Cato 이벤트를 Microsoft Sentinel과 통합하다

개요

Microsoft Sentinel 통합을 통해 Cato가 이벤트를 네이티브 커넥터를 사용하여 Microsoft Sentinel에 직접 전달할 수 있습니다. 통합은 자동으로 Cato 이벤트 스키마를 Sentinel의 데이터 모델에 매핑하여 Sentinel이 이벤트를 적절한 테이블에 처리하고 저장할 수 있도록 합니다. 대시보드, 분석 규칙, 알림과 같은 Sentinel 도구는 이제 Cato 이벤트 데이터를 네이티브로 운영할 수 있습니다.

이 기능은 모든 Cato Microsoft 통합에 대한 인증 및 전송 프레임워크를 제공하는 표준 Cato Microsoft 테넌트 커넥터를 기반으로 합니다. 이 공유 커넥터를 사용하여 Entra ID 및 App and Data API 통합과 같은 다른 Microsoft 통합에서 일관된 구성 워크플로우와 균일한 액세스 제어를 보장합니다.

Use Case

한 회사는 Microsoft Sentinel을 중앙 보안 모니터링 및 대응에 사용하고 있습니다. Cato 고객으로서 그들은 IPS와 같은 주요 보안 기능에서 유용한 데이터를 보유하고 있습니다. 이 통합을 사용하여 높은 심각도의 IPS 이벤트 유형을 Sentinel로 직접 보내, SoC 팀을 위한 기존 워크플로우에 쉽게 통합할 수 있습니다.

필수 조건

  • CMA의 통합된 앱 탭에서 MS 테넌트 통합 (자원 > 통합)

    Microsoft 앱의 상위 통합입니다.

  • Cato 이벤트가 저장될 Sentinel의 기존 로그 분석 작업 공간

MS 테넌트 통합 생성

MS 테넌트는 대부분의 Microsoft 앱에 대한 상위 커넥터 역할을 합니다. Microsoft 앱과 통합을 추가할 때 통합을 설정하는 첫 번째 단계는 상위 커넥터를 만드는 것입니다. 이 커넥터는 한 번만 설정하면 되고 모든 Microsoft 앱에 사용할 수 있습니다.

MS 테넌트 통합을 생성하려면:

  1. 네비게이션 메뉴에서 자원 > 통합을 선택하고 통합된 앱 탭을 클릭하십시오.
  2. 새로운을 클릭하십시오. 새 커넥터 추가 패널이 열립니다.

  3. 새 커넥터 패널에서 MS 테넌트 (새 MS 테넌트 구성) 앱을 선택합니다.

    New_Microsoft_365_Connector.png
  4. API 커넥터 이름을 입력하십시오.

  5. 인증 및 저장을 클릭합니다.

    새 브라우저 탭이 열리며 Microsoft 365 앱으로 이동합니다.

  6. 새 브라우저 탭에서 Microsoft 365 앱에 인증하십시오:

    1. Microsoft 365 앱에 대한 Microsoft 계정을 선택하십시오.

      그렇지 않으면 Microsoft 인증 오류가 있을 수 있습니다.

    2. 앱의 비밀번호를 입력하고 승인하십시오.
    3. Cato가 Microsoft 365 앱에 접근할 수 있도록 권한을 수락하기하십시오.

    4. 화면에 앱에 대한 권한을 성공적으로 적용했음을 보여줍니다.

      Success_Connector_Permissions.png

      브라우저 탭을 닫고 Cato 관리 애플리케이션으로 돌아갈 수 있습니다.

  7. Microsoft 365 SaaS 애플리케이션이 통합된 앱 탭에 추가됩니다.

Sentinel 통합 생성

대상 Microsoft 테넌트, 작업 공간, 테이블을 지정하고 필터를 사용하여 통합에 포함할 이벤트를 정의하여 CMA에서 Sentinel 통합을 정의하십시오. 그런 다음 Sentinel 통합을 저장한 후 Microsoft 테넌트에 인증하여 Cato가 데이터를 해당 Sentinel 계정으로 푸시하도록 허용해야 합니다.

CMA에서 통합을 생성한 후, 보안상의 이유로 Microsoft에서 프로세스를 완료할 수 있는 시간은 15분입니다. 이 시간 내에 프로세스를 완료하지 않으면 CMA에서 통합을 삭제하고 다시 시작해야 합니다.

통합이 생성된 후, 선택한 테이블로 Microsoft로 데이터가 흐릅니다. Cato는 Microsoft의 내장 테이블과 구분하기 위해 테이블 이름에 "_CL"을 추가합니다.

CMA에서 통합을 삭제해도 Microsoft에서 생성된 자원이 제거되지 않습니다.

참고: 제삼자 서비스의 접속이 특정 IP 주소로 제한된 경우, 필요한 Cato IP 주소의 목록은 이 기사를 참조하시기 바랍니다 (이 기사를 보려면 로그인해야 합니다).

Sentinel 통합을 생성하려면:

  1. 탐색 메뉴에서 자원 > 통합을 클릭합니다.
  2. 통합된 앱 탭에서 새로 만들기를 클릭합니다. 새 통합 패널이 열립니다.

  3. Microsoft Sentinel을 선택하고 다음 필드를 구성하십시오:

    sentinel_3.png
    1. 이 통합의 이름을 입력합니다.
    2. 커넥터 테넌트 필드에서 MS 테넌트 통합 이름을 선택합니다. 
    3. Microsoft 로그 분석에서 데이터를 수신하는 기존 로그 분석 작업 공간 이름을 입력합니다.
    4. 이 이름으로 로그 분석 작업 공간에 데이터를 저장할 새로운 로그 분석 테이블 이름을 입력합니다. 
    5. Microsoft가 테이블 보존 일수 필드에서 Cato 데이터를 보존할 일수를 정의하십시오.
    6. Microsoft Sentinel로 일부 Cato 이벤트만 보내기 위한 필터를 추가합니다. 
  4. 저장을 클릭하여 Microsoft에 통합을 배포합니다. 이제 Microsoft에서 설정을 완료할 수 있는 시간은 15분입니다.
  5. 브라우저 탭이 열리고 승인하여 Microsoft에서 통합 생성으로 직접 안내합니다.
    참고: 위 Microsoft 테넌트 통합에서 마스터 엔드포인트 커넥터가 생성된 테넌트와 동일한 테넌트의 통합을 승인해야 하며, 해당 테넌트에서 자원을 생성할 권한이 있는 사용자가 필요합니다.

  6. Microsoft 포털에서 대상 로그 분석 작업 공간이 포함된 리소스 그룹 및 지역을 선택하고 검토 + 생성을 누릅니다. 

    sentinel_4.png

  7. 배포를 시작하려면 생성을 클릭합니다.

    sentinel_5.png
  8. 배포가 완료되면 Microsoft 창을 닫을 수 있습니다.

  9. CMA에서 통합 페이지를 새로고침하고 통합된 앱 탭에서 통합 상태를 확인할 수 있습니다.

    image-20251019-105133.png

네이티브 턴키 및 맞춤형 GitHub 통합 방법 선택

이 기사에서 설명된 네이티브 턴키 통합 외에도, Cato GitHub 계정의 도구를 사용하여 Cato 이벤트를 Microsoft Sentinel과 통합할 수 있습니다. 각 접근법은 목표와 환경에 따라 다양한 장점을 제공합니다.

네이티브 통합을 사용할 시기

Cato의 네이티브 통합은 최소한의 구성으로 확장 가능하고 지원 가능한 솔루션을 제공합니다. 네이티브 통합의 이점에는 다음이 포함됩니다:

  • 큰 볼륨의 이벤트를 API 기반 제한 없이 효율적으로 처리할 수 있는 능력
  • Cato에 의해 완전히 유지 관리 및 지원됨
  • Cato와 Microsoft Sentinel 간의 스키마를 자동으로 매핑합니다.

GitHub 통합을 사용할 시기

GitHub 통합은 맞춤형 데이터 소스나 처리 논리가 필요한 고급 사용 사례에 유연성을 제공합니다. 다음 상황에서 이 통합을 사용하려고 할 수 있습니다:

  • Cato 통합이 수집하려는 데이터 유형을 지원하지 않는 경우
  • 스키마나 이벤트 피드 데이터를 사용자 정의하고 싶은 경우

EA에 대한 알려진 제한 사항

  • 필터는 생성 후 수정할 수 없음: 통합 생성 시 필터를 정의할 수 있지만, 현재 기존 통합에서 필터를 업데이트할 수는 없습니다. 필터를 변경하려면 통합을 삭제하고 다시 생성해야 합니다.
  • 큰 데이터가 포함된 이벤트는 버려질 수 있음: 원시 데이터 필드(스토리 정보 포함)가 1MB를 초과하는 경우 일부 XOps 이벤트는 Sentinel로 전송되지 않습니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개