Cato घटनाओं का एकीकरण Microsoft Sentinel के साथ

अवलोकन

अपने मौजूदा निगरानी, सहसंबंध, और जांच वर्कफ़्लो में Cato ईवेंट डेटा को शामिल करने के लिए Microsoft Sentinel एकीकरण का उपयोग करें। 

Cato Microsoft Sentinel के साथ दो प्रकार की एकीकरण प्रदान करता है। प्रत्येक दृष्टिकोण आपके लक्ष्यों और पर्यावरण के आधार पर विशिष्ट लाभ प्रदान करता है:

  • अनुकूलित टर्नकी एकीकरण घटनाओं को सीधे Cato से Sentinel तक भेजता है और स्वचालित रूप से उन्हें Sentinel डेटा मॉडल पर मैप करता है, जिससे डैशबोर्ड्स, एनालिटिक्स नियम, अलर्ट और अन्य Sentinel सुविधाएँ Cato ईवेंट डेटा को बिना अतिरिक्त पार्सिंग या सामान्यीकरण के प्रोसेस कर सकते हैं।
    यह एकीकरण प्रमाणीकरण और Cato Microsoft एकीकरणों के बीच परिवहन के लिए मानक Cato MS टेनेंट कनेक्टर का उपयोग करता है। साझा कनेक्टर Entra ID और App और डेटा API जैसे एकीकरणों के लिए एक सुसंगत विन्यास वर्कफ़्लो और केंद्रीकृत पहुँच नियंत्रण प्रदान करता है।
  • एक कस्टम गिटहब एकीकरण Cato GitHub रेपो से उपलब्ध है। अधिक विवरण के लिए, नीचे नेटिव टर्नकी और कस्टम गिटहब एकीकरण विधियों के बीच चयन देखें।

उपयोग केस

सेंपल कंपीनी केंद्रीयीकृत सुरक्षा निगरानी और प्रतिक्रिया के लिए Microsoft Sentinel का उपयोग करती है। एक Cato ग्राहक के रूप में, उनके पास IPS जैसी प्रमुख सुरक्षा सुविधाओं से उपयोगी डेटा है। वे इस एकीकरण का उपयोग उच्च-गंभीरता वाले IPS घटना प्रकारों को सीधे Sentinel को भेजने के लिए कर सकते हैं, जहाँ वे आसानी से मौजूदा वर्कफ़्लो में SoC टीम के लिए एकीकृत हो सकते हैं।

न्यूनतम जरूरतें

  • CMA के तहत संसाधन > एकीकरण > विन्यासित एकीकरण में एक MS टेनेंट एकीकरण।

    यह Microsoft ऐप्स के लिए एक मूल एकीकरण है।

  • Sentinel में एक मौजूदा लॉग एनालिटिक्स वर्कस्पेस जहां Cato ईवेंट सहेजे जाएंगे।
  • कनेक्टर जोड़ने के लिए, आपको एकीकरण (में संसाधन अनुभाग) के लिए संपादक अनुमति होनी चाहिए। अधिक जानकारी के लिए, देखें RBAC का उपयोग करते हुए एडमिन भूमिकाएँ प्रबंधन
  • इवेंट एकीकरण के साथ आरंभ हो रहे हैं में सभी Cato ईवेंट एकीकरण के लिए पूर्वापेक्षाओं की समीक्षा करें।

Microsoft टेनेंट एकीकरण बनाना

MS टेनेंट अधिकांश Microsoft ऐप्स के लिए एक पैरेन्ट कनेक्टर के रूप में कार्य करता है। जब आप Microsoft एकीकरण जोड़ते हैं, तो पहले मूल कनेक्टर बनाएं। आपको केवल इस कनेक्टर को एक बार विन्यस्त करने की आवश्यकता होती है, और फिर आप इसे सभी Microsoft ऐप्स के लिए उपयोग कर सकते हैं।

MS Tenant एकीकरण को बनाने के लिए:

  1. नेविगेशन मेनू से संसाधन > एकीकरण चुनें, फिर विन्यासित एकीकरण टैब पर क्लिक करें।
  2. नया पर क्लिक करें। नया कनेक्टर पैनल खुलता है।

  3. नया कनेक्टर पैनल में, MS टेनेंट (एक नया MS टेनेंट कॉन्फ़िगर करें) ऐप चुनें।

    New_Microsoft_365_Connector.png
  4. कनेक्टर का नाम दर्ज करें।

  5. अधिकृत करें और सहेजें पर क्लिक करें।

    एक नया ब्राउज़र टैब Microsoft 365 ऐप में खोलता है।

  6. नए ब्राउज़र टैब में, Microsoft 365 ऐप के लिए प्रमाणित करें।

    1. Microsoft 365 ऐप के लिए Microsoft खाता चुनें।

      अन्यथा, एक Microsoft प्रमाणीकरण त्रुटि हो सकती है।

    2. Microsoft खाते के लिए पासवर्ड दर्ज करें और इसे स्वीकृत करें।

    3. Cato को Microsoft 365 ऐप की पहुंच देने के लिए अनुमतियाँ स्वीकार करें

      एक सफलता पृष्ठ दिखाता है कि अनुमतियाँ लागू की गई थीं।

    4. आप ब्राउज़र टैब को बंद कर सकते हैं और Cato प्रबंधन अनुप्रयोग पर लौट सकते हैं।
  7. Microsoft 365 ऐप समन्वित ऐप्स टैब में जोड़ दिया गया है।

Sentinel एकीकरण का निर्माण

CMA में टार्गेट Microsoft टेनेंट, वर्कस्पेस, और तालिका निर्दिष्ट कर Sentinel एकीकरण को परिभाषित करें। आप यह भी परिभाषित करने के लिए फिल्टर का उपयोग कर सकते हैं कि कौन से ईवेंट को एकीकरण में शामिल करना है। आपको Sentinel एकीकरण सहेजने के बाद, Microsoft टेनेंट को प्रमाणीकृत करना होगा और Cato को आपके Sentinel खाते में डेटा भेजने की अनुमति देनी होगी।

CMA में एकीकरण बनाने के बाद, सुरक्षा कारणों से Microsoft में प्रक्रिया पूरी करने के लिए आपके पास 10 मिनट हैं। यदि इस अवधि में प्रक्रिया पूर्ण नहीं होती है, तो आपको CMA में एकीकरण को हटाने और फिर से शुरू करने की आवश्यकता होगी।

एकीकरण के बनने के बाद, डेटा ऊपर निर्दिष्ट तालिका में Microsoft के लिए प्रवाहित होता है। Cato तालिका के नाम में "_CL" अक्षर जोड़ता है ताकि आप इसे Microsoft में अंतर्निर्मित तालिकाओं से भिन्न कर सकें।

CMA में एकीकरण को हटाना Microsoft में बनाए गए किसी भी संसाधन को नहीं हटाता है।

नोट: यदि तृतीय-पक्ष सेवा की पहुंच को विशिष्ट IP पतों तक सीमित किया गया है, तो इस लेख को उन Cato IP पते की सूची के लिए देखें जिन्हें आपको अनुमति देने की आवश्यकता है। आपको लेख देखने के लिए साइन इन करना होगा।

फिल्टर

फिल्टर का उपयोग करके नियंत्रित करें कि कौन से Cato ईवेंट Microsoft Sentinel को निर्यात किए जाएं। यह खपत लागत को कम करने, शोर को न्यूनतम करने और विशिष्ट साइट्स, उपयोगकर्ताओं या क्षेत्रों के लिए प्रासंगिक ईवेंट पर जांच को केंद्रित करने में मदद करता है। आप विभिन्न SIEM वातावरणों के लिए ईवेंट्स के विभिन्न उपसमाहू का रूट करने के लिए भी फिल्टर का उपयोग कर सकते हैं।

फिल्टर को परिभाषित करने के लिए फिल्टर समूहों का उपयोग किसी भी इवेंट फ़ील्ड या फ़ील्ड्स के संयोजन के आधार पर करें। प्रत्येक समूह के भीतर स्थितियाँ AND तर्क का उपयोग करती हैं। समूहों के बीच या तर्क लागू होता है। स्क्रीनशॉट में फिल्टर निम्नलिखित को निर्यात करने के लिए एकीकरण को विन्यस्त करते हैं:

  • घटनाएं जो पेरिस या मैड्रिड से उत्पन्न होती हैं, उप-प्रकार इंटरनेट फ़ायरवॉल हैं, और निगरानी या प्रॉम्प्ट के अलावा क्रियाएँ उत्पन्न की हैं
  • यूसरनेम में परीक्षण शामिल है

Sentinel एकीकरण बनाने के लिए:

  1. नेविगेशन मेनू से संसाधन > एकीकरण चुनें।
  2. कॉन्फ़िगर किए गए एकीकरण टैब पर, नया क्लिक करें। नया एकीकरण पैनल खुलता है।

  3. Microsoft Sentinel चुनें और निम्नलिखित फ़ील्ड्स को कॉन्फ़िगर करें:

    1. इस एकीकरण के लिए एक नाम दर्ज करें।
    2. कनेक्टर टेनेंट फ़ील्ड में MS टेनेंट का नाम चुनें। 
    3. Microsoft लॉग एनालिटिक्स में डेटा प्राप्त करने वाले मौजूदा लॉग एनालिटिक्स workspace का नाम दर्ज करें।
    4. लॉग एनालिटिक्स workspace में इस नाम के साथ डेटा रखने के लिए एक नया लॉग एनालिटिक्स टेबल नाम दर्ज करें। 
    5. तालिका प्रतिधारण दिनों में आप चाहते हैं कि Microsoft कितने दिनों तक Cato डेटा को रखे, परिभाषित करें।
    6. वैकल्पिक: यह नियंत्रित करने के लिए फिल्टर जोड़ें कि कौन से Cato ईवेंट Microsoft Sentinel को भेजे गए हैं।
  4. Microsoft पर एकीकरण को स्थापित करने के लिए सहेजें पर क्लिक करें। 
    नोट: आपके पास अब Microsoft में सेटअप पूरा करने के लिए 10 मिनट हैं।
  5. एक ब्राउज़र टैब खुलता है और आपको Microsoft में एकीकरण की रचना अधिकार देने के लिए निर्देशित करता है।
    नोट: आपको उसी टेनेंट के साथ एकीकरण को अधिकृत करना चाहिए जिसका उपयोग MS टेनेंट एकीकरण बनाने के लिए किया गया था। उपयोगकर्ता के पास उस टेनेंट पर संसाधन बनाने की अनुमतियाँ होनी चाहिए।
  6. Microsoft पोर्टल में, संसाधन समूह और क्षेत्र का चयन करें जिसमें लक्षित लॉग एनालिटिक्स वर्कस्पेस शामिल है, और रीव्यू + क्रिएट पर क्लिक करें।
  7. परिनियोजन शुरू करने के लिए बनाएँ पर क्लिक करें।
  8. जब तैनाती पूर्ण हो जाती है, तो आप Microsoft विंडो को बंद कर सकते हैं।
  9. CMA में एकीकरण पृष्ठ को ताज़ा करें। समन्वित ऐप्स टैब में एकीकरण की स्थिति दिखाई देती है।
image-20251019-105133.png

मूल टर्नकी और कस्टम गिटहब एकीकरण विधियों के बीच चयन करना

इस लेख में वर्णित मूल टर्नकी एकीकरण के अलावा, आप Cato गिटहब खाता में उपकरणों का उपयोग करके Microsoft Sentinel के साथ Cato घटनाओं को भी एकीकृत कर सकते हैं। प्रत्येक दृष्टिकोण आपके लक्ष्यों और वातावरण के आधार पर विभिन्न लाभ प्रदान करता है।

मूल एकीकरण कब उपयोग किया जाए

Cato के मूल एकीकरण का एक स्केलेबल और सहायक समाधान है जो न्यूनतम कॉन्फ़िगरेशन के साथ है। मूल एकीकरण के लाभों में शामिल हैं:

  • घटनाओं की बड़ी मात्रा को प्रभावी ढंग से बिना एपीआई-आधारित सीमाओं के संभालता है
  • Cato द्वारा पूरी तरह से बनाए रखा गया है और समर्थित है
  • स्वचालित रूप से Cato और Microsoft Sentinel के बीच स्कीमा को मैप करता है।
  • Microsoft Sentinel को भेजे जाने वाले डेटा को ठीक-ठीक ट्यून करने के लिए फिल्टर का समर्थन करता है

गिटहब एकीकरण का उपयोग कब किया जाए

गिटहब एकीकरण उन्नत उपयोग मामलों के लिए लचीलापन प्रदान करता है जहाँ कस्टम डेटा स्रोत या प्रसंस्करण लॉजिक की आवश्यकता होती है। आप निम्नलिखित स्थितियों में इस एकीकरण का उपयोग करना चाह सकते हैं:

  • Cato एकीकरण उस प्रकार के डेटा का समर्थन नहीं करता है जिसे आप इनजेस्ट करना चाहते हैं।
  • आप स्कीमा या घटनाओं फीड डेटा को अनुकूलित करना चाहते हैं।

ज्ञात सीमाएँ

  • बड़ी घटना सीमा: कुछ XOps घटनाएँ raw_data क्षेत्र में विस्तृत कहानी जानकारी शामिल कर सकती हैं, जो Microsoft Sentinel इनजेशन आकार सीमा (लगभग 1 एमबी) को पार कर सकती है। जब यह होता है, Cato अभी भी घटना को Sentinel की ओर फॉरवर्ड करता है लेकिन raw_data क्षेत्र को Sentinel इनजेशन आवश्यकताओं के साथ संगतता बनाए रखने के लिए छोड़ देता है।

क्या यह लेख उपयोगी था?

1 में से 0 के लिए उपयोगी रहा

0 टिप्पणियां