Microsoft Sentinel 통합을 사용하여 Cato 이벤트 데이터를 기존 모니터링, 상관관계 및 조사 워크플로우에 포함합니다.
Cato는 Microsoft Sentinel과 두 가지 유형의 통합을 제공합니다. 각 접근 방식은 목표와 환경에 따라 고유한 장점을 제공합니다.
-
네이티브 턴키 통합은 Cato에서 Sentinel로 직접 이벤트를 전송하고 이를 자동으로 Sentinel 데이터 모델에 매핑하여 대시보드, 분석 규칙, 알림 및 기타 Sentinel 기능이 추가적인 파싱이나 표준화 없이 Cato 이벤트 데이터를 처리할 수 있도록 합니다.
통합은 Cato Microsoft 통합에서 인증과 전송을 위해 표준 Cato MS 테넌트 커넥터를 사용합니다. 공유 커넥터는 Entra ID, 애플리케이션 및 데이터 API와 같은 통합에 대해 일관된 구성 워크플로 및 중앙화된 접근 제어를 제공합니다. - 사용자 정의 GitHub 통합은 Cato GitHub 저장소에서 제공됩니다. 자세한 내용은 아래의 네이티브 턴키 및 사용자 정의 GitHub 통합 방법 선택하기를 참조하세요.
샘플 회사는 Microsoft Sentinel을 사용하여 중앙 집중식 보안 모니터링과 대응을 수행합니다. Cato 고객으로서 IPS와 같은 주요 보안 기능에서 얻은 유용한 데이터를 보유하고 있습니다. 그들은 이 통합을 사용하여 고중요도 IPS 이벤트 유형을 직접 Sentinel로 전송할 수 있으며, 보안 운영 센터 팀의 기존 워크플로에 쉽게 통합될 수 있습니다.
-
CMA의 자원 > 통합 > 구성된 통합에서 MS 테넌트 통합을 진행합니다.
이는 Microsoft 앱의 상위 통합입니다.
- Cato 이벤트가 저장되는 Sentinel의 기존 로그 분석 작업 공간입니다.
- 커넥터를 추가하려면 통합( 자원 섹션)의 편집자 권한이 필요합니다. 자세한 내용은 RBAC 사용하여 관리자 역할 관리를 참조하십시오.
- 이벤트 통합 시작하기에서 모든 Cato 이벤트 통합의 사전 요구 사항을 검토하세요.
MS Tenant는 대부분의 Microsoft 앱의 상위 커넥터 역할을 합니다. Microsoft 통합을 추가할 때, 먼저 상위 커넥터를 만듭니다. 이 커넥터는 한 번만 구성하면 되고, 이후 모든 Microsoft 앱에 사용할 수 있습니다.
MS 테넌트 통합 생성 방법:
- 탐색 메뉴에서 자원 > 통합,을 선택한 다음 구성된 통합 탭을 클릭합니다.
- 새로를 클릭합니다. 새 커넥터 패널이 열립니다.
-
새 커넥터 패널에서 MS Tenant (새 MS Tenant 구성) 앱을 선택합니다.
- 커넥터 이름을 입력합니다.
-
승인 및 저장을 클릭합니다.
새 브라우저 탭이 Microsoft 365 앱에 열립니다.
- 새 브라우저 탭에서 Microsoft 365 앱에 인증합니다:
-
Microsoft 365 앱에 대한 Microsoft 계정을 선택합니다.
그렇지 않으면 Microsoft 인증 오류가 발생할 수 있습니다.
- Microsoft 계정의 비밀번호를 입력하고 승인하세요.
-
Cato가 Microsoft 365 앱에 액세스할 수 있도록 권한을 수락합니다.
성공 페이지가 권한이 적용되었음을 보여줍니다.
- 브라우저 탭을 닫고 Cato 관리 애플리케이션으로 돌아갑니다.
-
- Microsoft 365 앱이 통합된 앱 탭에 추가됩니다.
Microsoft 테넌트, 작업 공간 및 테이블을 지정하여 CMA에서 Sentinel 통합을 정의합니다. 통합에 포함할 이벤트를 정의하기 위해 필터를 사용할 수 있습니다. Sentinel 통합을 저장한 후 Microsoft 테넌트에 인증해야 하며, Cato가 Sentinel 계정으로 데이터를 전송할 수 있도록 허용해야 합니다.
CMA에서 통합을 생성한 후, 보안상의 이유로 Microsoft에서 프로세스를 완료하기 위해 10분이 소요됩니다. 정해진 시간 내 프로세스가 완료되지 않을 경우, CMA에서 통합을 삭제하고 다시 시작해야 합니다.
통합이 생성된 후, 데이터가 Microsoft로 지정한 테이블로 흐릅니다. Cato는 Microsoft에서 기본 제공 테이블과 구분할 수 있도록 테이블 이름에 "_CL" 문자를 추가합니다.
CMA에서 통합을 삭제해도 Microsoft에서 생성된 리소스는 제거되지 않습니다.
참고: 제삼자 서비스의 접속이 특정 IP 주소로 제한된 경우, 이 기사를 참조하여 허용해야 하는 Cato IP 주소 목록을 확인하세요. 기사를 보기 위해서는 로그인해야 합니다.
필터
필터를 사용하여 Microsoft Sentinel로 내보내는 Cato 이벤트를 제어하세요. 이를 통해 수집 비용을 줄이고, 노이즈를 최소화하며 특정 사이트, 사용자 또는 지역과 관련된 이벤트에 집중하는 조사를 할 수 있습니다. 또한 필터를 사용하여 다른 SIEM 환경으로 이벤트의 다양한 하위 집합을 라우팅할 수 있습니다.
필터 그룹을 사용하여 이벤트 필드나 필드 조합을 기반으로 필터를 정의합니다. 각 그룹 내의 조건은 AND 논리를 사용합니다. 그룹 간에는 OR 논리가 적용됩니다. 스크린샷의 필터는 다음과 같이 내보내기를 구성합니다.
- Paris 또는 Madrid에서 발생하고 하위 유형이 인터넷 방화벽이며 모니터 또는 프롬프트가 아닌 작업을 결과로 낳은 이벤트
- 사용자 이름에 Test 포함
Sentinel 통합을 생성하려면:
- 탐색 메뉴에서 자원 > 통합을 선택합니다.
- 구성된 통합 탭에서 새로운을 클릭하세요. 새 통합 패널이 열립니다.
-
Microsoft Sentinel을 선택하고 다음 필드를 구성합니다:
- 이 통합에 대한 이름을 입력합니다.
- 커넥터 테넌트 필드에서 MS 테넌트 통합의 이름을 선택합니다.
- Microsoft Log Analytics에서 데이터를 수신하는 기존 Log 분석 작업 공간 이름을 입력합니다.
- Log 분석 작업 공간에서 데이터를 보관할 새로운 Log 분석 테이블 이름을 입력합니다.
- 테이블 보존 일수 필드에서 Microsoft가 Cato 데이터를 유지할 일수를 정의합니다.
- 선택 사항: 필터를 추가하여 Microsoft Sentinel로 보내는 Cato 이벤트를 제어합니다.
-
저장을 클릭하여 Microsoft에 통합을 배포합니다.
참고: 이제 Microsoft에서 설정을 완료하는 데 10분이 남아 있습니다. - 브라우저 탭이 열리고 Microsoft에서 통합 생성을 승인하도록 안내합니다.
참고: 동일한 테넌트를 사용하여 MS 테넌트 통합을 생성하는 통합을 승인해야 합니다. 사용자는 해당 테넌트에 자원을 생성할 수 있는 권한을 가져야 합니다. - Microsoft 포털에서 자원 그룹과 대상 로그 분석 작업 공간을 포함하고 있는 지역을 선택하고 검토 + 생성을 클릭하세요.
- 생성을 클릭하여 배포를 시작합니다.
- 배포가 완료되면 Microsoft 창을 닫을 수 있습니다.
- CMA에서 통합 페이지를 새로고침하세요. 통합된 앱 탭에서 통합 상태가 표시됩니다.
이 기사에 설명된 네이티브 턴키 통합 외에도 Cato GitHub 계정의 도구를 사용하여 Cato 이벤트를 Microsoft Sentinel과 통합할 수 있습니다. 각 접근 방식은 목표와 환경에 따라 독특한 이점을 제공합니다.
Cato의 네이티브 통합은 최소한의 구성으로 확장 가능하고 지원 가능한 솔루션을 제공합니다. 네이티브 통합의 혜택은 다음과 같습니다:
- API 기반 제한 없이 대량의 이벤트를 효율적으로 처리합니다.
- Cato에서 완전히 유지 및 지원합니다.
- Cato와 Microsoft Sentinel 간의 스키마를 자동으로 매핑
- Microsoft Sentinel로 전송되는 데이터를 미세 조정을 위한 필터를 지원합니다.
댓글 0개
댓글을 남기려면 로그인하세요.