Cato घटनाओं का एकीकरण Microsoft Sentinel के साथ

अवलोकन

Microsoft Sentinel एकीकरण का उपयोग करें ताकि निगरानी, संबंध, और जांच वर्कफ़्लोज़ में Cato घटना डेटा शामिल किया जा सके। मूल एकीकरण Cato से सीधे Sentinel को घटनाएँ भेजता है और स्वचालित रूप से Sentinel डेटा मॉडल में मैप करता है, ताकि डैशबोर्ड, एनालिटिक्स नियम, अलर्ट और अन्य Sentinel सुविधाएँ अतिरिक्त पार्सिंग या सामान्यीकरण के बिना Cato घटना डेटा को प्रोसेस कर सकें।

एकीकरण Cato Microsoft एकीकरणों में प्रमाणीकरण और परिवहन के लिए मानक Cato Microsoft Tenant कनेक्टर का उपयोग करता है। साझा कनेक्टर Entra ID और App और डेटा API जैसे एकीकरणों के लिए एक सुसंगत विन्यास वर्कफ़्लो और केंद्रीकृत पहुँच नियंत्रण प्रदान करता है।

उपयोग केस

एक कंपनी केंद्रीकृत सुरक्षा निगरानी और प्रतिक्रिया के लिए Microsoft Sentinel का उपयोग कर रही है। Cato ग्राहकों के रूप में, उनके पास IPS जैसी प्रमुख सुरक्षा विशेषताओं से उपयोगी डेटा है। वे इस एकीकरण का उपयोग उच्च-गंभीरता वाले IPS घटना प्रकारों को सीधे Sentinel को भेजने के लिए कर सकते हैं, जहाँ वे आसानी से मौजूदा वर्कफ़्लो में SoC टीम के लिए एकीकृत हो सकते हैं।

न्यूनतम जरूरतें

कॉन्फ़िगर किए गए एकीकरण टैब में CMA में MS Tenant एकीकरण(Resources > Integrations)

यह Microsoft ऐप्स के लिए एक पैरेन्ट एकीकरण है
ऐसा Sentinel में मौजूद एक लॉग एनालिटिक्स workspace जहाँ Cato घटनाएँ संग्रहीत की जाएँगी।
कनेक्टर जोड़ने के लिए, आपको एकीकरण (में संसाधन अनुभाग) के लिए संपादक अनुमति होनी चाहिए। अधिक जानकारी के लिए, देखें RBAC का उपयोग करते हुए एडमिन भूमिकाएँ प्रबंधन।
इवेंट एकीकरण के साथ आरंभ करने के लिए सभी Cato घटना एकीकरण की पूर्वापेक्षाएँ की समीक्षा करें।

MS Tenant एकीकरण का निर्माण

MS टेनेंट अधिकांश Microsoft ऐप्स के लिए एक पैरेन्ट कनेक्टर के रूप में कार्य करता है। जब Microsoft ऐप के साथ एकीकरण जोड़ते हैं, तो एकीकरण को कॉन्फ़िगर करने का पहला कदम पैरेन्ट कनेक्टर बनाना होता है। आपको इस कनेक्टर को केवल एक बार कॉन्फ़िगर करना होगा, और उसके बाद इसे सभी Microsoft ऐप्स के लिए उपयोग किया जा सकता है।

MS Tenant एकीकरण को बनाने के लिए:

नेविगेशन मेनू से चुनें Resources > Integrations और कॉन्फ़िगर किया गयाएकीकरण टैब क्लिक करें।
नया पर क्लिक करें। नया कनेक्टर पैनल खुलता है।
नया कनेक्टर पैनल में, MS टेनेंट (एक नया MS टेनेंट कॉन्फ़िगर करें) ऐप चुनें।
कनेक्टर का नाम दर्ज करें।
अधिकृत करें और सहेजें पर क्लिक करें।

एक नया ब्राउज़र टैब Microsoft 365 ऐप में खोलता है।
नए ब्राउज़र टैब में, Microsoft 365 ऐप के लिए प्रमाणित करें।
1. Microsoft 365 ऐप के लिए Microsoft खाता चुनें।
  
  अन्यथा, एक Microsoft प्रमाणीकरण त्रुटि हो सकती है।
2. ऐप के पासवर्ड दर्ज करें और उसे स्वीकृत करें।
3. Cato को Microsoft 365 ऐप की पहुंच देने के लिए अनुमतियाँ स्वीकार करें।
4. स्क्रीन दिखाता है कि आपने सफलतापूर्वक ऐप के लिए अनुमतियाँ लागू की हैं।
  
  आप ब्राउज़र टैब को बंद कर सकते हैं और Cato प्रबंधन अनुप्रयोग पर लौट सकते हैं।
Microsoft 365 SaaS एप्लिकेशन समेकित ऐप्स टैब में जोड़ा गया है।

Sentinel एकीकरण का निर्माण

CMA में लक्षित Microsoft Tenant, कार्यक्षेत्र, और तालिका निर्दिष्ट करके Sentinel एकीकरण को परिभाषित करें, साथ ही उस एकीकरण में शामिल करने के लिए कौन सी घटनाएँ हैं, यह निर्धारित करने के लिए फिल्टर का उपयोग करें। इसके बाद, जब आप Sentinel एकीकरण को सहेज लेते हैं, तो आपको Microsoft टेनेंट को प्रमाणित करना होगा और Cato को आपके Sentinel खाते में डेटा पुश करने की अनुमति देनी होगी।

CMA में एकीकरण बनाने के बाद, सुरक्षा कारणों से Microsoft में प्रक्रिया पूरी करने के लिए आपके पास 10 मिनट हैं। यदि इस अवधि में प्रक्रिया पूर्ण नहीं होती है, तो आपको CMA में एकीकरण को हटाने और फिर से शुरू करने की आवश्यकता होगी।

एकीकरण के बनने के बाद, डेटा ऊपर निर्दिष्ट तालिका में Microsoft के लिए प्रवाहित होता है। Cato तालिका के नाम में "_CL" अक्षर जोड़ता है ताकि आप इसे Microsoft में अंतर्निर्मित तालिकाओं से भिन्न कर सकें।

CMA में एकीकरण को हटाना Microsoft में बनाए गए किसी भी संसाधन को नहीं हटाता है।

नोट: यदि तृतीय-पक्ष सेवा की पहुंच को विशिष्ट IP पतों तक सीमित किया गया है, तो Cato IP पतों की सूची के लिए इस लेख को देखें जिन्हें आपको अनुमति देनी होगी (आपको इस लेख को देखने के लिए साइन इन होना होगा)।

Sentinel एकीकरण बनाने के लिए:

नेविगेशन मेनू से संसाधन > एकीकरण पर क्लिक करें।
कॉन्फ़िगर किए गए एकीकरण टैब पर, नया क्लिक करें। नया एकीकरण पैनल खुलता है।
Microsoft Sentinel चुनें और निम्नलिखित फ़ील्ड्स को कॉन्फ़िगर करें:
1. इस एकीकरण के लिए एक नाम दर्ज करें।
2. कनेक्टर टेनेंट फ़ील्ड में MS टेनेंट का नाम चुनें।
3. Microsoft लॉग एनालिटिक्स में डेटा प्राप्त करने वाले मौजूदा लॉग एनालिटिक्स workspace का नाम दर्ज करें।
4. लॉग एनालिटिक्स workspace में इस नाम के साथ डेटा रखने के लिए एक नया लॉग एनालिटिक्स टेबल नाम दर्ज करें।
5. तालिका प्रतिधारण दिनों में आप चाहते हैं कि Microsoft कितने दिनों तक Cato डेटा को रखे, परिभाषित करें।
6. केवल कुछ Cato घटनाएँ Microsoft Sentinel को भेजने के लिए एक फिल्टर जोड़ें।
Microsoft पर एकीकरण को स्थापित करने के लिए सहेजें पर क्लिक करें। अब आपके पास Microsoft में सेटअप को पूरा करने के लिए दस मिनट हैं।
एक ब्राउज़र टैब खुलता है और आपको Microsoft में एकीकरण के निर्माण को अधिकृत करने के लिए निर्देशित करता है।

नोट: आपको उसी किरायेदार के साथ एकीकरण अधिकृत करना होगा जिसके साथ मास्टर कनेक्टर MS Tenant एकीकरण में बनाया गया था और उस किरायेदार पर संसाधन बनाने की अनुमति वाले उपयोगकर्ता होना चाहिए।
Microsoft पोर्टल में, संसाधन समूह और क्षेत्र चुनें जिसमें लक्षित लॉग एनालिटिक्स कार्यक्षेत्र शामिल है और समीक्षा + बनाएं दबाएं।
परिनियोजन शुरू करने के लिए बनाएँ पर क्लिक करें।
जब तैनाती पूर्ण हो जाती है, तो आप Microsoft विंडो को बंद कर सकते हैं।
CMA में, एकीकरण पृष्ठ को ताज़ा करने के बाद, आप एकीकृत ऐप्स टैब में एकीकरण की स्थिति देख सकते हैं।

मूल टर्नकी और कस्टम गिटहब एकीकरण विधियों के बीच चयन करना

इस लेख में वर्णित मूल टर्नकी एकीकरण के अलावा, आप Cato गिटहब खाता में उपकरणों का उपयोग करके Microsoft Sentinel के साथ Cato घटनाओं को भी एकीकृत कर सकते हैं। प्रत्येक दृष्टिकोण आपके लक्ष्यों और वातावरण के आधार पर विभिन्न लाभ प्रदान करता है।

मूल एकीकरण कब उपयोग किया जाए

Cato के मूल एकीकरण का एक स्केलेबल और सहायक समाधान है जो न्यूनतम कॉन्फ़िगरेशन के साथ है। मूल एकीकरण के लाभों में शामिल हैं:

बिना किसी API आधारित सीमाओं के कुशलतापूर्वक बड़ी मात्रा में घटनाएँ संभालने की क्षमता।
Cato द्वारा पूरी तरह से बनाए रखा और समर्थित।
स्वचालित रूप से Cato और Microsoft Sentinel के बीच स्कीमा को मैप करता है।

गिटहब एकीकरण का उपयोग कब किया जाए

गिटहब एकीकरण उन्नत उपयोग मामलों के लिए लचीलापन प्रदान करता है जहाँ कस्टम डेटा स्रोत या प्रसंस्करण लॉजिक की आवश्यकता होती है। आप निम्नलिखित स्थितियों में इस एकीकरण का उपयोग करना चाह सकते हैं:

Cato एकीकरण उस प्रकार के डेटा का समर्थन नहीं करता है जिसे आप इनजेस्ट करना चाहते हैं।
आप स्कीमा या घटनाओं फीड डेटा को अनुकूलित करना चाहते हैं।

ज्ञात सीमाएँ

बड़ी घटना सीमा: कुछ XOps घटनाएँ raw_data क्षेत्र में विस्तृत कहानी जानकारी शामिल कर सकती हैं, जो Microsoft Sentinel इनजेशन आकार सीमा (लगभग 1 एमबी) को पार कर सकती है। जब यह होता है, Cato अभी भी घटना को Sentinel की ओर फॉरवर्ड करता है लेकिन raw_data क्षेत्र को Sentinel इनजेशन आवश्यकताओं के साथ संगतता बनाए रखने के लिए छोड़ देता है।