Cato 이벤트를 Microsoft Sentinel과 통합하기

개요

Microsoft Sentinel 통합을 사용하여 기존 모니터링, 상관 관계, 조사 워크플로에 Cato 이벤트 데이터를 포함하세요. 네이티브 통합은 Cato에서 Sentinel로 이벤트를 직접 전송하고 이를 자동으로 Sentinel 데이터 모델에 매핑하여 대시보드, 분석 규칙, 알림 및 기타 Sentinel 기능이 추가 구문 분석이나 정상화 없이 Cato 이벤트 데이터를 처리할 수 있습니다.

통합은 인증 및 전송을 위해 표준 Cato Microsoft Tenant 커넥터를 사용하여 Cato Microsoft 통합 간의 연결을 제공합니다. 공유 커넥터는 Entra ID, 애플리케이션 및 데이터 API와 같은 통합에 대해 일관된 구성 워크플로 및 중앙화된 접근 제어를 제공합니다.

Use Case

회사가 Microsoft Sentinel을 중앙 집중식 보안 모니터링 및 대응에 사용하고 있습니다. Cato 고객으로서 그들은 IPS와 같은 핵심 보안 기능에서 얻은 유용한 데이터를 가지고 있습니다. 그들은 이 통합을 사용하여 고중요도 IPS 이벤트 유형을 직접 Sentinel로 전송할 수 있으며, 보안 운영 센터 팀의 기존 워크플로에 쉽게 통합될 수 있습니다.

필수 조건

  • CMA의 구성된 통합 탭에 MS 테넌트 통합이 있습니다.

    바른 MS 앱에 대한 상위 통합입니다

  • Log 분석 작업 공간에 이미 저장된 Cato 이벤트
  • 커넥터를 추가하려면 통합( 자원 섹션)의 편집자 권한이 필요합니다. 자세한 내용은 RBAC 사용하여 관리자 역할 관리를 참조하십시오.
  • 이벤트 통합 시작하기에서 모든 Cato 이벤트 통합의 사전 요구 사항을 검토하세요.

MS 테넌트 통합 생성

MS Tenant는 대부분의 Microsoft 앱의 상위 커넥터 역할을 합니다. Microsoft 앱 통합 추가 시 통합을 구성하는 첫 번째 단계는 상위 커넥터를 생성하는 것입니다. 이 커넥터는 한 번만 구성하면 되며 모든 Microsoft 앱에 사용할 수 있습니다.

MS 테넌트 통합 생성 방법:

  1. 네비게이션 메뉴에서 자원 > 통합을 선택하고 활성화됨통합 탭을 클릭하세요.
  2. 새로를 클릭합니다. 새 커넥터 패널이 열립니다.

  3. 새 커넥터 패널에서 MS Tenant (새 MS Tenant 구성) 앱을 선택합니다.

    New_Microsoft_365_Connector.png
  4. 커넥터 이름을 입력합니다.

  5. 승인 및 저장을 클릭합니다.

    새 브라우저 탭이 Microsoft 365 앱에 열립니다.

  6. 새 브라우저 탭에서 Microsoft 365 앱에 인증합니다:

    1. Microsoft 365 앱에 대한 Microsoft 계정을 선택합니다.

      그렇지 않으면 Microsoft 인증 오류가 발생할 수 있습니다.

    2. 앱의 비밀번호를 입력하고 승인합니다.
    3. Cato가 Microsoft 365 앱에 액세스할 수 있도록 권한을 수락합니다.

    4. 화면에 앱에 대한 권한을 성공적으로 적용했음을 표시합니다.

      Success_Connector_Permissions.png

      브라우저 탭을 닫고 Cato 관리 애플리케이션으로 돌아갑니다.

  7. Microsoft 365 SaaS 애플리케이션이 통합된 앱 탭에 추가됩니다.

Sentinel 통합 생성

CMA에서 목표 Microsoft Tenant, 작업 공간 및 테이블을 지정하고 통합에 포함할 이벤트를 필터로 정의하여 Sentinel 통합을 정의합니다. Sentinel 통합을 저장한 후, Microsoft Tenant에 인증하고 Cato가 데이터를 Sentinel 계정으로 보내도록 허용해야 합니다.

CMA에서 통합을 생성한 후, 보안상의 이유로 Microsoft에서 프로세스를 완료하기 위해 10분이 소요됩니다. 정해진 시간 내 프로세스가 완료되지 않을 경우, CMA에서 통합을 삭제하고 다시 시작해야 합니다.

통합이 생성된 후, 데이터가 Microsoft로 지정한 테이블로 흐릅니다. Cato는 Microsoft에서 기본 제공 테이블과 구분할 수 있도록 테이블 이름에 "_CL" 문자를 추가합니다.

CMA에서 통합을 삭제해도 Microsoft에서 생성된 리소스는 제거되지 않습니다.

참고: 제삼자 서비스에 대한 접근이 특정 IP 주소로 제한된 경우, 이 기사를 참조하여 허용이 필요한 Cato IP 주소 목록을 확인하십시오 (이 기사를 보려면 로그인해야 합니다).

Sentinel 통합을 생성하려면:

  1. 탐색 메뉴에서 자원 > 통합을 클릭합니다.
  2. 구성된 통합 탭에서 새로운을 클릭하세요. 새 통합 패널이 열립니다.

  3. Microsoft Sentinel을 선택하고 다음 필드를 구성합니다:

    sentinel_3.png
    1. 이 통합에 대한 이름을 입력합니다.
    2. 커넥터 테넌트 필드에서 MS 테넌트 통합의 이름을 선택합니다. 
    3. Microsoft Log Analytics에서 데이터를 수신하는 기존 Log 분석 작업 공간 이름을 입력합니다.
    4. Log 분석 작업 공간에서 데이터를 보관할 새로운 Log 분석 테이블 이름을 입력합니다. 
    5. 테이블 보존 일수 필드에서 Microsoft가 Cato 데이터를 유지할 일수를 정의합니다.
    6. Microsoft Sentinel에 일부 Cato 이벤트만 전송하기 위한 필터를 추가합니다. 
  4. 저장을 클릭하여 Microsoft에 통합을 배포합니다. 이제 Microsoft에서 설정을 완료할 10분의 시간이 주어집니다.

  5. 탭이 열리고 Microsoft에서 통합 생성 승인을 받으실 수 있습니다.

    참고: 상위 커넥터가 위의 MS Tenant 통합에서 생성된 동일한 테넌트와 통합을 승인하고, 해당 테넌트에서 자원 생성 권한을 가진 사용자로 로그인해야 합니다.

  6. Microsoft 포털에서 목표 로그 분석 작업 공간을 포함하는 리소스 그룹과 지역을 선택하고 검토 + 생성을 누릅니다. 

    sentinel_4.png
  7. 생성을 클릭하여 배포를 시작합니다.
  8. 배포가 완료되면 Microsoft 창을 닫을 수 있습니다.

  9. CMA에서 통합 페이지를 새로 고친 후 통합된 앱 탭에서 통합의 상태를 볼 수 있습니다.

    image-20251019-105133.png

Native Turnkey와 Custom GitHub 통합 방법 간의 선택

이 기사에 설명된 네이티브 턴키 통합 외에도 Cato GitHub 계정의 도구를 사용하여 Cato 이벤트를 Microsoft Sentinel과 통합할 수 있습니다. 각 접근 방식은 목표와 환경에 따라 독특한 이점을 제공합니다.

Native 통합을 사용할 때

Cato의 네이티브 통합은 최소한의 구성으로 확장 가능하고 지원 가능한 솔루션을 제공합니다. 네이티브 통합의 혜택은 다음과 같습니다:

  • 대량 이벤트를 효율적으로 처리할 수 있는 능력과 API 기반 제한이 없음
  • Cato에 의해 완전히 유지관리되고 지원됨
  • Cato와 Microsoft Sentinel 간의 스키마를 자동으로 매핑

GitHub 통합을 사용할 때

GitHub 통합은 사용자 정의 데이터 소스나 처리 로직이 필요한 고급 사용 사례에 대한 유연성을 제공합니다. 다음 상황에서 이 통합을 사용하고 싶을 수 있습니다:

  • Cato 통합이 수집하려는 데이터 유형을 지원하지 않음
  • 스키마나 이벤트 피드 데이터를 사용자 정의하고자 할 때

알려진 제한 사항

  • 대규모 이벤트 제한: 일부 XOps 이벤트에는 raw_data 필드에 광범위한 스토리 정보가 포함될 수 있어 이벤트가 Microsoft Sentinel 수집 크기 제한(약 1 MB)을 초과할 수 있습니다. 이러한 경우 Cato는 이벤트를 Sentinel로 계속 전달하지만 호환성을 유지하기 위해 raw_data 필드를 생략합니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개