Splunk統合により、Catoはネイティブコネクタを使用してデータを直接Splunkに転送し、2つのデータソースをサポートします。
- イベント - 特定のアクティビティがネットワークまたはシステムで発生したときに生成されます。例えば、ポリシールールが一致した場合や脅威が検出された場合です。 これらのレコードは、セキュリティとポリシー施行に関する具体的でリアルタイムのインサイトを提供します。 データは Cato の イベントスキーマ を使用して送信されます。
-
フロー - ネットワークフロー(5カラム)として生成され、さまざまなCatoエンジンを通じてアプリケーションレベルの情報が利用可能になるにつれて充実します。 アプリケーションとユーザーのコンテキストに加えて、フローはバイト、パケット、および期間といった集約されたセッションデータを含み、時間をかけたネットワークアクティビティの完全なビューを提供します。 フローフィールドのスーパーセットはappStatsスキーマで表されます。
いくつかのフィールドはネイティブ統合を通じてストリーミングされたフローにのみ利用可能で、appStatsまたはアプリケーション分析の一部としては含まれません。 たとえば、flow_idや上流や下流のパケットやバイト、フローの期間などの集約メトリックがあります。 これらのフィールドは以下のコメントでマークされています:
CMAで作成されたネイティブフローデータ統合でのみ利用可能です。
注: XOpsイベント(イベントタイプの検出と対応)のインシデント情報を含む生データフィールドは、その生データフィールドにストーリー情報が含まれている場合、Splunkに送信される際に5 MBを超えると切り捨てられることがあります(これはSplunkのデフォルトですが、増やすことができます)。
ある企業が集中型セキュリティ・モニタリングと対応のためにSplunkを使用しています。 Catoの顧客として、ネットワーク活動、脅威、ユーザーデータ、デバイス、およびCatoプラットフォームを通過するトラフィックの他の全ての側面などの重要な特徴から得られる有用なデータを持っています。 この統合を使用して、このデータを直接Splunkに送信し、SOCおよびNOCチームの既存のワークフローに簡単に統合できます。
Splunkでセキュリティアナリストが、高リスクのアプリケーションにユーザーがアクセスした疑わしいイベントを特定し、このアプリケーションはデータのエクスフィルトレーションに関連している可能性があります。 Catoイベントだけを使用して、アナリストはポリシー決定、ユーザーのID、およびアプリケーションを確認できます。 しかし、イベントではどれだけのデータが転送されたか、またセッションがどれだけ持続したかは示されていません。
flow_idフィールドを使用してイベントに関連付けられた集約トラフィックフローデータを用いることで、アナリストはセッションの総バイト数、パケット数、セッション期間を含む完全なコンテキストを確認できます。 これにより、アナリストはアクティビティが最小のインタラクションを含むのか、それともエクスフィルトレーションを示唆する大規模なデータ転送を伴うのかを判断できます。
イベントとフローデータを組み合わせることで、アナリストはインシデントの重大度を迅速に検証し、適切な対応を取ることができます。
- コネクタを追加するには、リソース セクションで 統合 に対する編集者権限が必要です。 詳細情報は、RBAC を使用した管理者権限の管理 を参照してください。
- イベント統合の開始で、すべての Cato イベント統合の前提条件を確認してください。
SplunkでHECトークンを作成した後、CMAで統合を定義します。 フィルターを使用することで、統合に含めたいイベントデータを制限できます。 統合が作成されると、データは指定されたインデックスでSplunkに流れ込みます。
設定プロセスでは、イベント、フロー、またはその両方を統合するかどうかを構成できます。 デフォルトではイベントのみが設定されています。 フローデータソースは、イベントと比較してはるかに多くのデータボリュームを生成することができます。 正確なボリュームはトラフィックによって決まります。 CMAでは複数の統合を設定することをサポートしており、必要に応じて異なるデータソースを送信できます。
SplunkのURLとポートは、アカウントにアクセスするためのHECエンドポイントです。 一般的に、これはSplunkにアクセスするために使用するWeb URLに"http-inputs-"の文字を先頭に付けたものです。 例えば、アカウントがhttp://mydomain.splunk.comの場合、https://http-inputs-mydomain.splunkcloud.com/を使用します。 詳細については、Splunkのドキュメントを参照してください。 ポートは省略可能で、他に指定がなければ443が使用されます(これはSplunk Cloudのデフォルトです)。
CMAで統合を削除しても、Splunkで作成されたリソースは削除されません。
注意:
-
Splunk Enterprise(自己管理型)統合のために:
- Splunk HEC エンドポイントは、インターネット上で到達可能でなければならず(つまり、公開 IP または公開 DNS 名を介して公開されていること)、 プライベートIPアドレスまたは内部専用のエンドポイントはサポートされていません。
- TLS インスペクションを有効化し、エンドポイントは信頼された公開証明書機関(CA)によって発行された有効な X.509 証明書を提示しなければなりません。 自己署名証明書またはプライベートに発行された CA 証明書はサポートされていません。接続は標準の CA 信頼チェーンを使用してのみ検証されます。
Splunk 統合を作成するには:
- Splunk アカウントで、この統合で使用するための新しいトークンを作成します。 詳細については、Splunk のドキュメント を参照してください。 トークン用にカスタムインデックスを定義するか、デフォルトインデックスを使用できます。
- 表示されているトークンの値をコピーします。 この設定を Cato と統合するために必要です。
- ナビゲーションメニューから、リソース > 統合 をクリックします。
- 統合されたアプリ タブで、新規 をクリックします。 新しい統合 パネルが開きます。
-
Splunkを選択し、以下のフィールドを設定します。
- AuthドロップダウンでAPIキーを選択します。
- コネクタ名と、この統合に関する説明(オプション)。
- Splunkで作成したインゲスチョンURLとAPIキーです。
- Catoからデータを受け取るインデックスを指定します。 これを空白のままにすると、HECトークンで定義されたデフォルトインデックスが使用されます。
- イベント、フロー、またはその両方を統合するかどうか。
-
フィルターを使用して、Splunk へ送信される Cato イベントを制限します。
注: フィルターはイベントデータにのみ適用されます。
- 統合にエラーが発生した場合にイベントを作成するかどうかを指定します。
- 保存をクリックします。
- CMAで統合ページを更新した後、統合アプリタブで統合のステータスを表示できます。
この記事で説明したネイティブターンキー統合に加えて、CatoのGitHubアカウントのツールを使用して、CatoイベントをSplunkと統合することもできます。 それぞれのアプローチは、目的や環境に応じた独自の利点を提供します。 必要に応じて、両方の統合を使用することもできます。
Catoのネイティブ統合は、最小限の設定でスケーラブルでサポート可能なソリューションを提供します。 ネイティブ統合の利点には、次のものがあります。
- APIベースの制限なしに、大量のイベントを効率的に処理する能力
- Catoによって完全に維持およびサポートされます
0件のコメント
サインインしてコメントを残してください。