Microsoft Sentinel 統合を使用して、Cato イベントデータを既存のモニタリング、相関、および調査ワークフローに含めてください。
Cato は Microsoft Sentinel との2つのタイプの統合を提供します。 各アプローチは、目標と環境に応じて異なる利点を提供します。
-
ネイティブ即時統合では、Cato から Sentinel に直接イベントが送信され、Sentinel データモデルに自動的にマッピングされるため、ダッシュボード、分析ルール、アラート、その他の Sentinel の機能が追加のパースや正規化なしに Cato のイベントデータを処理できます。
統合は、認証とトランスポートのために標準の Cato MS テナントコネクタを使用して、Cato と Microsoft の統合を行います。 共有コネクタは、Entra ID、アプリ、データAPIなどの統合に対して一貫した設定ワークフローと集中管理アクセスを提供します。 - カスタム GitHub 統合は、Cato GitHub リポジトリから利用可能です。 詳細については、下記のネイティブ即時とカスタム GitHub 統合方法の選択をご覧ください。
サンプル企業では、中央集中型のセキュリティモニタリングと対応のために Microsoft Sentinel を使用しています。 Cato の顧客として、IPS などの重要なセキュリティ機能から有用なデータを持っています。 彼らはこの統合を使用して、高深刻度のIPSイベントタイプを直接Sentinelに送信し、既存のワークフローに簡単に統合できます。
-
リソース > 統合 > 設定済みの統合の下で、CMA に MS テナント統合があります。
これは、Microsoft アプリのための親統合です。
- Cato イベントが保存される Sentinel の既存のログ分析ワークスペース。
- コネクタを追加するには、リソースセクションの統合に対して編集者権限を持っている必要があります。 より詳しい情報については、RBACを使用して管理者の役割を管理するをご覧ください。
- イベント統合を始めるで、すべての Cato イベント統合の前提条件を確認してください。
MSテナントは、多くのMicrosoftアプリの親コネクタとして機能します。 Microsoft 統合を追加するときは、まず親コネクタを作成します。 このコネクタを一度設定すれば、その後すべての Microsoft アプリで使用できます。
MS テナント統合を作成するには:
- ナビゲーションメニューから、リソース > 統合を選択し、設定済みの統合タブをクリックします。
- 新規作成をクリックします。 新規コネクタパネルが開きます。
-
新規コネクタパネルで、MSテナント(新しいMSテナントを構成する)アプリを選択します。
- コネクタ名を入力します。
-
承認して保存をクリックします。
新しいブラウザタブが開き、Microsoft 365アプリへ遷移します。
- 新しいブラウザタブで、Microsoft 365 アプリに認証します。
-
Microsoft 365アプリのMicrosoftアカウントを選択します。
そうしないと、Microsoft認証エラーが発生する可能性があります。
- Microsoft アカウントのパスワードを入力し、承認します。
-
CatoがMicrosoft 365アプリにアクセスするための権限を承認する。
成功ページに権限が適用されたことが表示されます。
- ブラウザタブを閉じて、Cato管理アプリケーションに戻ることができます。
-
- Microsoft 365 アプリが統合されたアプリタブに追加されます。
CMA で Sentinel 統合を定義し、ターゲット Microsoft テナント、ワークスペース、テーブルを指定します。 フィルタを使用して統合に含めるイベントを定義することもできます。 Sentinel 統合を保存した後、Microsoft テナントに認証し、Cato があなたの Sentinel アカウントにデータをプッシュすることを許可する必要があります。
CMAでの統合作成後、Microsoftでプロセスを完了するのに10分間のセキュリティ時間があります。 この時間内にプロセスが完了しない場合、CMAで統合を削除して再開始する必要があります。
統合が作成された後、データは上記で指定されたテーブルにMicrosoftに流れます。 CatoはMicrosoftに組み込まれたテーブルと区別できるように、テーブル名に文字列 "_CL" を追加します。
CMAで統合を削除しても、Microsoftで作成したリソースは削除されません。
Note: サードパーティサービスへのアクセスが特定の IP アドレスに限定されている場合、Cato の IP アドレス一覧についてはこの 記事をご確認ください。 この記事を見るにはサインインする必要があります。
フィルター
フィルタを使用して、どの Cato イベントが Microsoft Sentinel にエクスポートされるかを制御します。 これにより、取り込みコストを削減し、ノイズを最小限にし、調査を特定のサイト、ユーザー、または地域に最も関連するイベントに集中できます。 フィルタを使用して、異なるイベントのサブセットを異なる SIEM 環境にルートすることもできます。
フィルタグループを使用して、イベントフィールドやフィールドの組み合わせに基づいてフィルタを定義します。 各グループ内の条件は AND 論理を使用します。 グループ間には OR 論理が適用されます。 スクリーンショットのフィルタはエクスポートするために統合を設定します。
- 開始地点がパリまたはマドリードであり、サブタイプがインターネットファイアウォールであり、アクションがモニタまたはプロンプト以外の結果になったイベント
- ユーザー名にテストが含まれている
Sentinel統合を作成するには:
- ナビゲーションメニューから リソース > 統合を選択します。
- 設定済み統合タブで、新規をクリックします。 新規統合パネルが開きます。
-
Microsoft Sentinelを選択し、次のフィールドを設定します:
- この統合の名前を入力します。
- コネクタ テナントフィールドでMSテナント統合の名前を選択します。
- Microsoft ログ アナリティクス内でデータを受信するための既存のログ アナリティクス ワークスペース名を入力します。
- この名前のログ アナリティクス ワークスペース内でデータを保持するための新しいログ アナリティクス テーブル名を入力します。
- MicrosoftにCatoデータを保持してもらう日数をテーブル保持日数フィールドで定義します。
- オプション: Microsoft Sentinel に送信される Cato イベントを制御するフィルタを追加します。
-
保存をクリックして、統合をMicrosoftに展開します。
注意: Microsoft でのセットアップを完了するには10分の時間があります。 - ブラウザタブが開き、Microsoft で統合の作成を承認するように指示されます。
注意: 同じテナントを使用して MS テナント統合を作成するために統合を承認する必要があります。 ユーザーはそのテナント上でリソースを作成する権限を持っていなければなりません。 - Microsoft ポータルで、ターゲットログ分析ワークスペースを含むリソースグループとリージョンを選択し、レビュー + 作成をクリックします。
- 作成をクリックして、デプロイを開始します。
- 配信が完了したら、Microsoftウィンドウを閉じることができます。
- CMA で 統合 ページを更新します。 統合ステータスが 統合されたアプリ タブに表示されます。
この記事で説明されているネイティブターンキー統合に加え、Cato GitHubアカウントのツールを使用して、CatoイベントをMicrosoft Sentinelと統合することもできます。 各アプローチは、目標と環境に応じた明確な利点を提供します。
Catoのネイティブ統合は、最小限の設定でスケーラブルかつサポート可能なソリューションを提供します。 ネイティブ統合の利点には以下が含まれます:
- API ベースの制限なしで大容量のイベントを効率的に処理します。
- Cato によって完全に運用・サポートされます。
- CatoとMicrosoft Sentinel間のスキーマを自動的にマッピング
- Microsoft Sentinel に送信されるデータを微調整するフィルタをサポートします。
0件のコメント
サインインしてコメントを残してください。