डेटा को स्प्लंक के साथ एकीकृत करना

अवलोकन

स्प्लंक एकीकरण Cato को एक मूल कनेक्टर का उपयोग करते हुए सीधे स्प्लंक को डेटा अग्रेषित करने में सक्षम बनाता है और दो डेटा स्रोतों का समर्थन करता है:

  • घटनाएँ - नेटवर्क या सिस्टम में विशिष्ट गतिविधि होने पर उत्पन्न होती हैं, जैसे कि जब कोई नीति नियम मिलान करता है या कोई खतरा पता चलता है। ये रिकॉर्ड सुरक्षा और नीति प्रवर्तन में वास्तविक समय की अंतर्दृष्टि प्रदान करते हैं। डेटा को Cato के इवेंट स्कीमा का उपयोग करते हुए भेजा जाता है।

  • प्रवाह - नेटवर्क प्रवाह (5-टुपल) के रूप में उत्पन्न होते हैं और जब अनुप्रयोग स्तर की जानकारी उपलब्ध होती है तो विभिन्न Cato इंजन के माध्यम से समृद्ध हो जाते हैं। अनुप्रयोग और उपयोगकर्ता संदर्भ के अलावा, प्रवाह में एकत्रित सत्र डेटा शामिल होता है जैसे कि बाइट्स, पैकेट्स और अवधि, जो समय के साथ नेटवर्क गतिविधि का एक पूर्ण दृश्य प्रदान करता है। प्रवाह क्षेत्रों का सुपरसेट appStats योजना द्वारा प्रस्तुत किया जाता है।

    कुछ क्षेत्र केवल मूल एकीकरण के माध्यम से प्रवाहित किया गया प्रवाह के लिए उपलब्ध होते हैं और वे appStats या अनुप्रयोग विश्लेषिकी का हिस्सा नहीं होते। उदाहरण के लिए, flow_id और एकत्रित मेट्रिक्स जैसे कि अपस्ट्रीम और डाउनस्ट्रीम पैकेट्स और बाइट्स, और प्रवाह अवधि। ये क्षेत्र निम्नलिखित टिप्पणी के साथ चिह्नित हैं:

    केवल CMA में बनाए गए मूल प्रवाह डेटा एकीकरण के लिए उपलब्ध है।

नोट: कच्चे डेटा फ़ील्ड में XOps इवेंट्स (इवेंट प्रकार डिटेक्शन और प्रतिक्रिया) की घटना जानकारी शामिल है, यदि उनका raw_data फ़ील्ड (जिसमें कथा जानकारी शामिल है) 5 MB से अधिक हो जाता है, तो उन्हें Splunk पर भेजने पर ट्रंक किया जा सकता है (यह Splunk का डिफ़ॉल्ट है, लेकिन इसे बढ़ाया जा सकता है)।

उपयोग मामले

घटनाएँ

एक कंपनी Splunk का उपयोग केंद्रीकृत सुरक्षा निगरानी और प्रतिक्रिया के लिए कर रही है। Cato ग्राहकों के रूप में, उनके पास नेटवर्क गतिविधि, खतरों, उपयोगकर्ता डेटा, उपकरण, और ट्रैफिक के सभी अन्य पहलुओं जैसे प्रमुख फ़ीचर से उपयोगी डेटा है। वे इस एकीकरण को इस डेटा को सीधे Splunk में भेजने के लिए उपयोग कर सकते हैं, जहाँ वे इसे आसानी से SOC और NOC टीमों के लिए मौजूदा वर्कफ़्लोज़ में एकीकृत कर सकते हैं।

प्रवाह

Splunk में एक सुरक्षा विश्लेषक ने एक संदिग्ध घटना की पहचान की जहाँ एक उपयोगकर्ता ने एक उच्च जोखिम वाले अनुप्रयोग तक पहुँच प्राप्त की जो संभावित रूप से डेटा एक्सफिल्ट्रेशन से जुड़ा हो सकता है। केवल Cato घटनाओं का उपयोग करके, विश्लेषक नीति निर्णय, उपयोगकर्ता पहचान, और अनुप्रयोग को देख सकता है। हालांकि, घटना यह नहीं दिखाती कि कितना डेटा स्थानांतरित किया गया था या सत्र कितनी देर चला।

प्रवाह_id क्षेत्र का उपयोग करके घटना के साथ जुड़े एकत्रित ट्रैफिक प्रवाह डेटा के साथ, विश्लेषक पूरे सत्र के संदर्भ को देख सकता है, जिसमें कुल बाइट्स स्थानांतरित, पैकेट गणना, और सत्र अवधि शामिल है। यह विश्लेषक को यह निर्धारित करने की अनुमति देता है कि गतिविधि में न्यूनतम इंटरैक्शन शामिल था या एक बड़ा डेटा स्थानांतरण जो एक्सफिल्ट्रेशन का संकेत दे सकता है।

घटनाओं और प्रवाह डेटा को मिलाकर, विश्लेषक शीघ्रता से घटना की गंभीरता की पुष्टि कर सकता है और उपयुक्त कार्रवाई कर सकता है।

पूर्व आवश्यकताएँ

Splunk एकीकरण बनाना

Splunk में HEC टोकन बनाने के बाद, आप CMA में एक एकीकरण परिभाषित करते हैं। आप फ़िल्टर का उपयोग करके शामिल किए जाने वाले घटना डेटा को सीमित कर सकते हैं। एकीकरण के बनने के बाद, डेटा आपके द्वारा निर्दिष्ट सूचकांक में Splunk में प्रवाहित होता है।

कॉन्फ़िगरेशन प्रक्रिया में, आप कॉन्फ़िगर कर सकते हैं कि घटनाओं, प्रवाह या दोनों का एकीकरण करना है। डिफ़ॉल्ट रूप से केवल घटनाओं को कॉन्फ़िगर किया गया है। प्रवाह डेटा स्रोत घटनाओं की तुलना में काफी अधिक मात्रा में डेटा उत्पन्न कर सकता है। सटीक मात्रा आपके ट्रैफ़िक पर निर्भर करती है। CMA कई एकीकरणों को कॉन्फ़िगर करने का समर्थन करता है, जो आपको आवश्यकतानुसार विभिन्न डेटा स्रोतों को भेजने की अनुमति देता है।

Splunk URL और पोर्ट HEC खाता तक पहुंचने के लिए एंडपॉइंट हैं। आम तौर पर, यह वह वेब URL होता है जिसका उपयोग आप "http-inputs-" वर्णों के साथ Splunk तक पहुँचने के लिए करते हैं जो शुरुआत में जुड़ा हुआ होता है। उदाहरण के लिए, यदि आपका खाता http://mydomain.splunk.com है, तो आप https://http-inputs-mydomain.splunkcloud.com/ का उपयोग करेंगे। अधिक विवरण के लिए Splunk प्रलेखन देखें। पोर्ट वैकल्पिक है, और यदि आप कुछ और निर्दिष्ट नहीं करते हैं तो हम 443 का उपयोग करते हैं (जो Splunk क्लाउड के लिए डिफ़ॉल्ट है)।

CMA में एकीकरण को हटाने का मतलब यह नहीं है कि Splunk में बनाए गए संसाधनों को हटाया जा रहा है।

नोट:

  • Splunk Enterprise (स्वयं प्रबंधनीय) एकीकरण के लिए:

    • Splunk HEC एंडपॉइंट को इंटरनेट के माध्यम से पहुंच योग्य होना चाहिए (उदा., सार्वजनिक आईपी या सार्वजनिक DNS नाम के माध्यम से एक्सपोज़ किया गया)। निजी आईपी या केवल आंतरिक एंडपॉइंट समर्थित नहीं हैं।
    • TLS निरीक्षण सक्रिय करना चाहिए, और एंडपॉइंट को विश्वसनीय सार्वजनिक सर्टिफिकेट अथॉरिटी द्वारा जारी एक मान्य X.509 प्रमाणपत्र प्रस्तुत करना चाहिए। स्वयं-संपादित प्रमाणपत्र या निजी रूप से जारी CA प्रमाणपत्र समर्थित नहीं हैं, क्योंकि कनेक्शन केवल मानक CA विश्वास चेन का उपयोग करके प्रमाणित किए जाते हैं।

Splunk एकीकरण बनाने के लिए:

  1. अपने Splunk खाते में, इस एकीकरण के लिए उपयोग करने के लिए एक नया टोकन बनाएं। विवरण के लिए, देखें Splunk दस्तावेज़। आप एक कस्टम इंडेक्स परिभाषित कर सकते हैं या टोकन के लिए डिफ़ॉल्ट इंडेक्स का उपयोग कर सकते हैं।
  2. प्रदर्शित टोकन मान की प्रतिलिपि बनाएँ। आपको Cato के साथ एकीकरण को कॉन्फ़िगर करने के लिए इसकी आवश्यकता होगी।
  3. नेविगेशन मेनू से, संसाधन > एकीकरण पर क्लिक करें।
  4. एकीकृत ऐप्स टैब पर, नया पर क्लिक करें। नया एकीकरण पैनल खुलता है।

  5. Splunk चुनें और निम्नलिखित क्षेत्रों को कॉन्फ़िगर करें:

    splunk_integration.png
    1. Auth ड्रॉपडाउन में, API कुंजी चुनें।
    2. इस एकीकरण के लिए एक कनेक्टर नाम और विवरण (वैकल्पिक)।
    3. Splunk में आपने जो Ingestion URL और API कुंजी बनाई।
    4. उस सूचकांक को निर्दिष्ट करें जो Cato से डेटा प्राप्त करेगा। यदि आप इसे खाली छोड़ते हैं, तो हम HEC टोकन पर परिभाषित डिफ़ॉल्ट सूचकांक का उपयोग करेंगे।
    5. चाहे घटनाओं, प्रवाह, या दोनों का एकीकरण करना है।

    6. एक फ़िल्टर जो Splunk को भेजे गए Cato इवेंट्स को सीमित करता है।  

      नोट: फ़िल्टर केवल घटना डेटा पर लागू होते हैं।

    7. निर्दिष्ट करें कि आप घटनाओं को बनाना चाहते हैं या नहीं, यदि एकीकरण में त्रुटियाँ होती हैं।
  6. सहेजें पर क्लिक करें।
  7. CMA में, एकीकरण पृष्ठ को ताज़ा करने के बाद, आप Integrated Apps टैब में एकीकरण की स्थिति देख सकते हैं।

स्वदेशी टर्नकी और कस्टम गिटहब एकीकरण विधियों के बीच चयन करना

इस लेख में बताई गई स्वदेशी टर्नकी एकीकरण के अलावा, आप Cato GitHub खाता में दिए गए उपकरणों का उपयोग करके Cato घटनाओं का Splunk के साथ एकीकरण कर सकते हैं। प्रत्येक दृष्टिकोण आपके लक्ष्यों और पर्यावरण के आधार पर विशिष्ट लाभ प्रदान करता है। यदि आवश्यक हो तो आप दोनों एकीकरणों का उपयोग कर सकते हैं।

स्वदेशी एकीकरण का उपयोग कब करना है

Cato का स्वदेशी एकीकरण न्यूनतम कॉन्फ़िगरेशन के साथ एक स्केलेबल और समर्थित समाधान प्रदान करता है। स्वदेशी एकीकरण के लाभ शामिल हैं:

  • API आधारित सीमाओं के बिना घटनाओं की बड़ी मात्रा को कुशलता से संभालने की क्षमता
  • Cato द्वारा पूरी तरह से बनाए रखा और समर्थित

गिटहब एकीकरण का उपयोग कब करना है

GitHub एकीकरण उन्नत उपयोग के मामलों के लिए लचीलापन प्रदान करता है जहाँ कस्टम डेटा स्रोत या प्रसंस्करण तर्क की आवश्यकता होती है। आप निम्नलिखित स्थितियों में इस एकीकरण का उपयोग करना चाहते हैं:

  • आप Cato के ऑडिट लॉग से डेटा Splunk पर भेजना चाहते हैं
  • आप हमारे GitHub का उपयोग एक खुला स्रोत संसाधन के रूप में करना चाहते हैं ताकि एकीकरण को अनुकूलित किया जा सके

क्या यह लेख उपयोगी था?

0 में से 0 के लिए उपयोगी रहा

0 टिप्पणियां