CatoデータのSplunkへの統合

概要

Splunk統合を使用して、既存のモニタリング、相関、調査ワークフローにCatoネットワークとセキュリティデータを含めることができます。 ネイティブ統合により、CatoからSplunkにデータが直接送信され、中央プラットフォームで他のソースからのデータと並行してCatoの活動を分析することが可能になります。 これにより、追加のデータ収集メカニズムを必要とせずに、ダッシュボード、検索、アラート、レポートを作成できます。

Catoはまた、Cato GitHubリポジトリからのカスタムGitHub統合も提供しています。 詳細については、以下のネイティブターンキーとカスタムGitHub統合方法の選択を参照してください。

Splunkデータソース 

Splunk統合は2つのデータソースをサポートします:

  • イベント - ネットワークやシステムで特定のアクティビティが発生したときに生成され、ポリシールールが一致したときや脅威が検出されたときなどに発生します。 これらのレコードは、セキュリティとポリシー施行に関する具体的でリアルタイムのインサイトを提供します。 データは Cato の イベントスキーマ を使用して送信されます。

  • フロー - ネットワークフロー(5タプル)として始まり、Catoエンジンから利用可能になる際にアプリケーションレベルの情報で強化されます。 アプリケーションとユーザーのコンテキストに加えて、フローはバイト、パケット、および期間といった集約されたセッションデータを含み、時間をかけたネットワークアクティビティの完全なビューを提供します。 フローフィールドのスーパーセットはappStatsスキーマで表されます。

    いくつかのフィールドはネイティブ統合を通じてストリーミングされたフローにのみ利用可能で、appStatsまたはアプリケーション分析の一部としては含まれません。 たとえば、flow_idや上流や下流のパケットやバイト、フローの期間などの集約メトリックがあります。 これらのフィールドは以下のコメントでマークされています:

    CMAで作成されたネイティブフローデータ統合でのみ利用可能です。

デフォルトでは、新しい統合はイベントのみをエクスポートします。 フローデータソースは、イベントと比較して大幅に高いデータ量を生成することができます。 正確なボリュームはトラフィックによって決まります。 CMAでは複数の統合を設定することをサポートしており、必要に応じて異なるデータソースを送信できます。 フィルタリングはイベントのみに対応しています。

ユースケース

イベント

サンプル企業は、集中型セキュリティモニタリングと対応のためにSplunkを使用しています。 Catoの顧客として、ネットワーク活動、脅威、ユーザーデータ、デバイス、およびCatoプラットフォームを通過するトラフィックのあらゆる面に関する有用なデータを持っています。 この統合を使用して、このデータを直接Splunkに送信し、SOCおよびNOCチームの既存のワークフローに簡単に統合できます。

フロー

Splunkでセキュリティアナリストが、高リスクのアプリケーションにユーザーがアクセスした疑わしいイベントを特定し、このアプリケーションはデータのエクスフィルトレーションに関連している可能性があります。 Catoイベントだけを使用して、アナリストはポリシー決定、ユーザーのID、およびアプリケーションを確認できます。 しかし、イベントではどれだけのデータが転送されたか、またセッションがどれだけ持続したかは示されていません。

flow_idフィールドを使用してイベントに関連付けられた集約トラフィックフローデータを用いることで、アナリストはセッションの総バイト数、パケット数、セッション期間を含む完全なコンテキストを確認できます。 これにより、アナリストはアクティビティが最小のインタラクションを含むのか、それともエクスフィルトレーションを示唆する大規模なデータ転送を伴うのかを判断できます。

イベントとフローデータを組み合わせることで、アナリストはインシデントの重大度を迅速に検証し、適切な対応を取ることができます。

前提条件

  • コネクタを追加するには、リソース セクションで 統合 に対する編集者権限が必要です。 詳細情報は、RBAC を使用した管理者権限の管理 を参照してください。
  • SplunkのURLとポートは、アカウントへのアクセスに使用するHECエンドポイントです。 一般に、これは"http-inputs-"という文字を冒頭に追加したウェブURLです。 例えば、http://mydomain.splunk.com がアカウントIDである場合、https://http-inputs-mydomain.splunkcloud.com/ を使用します。 詳細は、Splunkのドキュメントをご覧ください。 ポートはオプションであり、何も指定しない場合は443を使用します(これはSplunk Cloudのデフォルトです)。
  • イベント統合の始め方の全てのCatoイベント統合の前提条件を確認してください。

Splunk統合の作成

Splunk統合により、CatoイベントとフローをSplunk HTTPイベントコレクタ(HEC)エンドポイントに送信します。 統合を設定するために、SplunkでHECトークンを作成し、CMAで新しいSplunk統合を作成し、取り込みURLとAPIキーを入力します。

構成プロセスでは、イベントフロー、またはその両方を統合するかどうかを構成できます。 デフォルトでは、イベントのみをエクスポートします。 フローデータソースは、イベントと比較してはるかに多くのデータボリュームを生成することができます。 正確なデータ量は、トラフィックによって異なります。 CMAは複数の統合の設定をサポートしており、必要に応じて異なるデータソースを送信することができます。

注意:

  • Splunk Enterprise(自己管理型)統合のために:

    • Splunk HECエンドポイントは、インターネット上で到達可能でなければなりません(つまり、パブリックIPアドレスまたはパブリックDNS名を介して公開されている必要があります)。 プライベートIPアドレスまたは内部専用のエンドポイントはサポートされていません。
    • TLS インスペクションを有効化し、エンドポイントは信頼された公開証明書機関(CA)によって発行された有効な X.509 証明書を提示しなければなりません。 自己署名証明書またはプライベートに発行された CA 証明書はサポートされていません。接続は標準の CA 信頼チェーンを使用してのみ検証されます。
  • CMAで統合を削除しても、Splunkで作成されたリソースは削除されません。

フィルター

フィルターを使用して、どのCatoイベントをSplunkにエクスポートするかを制御します。 これにより、取り込みコストを削減し、ノイズを最小限に抑え、特定のサイト、ユーザー、地域にとって最も関連性のあるイベントに調査を集中させることができます。 フィルターを使用して、異なるイベントサブセットを異なるSIEM環境にルーティングすることも可能です。

イベントフィールドまたはフィールドの組み合わせに基づいてフィルターグループを定義します。 各グループ内の条件はANDロジックを使用します。 グループ間にはORロジックが適用されます。 スクリーンショットのフィルターは、以下をエクスポートするために統合を設定します。

  • パリまたはマドリードから始まるイベントで、サブタイプがインターネットファイアウォールであり、モニターやプロンプト以外のアクションが結果となったもの
  • ユーザー名にテストを含む

Splunk 統合を作成するには:

  1. Splunk アカウントで、この統合で使用するための新しいトークンを作成します。 詳細については、Splunk のドキュメント を参照してください。 トークン用にカスタムインデックスを定義するか、デフォルトインデックスを使用できます。
  2. 表示されているトークンの値をコピーします。 これを統合をCatoに設定するために必要です。
  3. ナビゲーションメニューから、リソース > 統合を選択します。
  4. 設定済み統合タブで、新規をクリックします。 新しい統合 パネルが開きます。

  5. Splunkを選択し、以下のフィールドを設定します。

    1. Auth ドロップダウンで、API Keyを選択します。
    2. この統合用にコネクタ名と任意の説明を入力します。
    3. Splunkで作成したインジェストURLAPI Keyを入力します。
    4. Catoからデータを受信するインデックスを指定します。 これを空白のままにしておくと、CatoはHECトークンで定義されたデフォルトのインデックスを使用します。
    5. イベントフロー、またはその両方を統合するかどうか。
    6. オプション:どのCatoイベントがSplunkに送信されるかを制御するフィルターを追加します。
      注記: フィルターはイベントデータのみに適用されます。
    7. 統合エラーが発生したときにイベントを作成するかどうかを指定します。
  6. 保存をクリックします。
  7. CMAで、統合ページを更新します。 統合ステータスは、統合アプリタブに表示されます。

ネイティブターンキーとカスタムGitHub統合方法の選択

この記事で説明したネイティブターンキー統合に加えて、CatoのGitHubアカウントのツールを使用して、CatoイベントをSplunkと統合することもできます。 それぞれのアプローチは、目的や環境に応じた独自の利点を提供します。 必要に応じて、両方の統合を使用することもできます。

ネイティブ統合を使用する場合

Catoのネイティブ統合は、最小限の設定でスケーラブルでサポート可能なソリューションを提供します。 ネイティブ統合の利点には、次のものがあります。

  • APIベースの制限なしに大容量のイベントを効率的に処理します
  • Catoによって完全に維持され、サポートされています
  • Splunkに送信するデータを微調整するためのフィルターをサポートしています

GitHub統合を使用する場合

GitHubの統合は、カスタムデータソースや処理ロジックが必要な高度な使用ケースのための柔軟性を提供します。 次の状況でこの統合を使用することをお勧めします。

  • Catoの監査ログからSplunkにデータを送信したい場合
  • Cato GitHubリポジトリをオープンソースリソースとして使用し、統合をカスタマイズする。

既知の制限

  • 大規模なイベントの制限: Raw_dataフィールド(ストーリー情報を含む)が5MBを超えると、Splunkに送信されたインシデント情報が切り捨てられる可能性があります(これはSplunkのデフォルトですが、増やすことができます)。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント