注意
注: こちらは限定リリースの早期利用可能(EA)機能です。 この機能を有効にする方法について詳しくは、Cato Networksの担当者にお問い合わせいただくか、ea@catonetworks.com まで電子メールをお送りください。
Catoを使用すると、イベントやフローをSplunkに直接ストリーミングし、Catoテクノロジーアドオン(TA)を使用してデータをSplunk共通情報モデル(CIM)に正規化できます。これにより、カスタム解析を構築せずに標準のSplunk検索、ダッシュボード、および検出コンテンツをすぐに使用できます。 Cato TAはCatoテレメトリーをCIM準拠のフィールドにマッピングするSplunkアプリケーションで、Splunkアナリティクス、ダッシュボード、検出コンテンツで使用されます。
CIM正規化データにより、Catoのテレメトリーは、Splunkエコシステム全体で直ちに使用可能になり、Splunk Enterprise Security(ES)などを含みます。 標準のダッシュボード、関連検索、検出コンテンツを追加のカスタマイズなしで使用し、運用の負荷を軽減し、ネットワーク、セキュリティ、ユーザーアクティビティの調査ワークフローを迅速化します。
Cato TAは次のデータソースをサポートします:
-
イベント - Catoプラットフォームで生成されるイベント。インターネットおよびWANファイアウォール、脅威防止、認証、システム、接続性の変更を含みます。
-
フロー - アプリケーションコンテキストと集約されたメトリック付きの強化ネットワークフローテレメトリー
次の形式のいずれかでデータを取り込めます:
-
ネイティブCatoスキーマ
-
Cato TAを使用したSplunk共通情報モデル(CIM)
CIMベースのオプションを使えば、Splunkネイティブの分析とセキュリティコンテンツを迅速に利用できます。
詳しくは、Cato Event to Splunk CIM Field Mapping (EA)をご覧ください。
Catoテクノロジーアドオンを使用してCIMで正規化されたデータから次の利点が得られます:
-
環境全体での一貫性のある分析のために標準化されたSplunkデータモデルを使用
-
Splunk ESでの標準の相関検索と検出を実行
-
ネットワーク、セキュリティ、ユーザーアクティビティ用の事前構築されたダッシュボードを有効にする
-
カスタムフィールドの抽出と正規化の必要性を低減
-
SOCのオンボーディングと調査ワークフローを加速
Splunk Enterprise Security(ES)を使用する際:
-
CIMでマッピングされたデータがESデータモデルに自動的にポピュレートされます
-
事前構築された相関検索が注目に値するイベントを生成
-
セキュリティダッシュボードが脅威とアクティビティへの即時の可視性を提供します
-
ESCUなどのコンテンツパックは追加のカスタマイズなしで動作します
Catoテクノロジーアドオン(TA)は、CatoのテレメトリーをCIM準拠のフィールドに正規化します。アプリの詳細:
-
アプリ名:Cato Networks CIM Add-on for Splunk
-
アプリID:TA-catonetworks-cim
-
作成者:Cato Networks
統合を設定し、テクノロジーアドオンを展開してデータを正規化します。
Catoテクノロジーアドオンで統合を設定するには:
-
ナビゲーションメニューからリソース > 統合を選択します。
-
Splunk環境のデータをストリームするためにSplunk統合を設定します。
-
データソースを選択:
-
イベント
-
フロー
-
-
Splunk環境で、Cato Networks CIM Add-on for Splunkを検索し、インストールします。
-
(オプション) 高度な分析と検出のためにSplunk Enterprise Securityを有効にします。
Splunkで最適な可視性を得るには、統合のために イベント と フロー の両方を有効にすることをお勧めします。 これにより、より広範囲のテレメトリーカバレッジが提供され、関連するトラフィックコンテキストで個別のセキュリティイベントを相関させることができます。 必要に応じて、1つのデータソースのみを有効にできます。また、イベントフィルタリングがサポートされています。 ただし、完全な可視性と相関にはイベントとフローが必要です。
0件のコメント
サインインしてコメントを残してください。