CatoイベントをAzureストレージアカウントに統合する

この記事は、CatoアカウントとAzureストレージアカウントを統合してイベントをストレージアカウントに直接アップロードする方法を説明します。

イベント統合の概要

Azure ストレージアカウントでイベントデータを確認および分析するユーザー向けに、Catoアカウントを設定して、イベントを自動的かつ継続的にアップロードすることができます。 これは、顧客がCatoからデータを引き出す必要があり、レート制限などの問題に影響されるeventsFeed APIとは異なります。

Catoクラウドは、毎60秒ごと、または10MB以上のデータがある場合に、ストレージアカウントにデータをアップロードします。 CatoはデータをAzureストレージアカウントにアップロードするためにHTTPSを使用します。

イベントは圧縮された .gz形式で送信され、一部のクライアント(例:特定のブラウザ)は、これらのファイルを.gzip拡張子を削除せずに自動的に解凍することがあります。 これが発生した場合、ファイルの拡張子を.logまたは.txtに変更することで、ファイルの形式がその拡張子と整合されます。

イベント統合のユースケース

サンプル会社は疑わしい活動の監視機能を使用しており、多くのセキュリティイベントを生成しています。 彼らはすべてのイベントデータを格納するAzureストレージアカウントを作成し、それをSIEMソリューションと統合できるようにすることを決定します。 サンプル会社はイベント統合を有効にして、AzureストレージアカウントをCatoアカウントへの統合として追加することで、すべてのIPSイベントが自動的にAzureストレージにアップロードされるようにします。

前提条件

Azureイベント統合のハイレベル概要

  1. 新しいAzureストレージアカウントとコンテナを作成します。

  2. Azureは以下のように接続文字列を提供します:

    1. アクセスキー - 接続文字列は自動生成されます。

    2. SAS - 推奨される権限と設定を構成し、その後接続文字列が生成されます。

  3. 前のステップから接続文字列を使用してCato管理画面でAzure統合を作成します。

Azureストレージアカウントの設定

Catoイベントデータ用の新しいストレージアカウントとコンテナを作成します。イベント連携には既存のストレージアカウントを使用しないことをお勧めします。 アクセスキーまたは共有アクセス署名 (SAS) からのAzure接続文字列を使用できます。

接続文字列にアクセスキーを使用する

Azureアクセスキーを使用してストレージアカウントをCatoに認証している顧客のために、接続文字列をコピーします。 Azure統合を構成する際に、Cato管理画面でアクセスキーを接続文字列に貼り付けます。

ストレージアカウントを作成し、アクセスキーを使用するには:

  1. 適切な設定で新しいストレージアカウントを作成します。

    1. インスタンスの詳細で、標準パフォーマンスを選択します。

      basic_storage_account.png

    2. レビューをクリックし、次に作成をクリックします。

  2. イベントデータ用の新しいコンテナを作成します(データストレージ > コンテナ)。

    イベント用の統合を作成する際に、Cato管理画面でコンテナ名前を入力します(以下)。

  3. 左側のナビゲーションペインで、セキュリティ + ネットワーク機器セクションに移動し、アクセスキーを選択します。

  4. ストレージアカウントのアクセスキー接続文字列をコピーします。

    access_key_string.png

  5. イベントに対するAzureアカウントストレージの追加を続行してください(下) 。

接続文字列にSASを使用する

Azure SASを使用すると、ストレージコンテナの権限を制限でき、許可されたIPアドレスなどや接続文字列の有効期限を設定できます。

SAS接続文字列のトークンには、有効期限が含まれており、イベント統合ページに表示されます。 有効期限を過ぎると、トークンは無効となり、Catoはイベントをストレージコンテナにプッシュできません。 イベントの中断のないアップロードを維持するには、SASの有効期限前に新しい接続文字列を生成し、統合に適用してください。

Catoイベントデータを受信するためのAzureにおけるストレージアカウントの設定:

  1. 適切な設定で新しいストレージアカウントを作成します。

    1. インスタンスの詳細で、標準パフォーマンスを選択します。

      basic_storage_account.png

    2. 確認をクリックし、その後作成をクリックします。

  2. イベントデータ用の新しいコンテナを作成します(データストレージ > コンテナ)。

    イベントのために統合を作成する際に、Cato管理画面でコンテナ名前を入力します(以下)。

  3. 左側のナビゲーションパネルでセキュリティ + ネットワーク機器セクションに移動し、共有アクセス署名を選択します。

  4. 以下のアクセス権限でSASを設定します:

    • 許可されるサービス - Blob、ファイル

    • 許可されるリソース種類 - コンテナ、オブジェクト

    • 許可される権限 - 読み取る、書き込む、リスト

    SAS_settings.png

  5. SASと接続文字列を生成をクリックします。

  6. ストレージアカウントの接続文字列をコピーします。 イベントのために統合を作成する際に、この文字列を貼り付けます(以下)。

    sas_string.png

イベント用のAzureアカウントストレージを追加する

イベント統合タブでAzureストレージアカウントの新規統合を作成し、接続文字列を統合に貼り付けます。 この文字列は、Catoがイベントデータをストレージアカウントにアップロードする権限を与えます。 統合を作成した後に文字列を編集することはできません。代わりに、フィールドをリセットし、その後に接続文字列を貼り付けることができます。

Azureストレージ統合を定義し有効にした後、Catoがストレージアカウントにイベントをアップロードし始めるまで数分かかります。

ストレージアカウントにアップロードされるイベントをフィルタリングすることが選択できます。 例えば、アカウント用のIPSイベントのみをアップロードします。 デフォルト設定はフィルターなしですべてのイベントがストレージアカウントにアップロードされます。

EventIntegration.png

アカウントのイベントをアップロードするためにAzureストレージ統合を追加:

  1. ナビゲーションメニューから、リソース > イベント連携を選択します。

  2. Catoイベントとの統合を有効にするを選択します。

  3. 新規をクリックします。 新しい統合パネルが開きます。

  4. 統合で、Azureアカウントストレージを選択し、統合の名前を入力します。

  5. 接続の詳細をAzureの設定に基づいて統合のために入力します:

    • 接続文字列 - ストレージアカウントからコピーした接続文字列を貼り付けます

    • 名前 - ストレージアカウント内のコンテナと同じ名前

    • (任意) フォルダ - コンテナ内のフォルダパスと同じ名前(必要な場合)

  6. (任意)ストレージアカウントにアップロードされるイベントのフィルター設定を定義します。

    複数のフィルターを定義する場合、AND関係があり、すべてのフィルターに一致するイベントがアップロードされます。

  7. 適用をクリックします。 Azureストレージアカウントがアカウントと統合されました。

    注意: アカウントごとに最大3件のイベント連携を定義できます。

この記事は役に立ちましたか?

4人中2人がこの記事が役に立ったと言っています

0件のコメント