Cato 이벤트를 Azure Storage와 통합하기

이벤트 통합 개요

Azure Storage 계정에서 이벤트 데이터를 저장하고 관리하는 조직은 Cato 계정을 구성하여 이벤트를 자동으로 그리고 연속적으로 업로드할 수 있습니다. 

이 통합은 Cato Cloud에서 저장 계정으로 직접 이벤트를 지속적으로 푸시합니다. 이는 Cato에서 데이터를 끌어와야 하고, 속도 제한 영향을 받을 수 있는 eventsFeed API와 다릅니다.

Cato Cloud는 데이터가 60초마다 또는 10MB 이상의 데이터가 축적될 때마다 저장 계정으로 데이터를 업로드합니다. 데이터는 HTTPS를 통해 안전하게 전송됩니다.

이벤트는 압축 .GZ 형식으로 업로드됩니다. 일부 클라이언트(예: 특정 브라우저)는 이 파일들을 .GZ 확장을 제거하지 않고 자동으로 압축을 해제할 수 있습니다. 이 경우 파일 확장을 LOG 또는 TXT로 변경하면 파일 형식과 확장이 올바르게 맞춰집니다.

이벤트 통합 사용 사례

예시 회사는 많은 보안 이벤트를 생성하는 IPS 의심스러운 활동 모니터링 기능을 사용하고 있습니다. 그들은 모든 이벤트 데이터를 저장할 Azure Storage 계정을 생성하기로 결정했고 이를 SIEM 솔루션과 통합할 수 있습니다. 샘플 회사는 이벤트 통합을 활성화하고 Cato 계정에 Azure Storage 계정을 통합하여 모든 IPS 이벤트가 자동으로 Azure Storage에 업로드되도록 추가합니다.

필수 조건

Azure 저장소 계정 구성

Cato 이벤트 데이터를 위한 새로운 스토리지 계정과 컨테이너를 생성하십시오. 이벤트 통합을 위해 기존의 스토리지 계정을 사용하지 않는 것이 좋습니다. 액세스 키나 공유 액세스 서명(SAS)을 통해 Azure 연결 문자열을 사용할 수 있습니다.

접속 문자열에 액세스 키 사용

Azure 액세스 키를 사용하여 스토리지 계정을 Cato에 인증하는 고객의 경우, 연결 문자열을 복사하십시오. Azure 통합을 구성할 때 Cato 관리 애플리케이션에서 연결 문자열을 붙여 넣기 하십시오.

액세스 키를 사용하는 스토리지 계정을 생성하려면:

  1. 적절한 설정으로 새로운 스토리지 계정을 생성합니다.

    1. 인스턴스 세부 정보에서 표준 성능을 선택하십시오.

      basic_storage_account.png
    2. 검토를 클릭한 다음 생성을 클릭하십시오.

  2. 이벤트 데이터를 위한 새 컨테이너를 생성합니다 (데이터 저장소 > 컨테이너).

    아래에서 이벤트에 대한 통합을 생성할 때 Cato 관리 애플리케이션에 컨테이너 이름을 입력합니다.

  3. 왼쪽 네비게이션 창에서 보안 + 네트워킹 섹션으로 이동하여 액세스 키를 선택합니다.

  4. 스토리지 계정에 대한 액세스 키 연결 문자열을 복사합니다.

    access_key_string.png
  5. 아래의 이벤트를 위한 Azure 계정 저장소 추가를 계속합니다.

접속 문자열에 SAS 사용

Azure SAS는 저장소 컨테이너의 권한을 제한할 수 있게 하며, 허용된 IP 주소와 연결 문자열의 만료 날짜를 설정할 수 있도록 합니다.

SAS 연결 문자열의 토큰에는 만료 날짜가 포함되어 있으며, 이벤트 통합 페이지에 표시됩니다. 만료 날짜 이후에는 토큰이 더 이상 유효하지 않으며, Cato는 이벤트를 저장소 컨테이너에 업로드할 수 없습니다. 이벤트 업로드가 중단되지 않도록 하려면 SAS 만료 날짜 이전에 새로운 연결 문자열을 생성하고 이를 통합에 적용하십시오.

Azure에서 Cato 이벤트 데이터를 수신하도록 저장소 계정을 구성하려면:

  1. 적절한 설정으로 새로운 저장소 계정을 생성합니다.

    1. 인스턴스 세부 정보에서 표준 성능을 선택합니다.

      basic_storage_account.png
    2. 검토를 클릭한 다음 생성을 클릭합니다.

  2. 이벤트 데이터를 위한 새 컨테이너를 생성합니다 (데이터 저장소 > 컨테이너).

    이벤트에 대한 통합을 생성할 때 Cato 관리 애플리케이션에서 컨테이너 이름을 입력합니다 (아래 참조).

  3. 좌측 탐색 창에서 보안 + 네트워킹 섹션으로 가서 공유 액세스 서명을 선택합니다.

  4. 다음의 액세스 권한으로 SAS를 구성합니다:

    • 허용된 서비스 - Blob, 파일
    • 허용된 리소스 유형 - 컨테이너, 객체
    • 허용된 권한 - 읽기, 쓰기, 목록
    SAS_settings.png
  5. SAS 및 연결 문자열 생성을 클릭합니다.

  6. 저장소 계정의 연결 문자열을 복사합니다. 이벤트에 대한 통합을 생성할 때 이 문자열을 붙여넣습니다 (아래 참조).

    sas_string.png

Azure Storage를 위한 이벤트 통합 추가

이벤트 통합 탭에서 Azure Storage 계정을 위한 새 통합을 생성하고 연결 문자열을 통합에 붙여 넣습니다. 이 문자열은 Cato가 저장 계정에 이벤트 데이터를 업로드할 수 있는 권한을 부여합니다. 통합을 생성한 후에는 문자열을 편집할 수 없습니다. 대신 Reset 필드를 사용하여 연결 문자열을 붙여 넣습니다.

Azure Storage 통합을 정의하고 활성화한 후 몇 분 이내에 Cato가 저장 계정에 이벤트를 업로드하기 시작합니다.

이벤트 유형 또는 하위 유형에 따라 저장 계정으로 업로드 되는 이벤트를 필터링할 수 있습니다. 예를 들어 계정에 대한 IPS 이벤트만 업로드할 수 있습니다. 기본적으로 필터가 적용되지 않으며, 모든 이벤트가 계정 저장소에 업로드됩니다.

EventIntegration.png

계정에서 이벤트를 업로드하기 위해 Azure Storage 통합을 추가하려면:

  1. 탐색 메뉴에서 자원 > 이벤트 통합을 선택합니다.
  2. Cato 이벤트와의 통합 활성화를 선택하십시오.
  3. 새로운을 클릭합니다. 새 통합 패널이 열립니다.
  4. 통합에서 Azure Storage 계정을 선택하고 통합에 대한 이름을 입력하세요.

  5. 연결 세부 정보를 Azure의 설정에 기반하여 통합에 대해 입력합니다:

    • 연결 문자열 - 저장소 계정에서 복사한 연결 문자열을 붙여넣습니다
    • 이름 - 저장소 계정의 컨테이너와 동일한 이름
    • (선택 사항) 폴더 - 컨테이너 내 폴더 경로와 동일한 이름 (필요한 경우)

  6. (선택 사항) 저장소 계정에 업로드된 이벤트에 대한 필터 설정을 정의합니다.

    여러 필터를 정의할 때, 필터 간에는 그리고 관계가 형성되며, 모든 필터와 일치하는 이벤트가 업로드됩니다.

  7. 적용을 클릭합니다. 귀하의 계정에 Azure Storage 계정이 이제 통합되었습니다.

    참고: 계정에 대해 최대 총 3개의 이벤트 통합을 정의할 수 있습니다.

도움이 되었습니까?

4명 중 2명이 도움이 되었다고 했습니다.

댓글 0개