CatoイベントをAzureストレージと統合する

イベント統合の概要

Azureストレージアカウントでイベントデータを保存して管理する組織は、Catoアカウントを設定してイベントを自動的かつ継続的にアップロードすることができます。 

この統合はCatoクラウドからストレージアカウントに直接イベントをプッシュしますが、イベントフィード APIはCatoからデータをプルする必要があり、レート制限の影響を受ける可能性があります。

Catoクラウドは60秒ごと、または10MB以上のデータが蓄積されるとストレージアカウントにデータをアップロードします。 データはHTTPSで安全に転送されます。

イベントは圧縮された.GZフォーマットでアップロードされます。 一部のクライアント(例えば、特定のブラウザ)は.GZ拡張子を削除せずにこれらのファイルを自動的に解凍する場合があります。 その場合、ファイル拡張子をLOGまたはTXTに変更すると、ファイルのフォーマットが拡張子と正しく一致します。

イベント統合利用ケース

サンプル会社は疑わしい活動の監視機能を使用しており、多くのセキュリティイベントを生成しています。 Azureストレージアカウントを作成してすべてのイベントデータを保存し、それをSIEMソリューションと統合することを決定します。 サンプル会社はイベント統合を有効にして、AzureストレージアカウントをCatoアカウントへの統合として追加し、すべてのIPSイベントが自動的にAzureストレージにアップロードされるようにします。

前提条件

Azureストレージアカウントの設定

Catoイベントデータ用の新しいストレージアカウントとコンテナを作成します。イベント連携には既存のストレージアカウントを使用しないことをお勧めします。 アクセスキーまたは共有アクセス署名 (SAS) からのAzure接続文字列を使用できます。

接続文字列にアクセスキーを使用する

Azureアクセスキーを使用してストレージアカウントをCatoに認証している顧客のために、接続文字列をコピーします。 Azure統合を構成する際に、Cato管理画面でアクセスキーを接続文字列に貼り付けます。

ストレージアカウントを作成し、アクセスキーを使用するには:

  1. 適切な設定で新しいストレージアカウントを作成します。

    1. インスタンスの詳細で、標準パフォーマンスを選択します。

      basic_storage_account.png
    2. レビューをクリックし、次に作成をクリックします。

  2. イベントデータ用の新しいコンテナを作成します(データストレージ > コンテナ)。

    イベント用の統合を作成する際に、Cato管理画面でコンテナ名前を入力します(以下)。

  3. 左側のナビゲーションペインで、セキュリティ + ネットワーク機器セクションに移動し、アクセスキーを選択します。

  4. ストレージアカウントのアクセスキー接続文字列をコピーします。

    access_key_string.png
  5. イベントに対するAzureアカウントストレージの追加を続行してください(下) 。

接続文字列にSASを使用する

Azure SASを使用すると、ストレージコンテナの権限を制限でき、許可されたIPアドレスなどや接続文字列の有効期限を設定できます。

SAS接続文字列のトークンには、有効期限が含まれており、イベント統合ページに表示されます。 有効期限を過ぎると、トークンは無効となり、Catoはイベントをストレージコンテナにプッシュできません。 イベントの中断のないアップロードを維持するには、SASの有効期限前に新しい接続文字列を生成し、統合に適用してください。

Catoイベントデータを受信するためのAzureにおけるストレージアカウントの設定:

  1. 適切な設定で新しいストレージアカウントを作成します。

    1. インスタンスの詳細で、標準パフォーマンスを選択します。

      basic_storage_account.png
    2. 確認をクリックし、その後作成をクリックします。

  2. イベントデータ用の新しいコンテナを作成します(データストレージ > コンテナ)。

    イベントのために統合を作成する際に、Cato管理画面でコンテナ名前を入力します(以下)。

  3. 左側のナビゲーションパネルでセキュリティ + ネットワーク機器セクションに移動し、共有アクセス署名を選択します。

  4. 以下のアクセス権限でSASを設定します:

    • 許可されるサービス - Blob、ファイル
    • 許可されるリソース種類 - コンテナ、オブジェクト
    • 許可される権限 - 読み取る、書き込む、リスト
    SAS_settings.png
  5. SASと接続文字列を生成をクリックします。

  6. ストレージアカウントの接続文字列をコピーします。 イベントのために統合を作成する際に、この文字列を貼り付けます(以下)。

    sas_string.png

Azureストレージのイベント統合を追加する

イベント統合タブでAzureストレージアカウントの新しい統合を作成し、接続文字列を統合に貼り付けます。 この文字列は、Catoがイベントデータをストレージアカウントにアップロードする権限を与えます。 統合を作成した後に文字列を編集することはできませんが、リセットフィールドを利用して接続文字列を貼り付けることができます。

Azureストレージ統合を定義して有効化した後、Catoがストレージアカウントにイベントのアップロードを開始するまで数分かかります。

イベントのタイプやサブタイプによって、ストレージアカウントにアップロードされるイベントをフィルタリングすることができます。 例えば、アカウントに対してIPSイベントのみをアップロードすることができます。 デフォルトでは、フィルタは適用されず、すべてのイベントがストレージアカウントにアップロードされます。

EventIntegration.png

Azureストレージ統合を追加して、アカウントのイベントをアップロードします。

  1. ナビゲーションメニューから、リソース > イベント連携を選択します。
  2. Catoイベントとの統合を有効にするを選択します。
  3. 新規をクリックします。 新しい統合パネルが開きます。
  4. 統合 で、Azureストレージアカウント を選択し、その統合の名前を入力します。

  5. 接続の詳細をAzureの設定に基づいて統合のために入力します:

    • 接続文字列 - ストレージアカウントからコピーした接続文字列を貼り付けます
    • 名前 - ストレージアカウント内のコンテナと同じ名前
    • (任意) フォルダ - コンテナ内のフォルダパスと同じ名前(必要な場合)

  6. (任意)ストレージアカウントにアップロードされるイベントのフィルター設定を定義します。

    複数のフィルターを定義する場合、AND関係があり、すべてのフィルターに一致するイベントがアップロードされます。

  7. 適用をクリックします。 Azureストレージアカウントがアカウントに統合されました。

    注意: アカウントごとに最大3件のイベント連携を定義できます。

この記事は役に立ちましたか?

4人中2人がこの記事が役に立ったと言っています

0件のコメント