CatoイベントとCrowdStrikeの統合

この記事では、Catoイベントを転送するためのCrowdStrike統合の設定方法を説明します。

注意

注: Cato管理アプリケーションでコネクタを有効にすると、HEC/HTTP一般エンドポイントコネクタをCrowdStrikeと使用できますが、ベンダー固有のフィールド (ベンダー、ベンダー製品) およびCrowdStrikeスキーマの解析はサポートされていません。ベンダー固有のフィールドとオプションのCrowdStrikeパーサーは現在ベータ版です。詳細情報およびこれらの機能を有効にするには、CrowdStrikeの担当者にご連絡ください。

概要

CrowdStrike Next-Gen SIEM統合により、Catoはネイティブコネクタを使用してイベントをCrowdStrikeに直接転送できるようになります。正規化されたCatoイベントは、ネットワーク活動、脅威、ユーザー、デバイス、その他すべてのトラフィックの側面を詳細に含みながらFalcon Next Genに直接ストリーミングできます。これにより、アナリストはFalconを離れることなく完全なネットワークコンテキストを用いて調査やハンティングを行うことができます。

CrowdStrike統合を設定するには次の手順が必要です:

SaaSアプリケーション内で統合を設定
Cato管理画面（CMA）でAPIコネクタを作成

ユースケース

ある企業が集中化されたセキュリティのモニタリングと対応のためにCrowdStrikeを使用しています。 Cato顧客であるため、ネットワークアクティビティ、脅威、ユーザーデータ、デバイスなどのプラットフォーム上を通過するすべてのトラフィックの有用なデータを持っています。この統合を使用して、データをCrowdStrikeに直接送信し、SOC及びNOCチームの既存のワークフローに簡単に統合することができます。

前提条件

Falcon Next-Gen SIEM または Falcon Next-Gen SIEM 10GBサブスクリプション。
ベンダー固有のフィールドとオプションのCrowdStrikeパーサーでは、ベータ機能がCrowdStrikeで有効である必要があります。詳細情報およびこれらの機能を有効にするには、CrowdStrikeの担当者にご連絡ください。
コネクタを追加するには、リソース セクションの統合に対する編集者権限が必要です。詳細情報は、RBACを使用した管理者の役割の管理をご覧ください。
Catoイベント統合のすべての前提条件をイベント統合の開始で確認してください。

CrowdStrike統合の設定

CrowdStrike統合を設定するには、データ接続を作成します。

ステップー: Falconコンソールで統合を設定する

Falconコンソール内でデータ接続を作成し、XXXXXを特定します。

CrowdStrike統合を設定するには:

Falcon CrowdStrikeコンソールで、データコネクタ > データコネクタ > データ接続を選択します。
接続を追加をクリックします。
製品フィルタにはHECを適用し、コネクタタイプフィルタにはPushを適用します。
HEC/HTTPイベントコネクタをクリックし、設定をクリックします。
接続の名前を追加し、以下の詳細を追加します（CrowdStrikeで有効にされている場合のみサポートされ、詳細については前提条件を参照してください）：
- ベンダー: CatoNetworks
- ベンダー製品: CatoNetworksSASECloud
- （オプション）パーサー: cato-sase
利用規約に同意して、接続を作成をクリックします。
接続が作成されたら、メニューから三点ボタンを選択し、APIキーを生成、続けてAPIキーを再生成を選択します。
APIキーとAPI URLをコピーして保存し、CMAに入力できるようにします。

ステップ 2: CMAでAPIコネクタを作成する

必要なアプリケーションで統合を設定したら、CMAに詳細を追加してください。

CMAでAPIコネクタを作成する方法:

ナビゲーションメニューから、リソース > 統合をクリックします。
設定済み統合タブをクリックします。
新規をクリックします。

新しい統合パネルが開きます。
CrowdStrike Falcon NG-SIEMを選択します。
ステップ 1 で作成した詳細を追加します。
保存をクリックします。
アプリは統合されたアプリテーブルに表示され、接続済みのステータスが付いています。