डेटा को स्प्लंक के साथ एकीकृत करना

अवलोकन

Splunk एकीकरण का उपयोग अपने मौजूदा निगरानी, सहसंबंध, और जांच वर्कफ़्लोज़ में Cato नेटवर्क और सुरक्षा डेटा को शामिल करने के लिए करें। मूल एकीकरण Cato से सीधे Splunk को डेटा भेजता है, जिससे आप अन्य स्रोतों के डेटा के साथ एक केंद्रीकृत प्लेटफ़ॉर्म में Cato गतिविधि का विश्लेषण कर सकते हैं। यह आपको डैशबोर्ड, खोज, अलर्ट, और रिपोर्ट बनाने में मदद करता है, और इसके लिए अतिरिक्त डेटा संग्रह तंत्र की आवश्यकता नहीं होती।

Cato अपने GitHub रिपॉजिटरी से एक कस्टम GitHub एकीकरण भी प्रदान करता है। अधिक विवरण के लिए, नीचे मूल टर्नकी और कस्टम GitHub एकीकरण विधियों के बीच चयन करें देखिए।

Splunk डेटा स्रोत 

Splunk एकीकरण दो डेटा स्रोतों का समर्थन करता है:

  • घटनाएँ - जब नेटवर्क या सिस्टम में कोई विशिष्ट गतिविधि होती है, जैसे नीति नियम मिलाए जाते हैं या कोई खतरा पता चलता है, तो उत्पन्न होती हैं। ये रिकॉर्ड सुरक्षा और नीति प्रवर्तन में वास्तविक समय की अंतर्दृष्टि प्रदान करते हैं। डेटा को Cato के इवेंट स्कीमा का उपयोग करते हुए भेजा जाता है।

  • प्रवाह - नेटवर्क प्रवाह के रूप में उत्पन्न होते हैं (5-टुपल) और Cato इंजनों से उपलब्ध होने पर एप्लिकेशन-स्तरीय जानकारी के साथ समृद्ध किए जाते हैं। अनुप्रयोग और उपयोगकर्ता संदर्भ के अलावा, प्रवाह में एकत्रित सत्र डेटा शामिल होता है जैसे कि बाइट्स, पैकेट्स और अवधि, जो समय के साथ नेटवर्क गतिविधि का एक पूर्ण दृश्य प्रदान करता है। प्रवाह क्षेत्रों का सुपरसेट appStats योजना द्वारा प्रस्तुत किया जाता है।

    कुछ क्षेत्र केवल मूल एकीकरण के माध्यम से प्रवाहित किया गया प्रवाह के लिए उपलब्ध होते हैं और वे appStats या अनुप्रयोग विश्लेषिकी का हिस्सा नहीं होते। उदाहरण के लिए, flow_id और एकत्रित मेट्रिक्स जैसे कि अपस्ट्रीम और डाउनस्ट्रीम पैकेट्स और बाइट्स, और प्रवाह अवधि। ये क्षेत्र निम्नलिखित टिप्पणी के साथ चिह्नित हैं:

    केवल CMA में बनाए गए मूल प्रवाह डेटा एकीकरण के लिए उपलब्ध है।

डिफ़ॉल्ट रूप से, नए एकीकरण केवल घटनाएँ एक्सपोर्ट करते हैं। प्रवाह डेटा स्रोत, घटनाओं की तुलना में काफी अधिक मात्रा में डेटा उत्पन्न कर सकता है। सटीक मात्रा आपके ट्रैफ़िक पर निर्भर करती है। CMA कई एकीकरणों को कॉन्फ़िगर करने का समर्थन करता है, जो आपको आवश्यकतानुसार विभिन्न डेटा स्रोतों को भेजने की अनुमति देता है। फिल्टर्स केवल घटनाओं के लिए समर्थित हैं।

उपयोग मामले

घटनाएँ

नमूना कंपनी, केंद्रीकृत सुरक्षा निगरानी और प्रतिक्रिया के लिए Splunk का उपयोग करती है। एक Cato ग्राहक के रूप में, उनके पास प्रमुख फीचर्स जैसे नेटवर्क गतिविधि, खतरे, उपयोगकर्ता डेटा, उपकरण, और Cato प्लेटफ़ॉर्म का उपयोग कर सभी अन्य प्रकार के ट्रैफ़िक का उपयोगी डेटा है। वे इस एकीकरण को इस डेटा को सीधे Splunk में भेजने के लिए उपयोग कर सकते हैं, जहाँ वे इसे आसानी से SOC और NOC टीमों के लिए मौजूदा वर्कफ़्लोज़ में एकीकृत कर सकते हैं।

प्रवाह

Splunk में एक सुरक्षा विश्लेषक ने एक संदिग्ध घटना की पहचान की जहाँ एक उपयोगकर्ता ने एक उच्च जोखिम वाले अनुप्रयोग तक पहुँच प्राप्त की जो संभावित रूप से डेटा एक्सफिल्ट्रेशन से जुड़ा हो सकता है। केवल Cato घटनाओं का उपयोग करके, विश्लेषक नीति निर्णय, उपयोगकर्ता पहचान, और अनुप्रयोग को देख सकता है। हालांकि, घटना यह नहीं दिखाती कि कितना डेटा स्थानांतरित किया गया था या सत्र कितनी देर चला।

प्रवाह_id क्षेत्र का उपयोग करके घटना के साथ जुड़े एकत्रित ट्रैफिक प्रवाह डेटा के साथ, विश्लेषक पूरे सत्र के संदर्भ को देख सकता है, जिसमें कुल बाइट्स स्थानांतरित, पैकेट गणना, और सत्र अवधि शामिल है। यह विश्लेषक को यह निर्धारित करने की अनुमति देता है कि गतिविधि में न्यूनतम इंटरैक्शन शामिल था या एक बड़ा डेटा स्थानांतरण जो एक्सफिल्ट्रेशन का संकेत दे सकता है।

घटनाओं और प्रवाह डेटा को मिलाकर, विश्लेषक शीघ्रता से घटना की गंभीरता की पुष्टि कर सकता है और उपयुक्त कार्रवाई कर सकता है।

पूर्व आवश्यकताएँ

  • कनेक्टर जोड़ने के लिए, आपको संसाधन अनुभाग में एकीकरण के लिए संपादक अनुमति होनी चाहिए। अधिक जानकारी के लिए, देखें RBAC का उपयोग करके व्यवस्थापक भूमिकाओं का प्रबंधन
  • Splunk URL और पोर्ट आपके अकाउंट का एक्सेस करने के लिए HEC एन्डपॉइंट हैं। आम तौर पर, यह वह वेब URL है जिसका आप Splunk तक पहुँचने के लिए उपयोग करते हैं जिसमें शुरुआत में "http-inputs-" वर्ण जोड़े जाते हैं। उदाहरण के लिए, यदि आपका खाता http://mydomain.splunk.com है, तो आपको https://http-inputs-mydomain.splunkcloud.com/ उपयोग करना होगा। अधिक विवरण के लिए, देखें Splunk दस्तावेज़ीकरण। पोर्ट वैकल्पिक है, और यदि आप कुछ और निर्दिष्ट नहीं करते हैं तो हम 443 का उपयोग करते हैं (जो Splunk क्लाउड के लिए डिफ़ॉल्ट है)।
  • Events Integration के साथ शुरू करने के लिए Cato इवेंट एकीकरण के सभी प्रीरेक्साइट्स की समीक्षा करें।

Splunk एकीकरण बनाना

HEC एंडपॉइंट के लिए Splunk HTTP इवेंट कलेक्टर को Cato घटनाएं और प्रवाह भेजने के लिए एक Splunk एकीकरण जोड़ें। एकीकरण सेट अप करने के लिए, Splunk में एक HEC टोकन बनाएं, CMA में एक नया Splunk एकीकरण बनाएँ, और अंगीकार URL और एपीआई कुंजी दर्ज करें।

विन्यास प्रक्रिया में, आप घटनाओं, प्रवाहों, या दोनों को एकीकृत करने के लिए कॉन्फ़िगर कर सकते हैं। डिफ़ॉल्ट रूप से केवल घटनाओं का निर्यात होता है। प्रवाह डेटा स्रोत घटनाओं की तुलना में काफी अधिक मात्रा में डेटा उत्पन्न कर सकता है। सटीक मात्रा आपके ट्रैफ़िक पर निर्भर करती है। CMA कई एकीकरणों को क्रियान्वित करने का समर्थन करता है, जिससे आप आवश्यकतानुसार विभिन्न डेटा स्रोत भेज सकते हैं।

नोट:

  • Splunk Enterprise (स्वयं प्रबंधनीय) एकीकरण के लिए:

    • Splunk HEC एंडपॉइंट इंटरनेट के जरिए पहुँचा जाना चाहिए (अर्थात, सार्वजनिक IP पते या सार्वजनिक DNS नाम के माध्यम से खुला होना चाहिए)। निजी आईपी या केवल आंतरिक एंडपॉइंट समर्थित नहीं हैं।
    • TLS निरीक्षण सक्रिय करना चाहिए, और एंडपॉइंट को विश्वसनीय सार्वजनिक सर्टिफिकेट अथॉरिटी द्वारा जारी एक मान्य X.509 प्रमाणपत्र प्रस्तुत करना चाहिए। स्वयं-संपादित प्रमाणपत्र या निजी रूप से जारी CA प्रमाणपत्र समर्थित नहीं हैं, क्योंकि कनेक्शन केवल मानक CA विश्वास चेन का उपयोग करके प्रमाणित किए जाते हैं।
  • CMA में एकीकरण को हटाने का मतलब यह नहीं है कि Splunk में बनाए गए संसाधनों को हटाया जा रहा है।

फिल्टर्स

Splunk को निर्यात की जाने वाली Cato घटनाओं को नियंत्रित करने के लिए फिल्टर्स का उपयोग करें। यह निगमन लागतों को कम करने, शोर को कम करने, और विशिष्ट साइटों, उपयोगकर्ताओं या क्षेत्रों से संबंधित घटनाओं पर जांच को केंद्रित करने में मदद करता है। आप विभिन्न SIEM वातावरणों के लिए विभिन्न घटनाओं के उपसमुच्चय की रूटिंग करने के लिए भी फ़िल्टर का उपयोग कर सकते हैं।

कोई भी इवेंट फ़ील्ड या फ़ील्ड्स के संयोजन पर आधारित फिल्टर परिभाषित करने के लिए फ़िल्टर समूहों का उपयोग करें। प्रत्येक समूह के भीतर स्थितियां AND लॉजिक का उपयोग करती हैं। समूहों के बीच OR लॉजिक लागू होता है। स्क्रीनशॉट में फिल्टर एकीकरण को निर्यात करने के लिए कॉन्फ़िगर करते हैं:

  • घटनाएँ जो Paris या Madrid से उत्पन्न होती हैं, उप-प्रकार इंटरनेट फ़ायरवॉल की होती हैं, और कार्रवाइयाँ Monitor या Prompt के अलावा होती हैं।
  • उपयोगकर्ता नाम तथ्य का उपयोग करते हैं।

Splunk एकीकरण बनाने के लिए:

  1. अपने Splunk खाते में, इस एकीकरण के लिए उपयोग करने के लिए एक नया टोकन बनाएं। विवरण के लिए, देखें Splunk दस्तावेज़। आप एक कस्टम इंडेक्स परिभाषित कर सकते हैं या टोकन के लिए डिफ़ॉल्ट इंडेक्स का उपयोग कर सकते हैं।
  2. प्रदर्शित टोकन मान की प्रतिलिपि बनाएँ। Cato के साथ एकीकरण को कॉन्फ़िगर करने के लिए इसकी आवश्यकता है।
  3. नेविगेशन मेन्यू से संसाधन > एकीकरण चुनें।
  4. कॉन्फ़िगर किए गए एकीकरण टैब पर, नया पर क्लिक करें। नया एकीकरण पैनल खुलता है।

  5. Splunk चुनें और निम्नलिखित क्षेत्रों को कॉन्फ़िगर करें:

    1. ऑथ ड्रॉपडाउन में, एपीआई कुंजी चुनें।
    2. इस एकीकरण के लिए कनेक्टर नाम और वैकल्पिक विवरण दर्ज करें।
    3. Splunk में बनायी गई इंगेशन URL और एपीआई कुंजी दर्ज करें।
    4. उस सूचकांक को निर्दिष्ट करें जो Cato से डेटा प्राप्त करता है। यदि आप इसे खाली छोड़ते हैं, तो Cato HEC टोकन पर परिभाषित डिफ़ॉल्ट इंडेक्स का उपयोग करता है।
    5. चाहे घटनाओं, प्रवाह, या दोनों का एकीकरण करना है।
    6. वैकल्पिक: Cato घटनाओं को Splunk को भेजे जाने को नियंत्रित करने के लिए फिल्टर जोड़ें।
      नोट: फ़िल्टर केवल इवेंट डेटा पर लागू होते हैं।
    7. यह निर्दिष्ट करें कि एकीकरण त्रुटियाँ होने पर इवेंट बनाया जाए या नहीं।
  6. सहेजें पर क्लिक करें।
  7. CMA में, एकीकरण पृष्ठ को रिफ्रेश करें। एकीकरण की स्थिति एकीकृत एप्लिकेशन टैब में दिखाई देती है।

स्वदेशी टर्नकी और कस्टम गिटहब एकीकरण विधियों के बीच चयन करना

इस लेख में बताई गई स्वदेशी टर्नकी एकीकरण के अलावा, आप Cato GitHub खाता में दिए गए उपकरणों का उपयोग करके Cato घटनाओं का Splunk के साथ एकीकरण कर सकते हैं। प्रत्येक दृष्टिकोण आपके लक्ष्यों और पर्यावरण के आधार पर विशिष्ट लाभ प्रदान करता है। यदि आवश्यक हो तो आप दोनों एकीकरणों का उपयोग कर सकते हैं।

स्वदेशी एकीकरण का उपयोग कब करना है

Cato का स्वदेशी एकीकरण न्यूनतम कॉन्फ़िगरेशन के साथ एक स्केलेबल और समर्थित समाधान प्रदान करता है। स्वदेशी एकीकरण के लाभ शामिल हैं:

  • API-आधारित सीमाओं के बिना बड़ी घटनाओं की मात्रा को कुशलतापूर्वक संभालता है
  • Cato द्वारा पूरी तरह से बनाए रखा और समर्थित है
  • Splunk को भेजे जा रहे डेटा को सही करने के लिए फ़िल्टर्स का समर्थन करता है

गिटहब एकीकरण का उपयोग कब करना है

GitHub एकीकरण उन्नत उपयोग के मामलों के लिए लचीलापन प्रदान करता है जहाँ कस्टम डेटा स्रोत या प्रसंस्करण तर्क की आवश्यकता होती है। आप निम्नलिखित स्थितियों में इस एकीकरण का उपयोग करना चाहते हैं:

  • आप Cato के ऑडिट लॉग से डेटा Splunk पर भेजना चाहते हैं
  • आप Cato GitHub रिपॉजिटरी का उपयोग एक ओपन-सोर्स संसाधन के रूप में करना चाहते हैं ताकि एकीकरण में अनुकूलन किया जा सके

ज्ञात सीमाएँ

  • बड़ी घटना सीमा: यदि कच्चे डेटा फ़ील्ड (जिसमें स्टोरी जानकारी शामिल है) का आकार 5 MB से अधिक हो जाता है, तो Splunk को भेजी जाने पर घटना की जानकारी कटी हो सकती है (यह Splunk का डिफ़ॉल्ट है, लेकिन इसे बढ़ाया जा सकता है)।

क्या यह लेख उपयोगी था?

0 में से 0 के लिए उपयोगी रहा

0 टिप्पणियां