने स्टोरेज खाता से कॉपी किया था
    • नाम - स्टोरेज खाता में कंटेनर का समान नाम
    • (वैकल्पिक) फ़ोल्डर - कंटेनर के अंदर फ़ोल्डर पथ का समान नाम (यदि आवश्यक हो)

  6. (वैकल्पिक) उन घटनाओं के लिए फिल्टर सेटिंग्स परिभाषित करें जो स्टोरेज खाते में अपलोड की जाती हैं।

    जब आप एकाधिक फिल्टर परिभाषित करते हैं, तो एक AND संबंध होता है, और सभी फिल्टर से मेल खाने वाली घटनाएँ अपलोड की जाती हैं।

  7. लागू करें पर क्लिक करें। Azure Storage खाता अब आपके खाता के साथ एकीकृत है।

    नोट: आप अपने खाते के लिए अधिकतम तीन ईवेंट एकीकरण परिभाषित कर सकते हैं।

क्या यह लेख उपयोगी था?

4 में से 2 के लिए उपयोगी रहा

0 टिप्पणियां