CatoイベントをMicrosoft Sentinelと統合する

概要

Microsoft Sentinelとの統合を使用して、Catoのイベントデータを既存のモニタリング、相関関係、調査のワークフローに含めます。 ネイティブ統合により、CatoからSentinelへイベントが直接送信され、Sentinelデータモデルに自動的にマッピングされます。これにより、ダッシュボード、アナリティクスルール、アラートなどのSentinel機能が追加の解析や正規化なしでCatoイベントデータを処理できます。

統合は、CatoのMicrosoftテナントコネクタを使用して認証およびCato Microsoft統合間のトランスポートを行います。 共有コネクタは、Entra ID、アプリ、データAPIなどの統合に対して一貫した設定ワークフローと集中管理アクセスを提供します。

ユースケース

ある企業が、セキュリティの集中モニタリングと対応のためにMicrosoft Sentinelを使用しています。 Catoの顧客として、彼らはIPSなどの主要なセキュリティ機能から役立つデータを持っています。 彼らはこの統合を使用して、高深刻度のIPSイベントタイプを直接Sentinelに送信し、既存のワークフローに簡単に統合できます。

前提条件

  • CMAの設定済み統合タブにMSテナント統合があります (リソース > 統合).

    これはMicrosoftアプリの親統合です

  • Cato イベントが保存される Sentinel の既存のログ アナリティクス ワークスペース
  • コネクタを追加するには、リソースセクションの統合に対して編集者権限を持っている必要があります。 より詳しい情報については、RBACを使用して管理者の役割を管理するをご覧ください。
  • イベント統合の開始で全てのCatoイベント統合の前提条件を確認してください。

MS テナントの統合を作成する

MSテナントは、多くのMicrosoftアプリの親コネクタとして機能します。 Microsoftアプリとの統合を追加する際、統合を構成する最初のステップは親コネクタを作成することです。 このコネクタは1回設定するだけで、すべてのMicrosoftアプリで使用できます。

MS テナント統合を作成するには:

  1. ナビゲーションメニューから リソース > 統合を選択し、設定済みの統合 タブをクリックします。
  2. 新規作成をクリックします。 新規コネクタパネルが開きます。

  3. 新規コネクタパネルで、MSテナント(新しいMSテナントを構成する)アプリを選択します。

    New_Microsoft_365_Connector.png
  4. コネクタ名を入力します。

  5. 承認して保存をクリックします。

    新しいブラウザタブが開き、Microsoft 365アプリへ遷移します。

  6. 新しいブラウザタブで、Microsoft 365 アプリに認証します。

    1. Microsoft 365アプリのMicrosoftアカウントを選択します。

      そうしないと、Microsoft認証エラーが発生する可能性があります。

    2. アプリのパスワードを入力して承認します。
    3. CatoがMicrosoft 365アプリにアクセスするための権限を承認する

    4. 画面には、アプリへの権限を正常に適用したことが表示されます。

      Success_Connector_Permissions.png

      ブラウザタブを閉じて、Cato管理アプリケーションに戻ることができます。

  7. Microsoft 365 SaaSアプリケーションが統合されたアプリタブに追加されます。

Sentinel統合の作成

CMAでSentinel統合を定義するには、ターゲットMicrosoftテナント、ワークスペース、テーブルを指定し、フィルターを使用して統合に含めるイベントを定義します。 その後、Sentinel統合を保存した後、Microsoftテナントに認証し、CatoがデータをSentinelアカウントに送信することを許可する必要があります。

CMAでの統合作成後、Microsoftでプロセスを完了するのに10分間のセキュリティ時間があります。 この時間内にプロセスが完了しない場合、CMAで統合を削除して再開始する必要があります。

統合が作成された後、データは上記で指定されたテーブルにMicrosoftに流れます。 CatoはMicrosoftに組み込まれたテーブルと区別できるように、テーブル名に文字列 "_CL" を追加します。

CMAで統合を削除しても、Microsoftで作成したリソースは削除されません。

注意: サードパーティーサービスへのアクセスが特定のIPアドレスに制限されている場合は、許可する必要があるCatoのIPアドレス一覧について、こちらの記事を参照してください (この記事を見るにはサインインが必要です)。

Sentinel統合を作成するには:

  1. ナビゲーションメニューからリソース > 統合をクリックします。
  2. 設定済み統合タブで、新規をクリックします。 新規統合パネルが開きます。

  3. Microsoft Sentinelを選択し、次のフィールドを設定します:

    sentinel_3.png
    1. この統合の名前を入力します。
    2. コネクタ テナントフィールドでMSテナント統合の名前を選択します。 
    3. Microsoft ログ アナリティクス内でデータを受信するための既存のログ アナリティクス ワークスペース名を入力します。
    4. この名前のログ アナリティクス ワークスペース内でデータを保持するための新しいログ アナリティクス テーブル名を入力します。 
    5. MicrosoftにCatoデータを保持してもらう日数をテーブル保持日数フィールドで定義します。
    6. いくつかのCatoイベントのみMicrosoft Sentinelに送信するためのフィルタを追加します。 
  4. 保存をクリックして、統合をMicrosoftに展開します。 Microsoftでセットアップを完了するには10分間です。

  5. ブラウザタブが開かれ、Microsoftで統合の作成を承認するように指示されます。

    注意:上記のMSテナント統合でマスター コネクタを作成したのと同じテナントで統合を承認し、そのテナントでリソースを作成する権限を持つユーザーである必要があります。

  6. Microsoftポータルで、ターゲットログ分析ワークスペースを含むリソースグループと地域を選択し、確認して作成を押します。 

    sentinel_4.png
  7. 作成をクリックして、デプロイを開始します。
  8. 配信が完了したら、Microsoftウィンドウを閉じることができます。

  9. CMAで統合ページを更新した後、統合されたアプリタブで統合のステータスを表示できます。

    image-20251019-105133.png

ネイティブなターンキーとカスタムGitHub統合方法の間を選択

この記事で説明されているネイティブターンキー統合に加え、Cato GitHubアカウントのツールを使用して、CatoイベントをMicrosoft Sentinelと統合することもできます。 各アプローチは、目標と環境に応じた明確な利点を提供します。

ネイティブ統合を使用するタイミング

Catoのネイティブ統合は、最小限の設定でスケーラブルかつサポート可能なソリューションを提供します。 ネイティブ統合の利点には以下が含まれます:

  • APIベースの制限なしで大量のイベントを効率的に処理できること
  • Catoによって完全に維持され、サポートされている
  • CatoとMicrosoft Sentinel間のスキーマを自動的にマッピング

GitHub統合を使用するタイミング

GitHub統合は、カスタムデータソースや処理ロジックが必要な場合の高度なユースケースに柔軟性を提供します。 次のような状況でこの統合を使用したい場合があります:

  • Cato統合が ingest したいデータの種類をサポートしていない
  • スキーマまたはイベントフィードデータをカスタマイズしたい場合

既知の制限

  • 大規模イベントの制限: 一部のXOpsイベントは、raw_dataフィールドに膨大なストーリー情報を含むことがあり、イベントがMicrosoft Sentinelの取り込みサイズ制限(約1MB)を超える場合があります。 この場合、CatoはイベントをSentinelに転送しますが、Sentinel取り込み要件に対応するためにraw_dataフィールドを省略します。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント