Splunk 통합은 Cato가 데이터를 Splunk로 직접 전송하는 것과 두 가지 데이터 소스를 지원하는 네이티브 커넥터를 가능하게 합니다.
- 이벤트 - 특정한 활동이 네트워크나 시스템에서 발생할 때 생성됩니다. 예를 들어, 정책 규칙이 일치하거나 위협이 감지될 경우입니다. 이 레코드는 보안 및 정책 강제 적용에 대한 실시간 인사이트를 제공합니다. 데이터는 Cato의 이벤트 스키마를 사용하여 전송됩니다.
-
플로우 - 네트워크 흐름(5-튜플)에서 시작하여 다양한 Cato 엔진을 통해 애플리케이션 수준의 정보가 제공될 때 활성화됩니다. 애플리케이션 및 사용자 컨텍스트 외에도 플로우에는 바이트, 패킷 및 기간과 같은 세션 데이터가 포함되어 시간이 지나도 네트워크 활동을 전체적으로 파악할 수 있습니다. 플로우 필드의 슈퍼셋은 appStats 스키마로 표현됩니다.
일부 필드는 네이티브 통합을 통해 스트리밍된 플로우에만 사용할 수 있으며 appStats 또는 애플리케이션 분석의 일부가 아닙니다. 예를 들어, flow_id와 상향 및 하향 패킷 및 바이트 그리고 흐름 지속 시간과 같은 집계된 메트릭스. 다음과 같은 코멘트가 추가된 필드입니다:
CMA에서 생성된 네이티브 플로우 데이터 통합에 대해서만 사용 가능합니다.
참고: XOps 이벤트(이벤트 유형 감지 및 대응)에 대한 사건 정보를 포함하는 원시 데이터 필드가 5MB를 초과할 경우 Splunk에 전송될 때 잘릴 수 있습니다(이는 Splunk 기본값이지만 증가할 수 있습니다).
한 회사가 중앙 보안 모니터링 및 대응을 위해 Splunk를 사용하고 있습니다. Cato 고객으로서 네트워크 활동, 위협, 사용자 데이터, 장치, Cato 플랫폼을 통해 이동하는 모든 트래픽 측면에서 유용한 데이터를 보유하고 있습니다. 이 통합을 사용하여 데이터를 Splunk로 직접 보내 SOC 및 NOC 팀의 기존 워크플로우에 쉽게 통합할 수 있습니다.
Splunk의 보안 분석가는 데이터 유출과 관련될 수 있는 고위험 애플리케이션에 액세스한 사용자를 포함하는 의심스러운 이벤트를 식별합니다. Cato 이벤트만 사용하면 분석가는 정책 결정, 사용자 신원 및 애플리케이션을 확인할 수 있습니다. 그러나 이벤트는 얼마의 데이터가 전송되었는지 또는 세션이 얼마나 지속되었는지를 표시하지 않습니다.
플로우_id 필드를 사용하여 이벤트에 상관된 집계된 트래픽 플로우 데이터를 통해 분석가는 총 전송된 바이트, 패킷 수 및 세션 지속 시간을 포함한 전체 세션 컨텍스트를 확인할 수 있습니다. 이로써 분석가는 활동이 최소한의 상호작용만을 포함하는지 또는 데이터 유출을 시사할 수 있는 대량의 데이터 전송이 포함되는지를 결정할 수 있습니다.
이벤트 및 플로우 데이터를 결합함으로써 분석가는 사건의 심각성을 신속하게 확인하고 적절한 조치를 취할 수 있습니다.
- 커넥터를 추가하려면 자원 섹션에 대한 통합에 대한 편집자 권한이 필요합니다. 자세한 내용은 RBAC를 사용한 관리자 역할 관리를 참조하십시오.
- 모든 Cato 이벤트 통합에 대한 필수 조건을 이벤트 통합 시작하기에서 검토하십시오.
Splunk에서 HEC 토큰을 생성한 후 CMA에서 통합을 정의합니다. 필터를 사용하여 통합에 포함하길 원하는 이벤트 데이터를 제한할 수 있습니다. 통합이 생성된 후 지정한 인덱스에서 데이터가 Splunk로 흐릅니다.
구성 프로세스에서 이벤트, 플로우 또는 두 가지 모두의 통합 여부를 구성할 수 있습니다. 기본값으로는 이벤트만 활성화됩니다. 플로우 데이터 소스는 이벤트에 비해 상당히 높은 데이터 볼륨을 생성할 수 있습니다. 정확한 볼륨은 트래픽에 따라 다릅니다. CMA는 여러 통합 구성 지원을 통해 필요에 맞춘 다른 데이터 소스를 전송할 수 있도록 합니다.
Splunk URL과 포트는 계정에 액세스하기 위한 HEC 엔드포인트입니다. 일반적으로, 이는 "http-inputs-"가 처음에 추가된 Splunk에 액세스하기 위한 웹 URL입니다. 예를 들어, 계정이 http://mydomain.splunk.com인 경우 https://http-inputs-mydomain.splunkcloud.com/을 사용합니다. 자세한 내용은 Splunk 문서를 참조하십시오. 포트는 선택 사항이며 443을 사용합니다(이는 Splunk Cloud의 기본값입니다).
CMA에서 통합을 삭제해도 Splunk에서 생성된 리소스는 삭제되지 않습니다.
참고:
-
Splunk Enterprise (자체 관리) 통합의 경우:
- Splunk HEC 엔드포인트는 인터넷을 통해 연결 가능해야 합니다(즉, 공용 IP 또는 공용 DNS 이름을 통해 노출됨). 개인 IP 또는 내부 전용 엔드포인트는 지원되지 않습니다.
- TLS 검사를 활성화해야 하며, 엔드포인트는 신뢰할 수 있는 공용 인증 기관에서 발급한 유효한 X.509 인증서를 제시해야 합니다. 자체 서명된 인증서 또는 개인 발급 CA 인증서는 지원되지 않으며, 표준 CA 신뢰 체인을 사용해 연결만 검증됩니다.
Splunk 통합을 생성하려면:
- Splunk 계정에서 이 통합에 사용할 새 토큰을 생성하십시오. 세부 정보는 Splunk 문서를 참조하십시오. 토큰용 기본 인덱스를 사용하거나 사용자 지정 인덱스를 정의할 수 있습니다.
- 표시된 토큰 값을 복사하십시오. Cato와의 통합을 구성하기 위해 필요합니다.
- 네비게이션 메뉴에서 자원 > 통합을 클릭하십시오.
- 통합된 앱 탭에서 새로운을 클릭하십시오. 새 통합 패널이 열립니다.
-
Splunk를 선택하고 다음 필드를 구성하십시오:
- 인증 드롭다운에서 API 키를 선택하십시오.
- 통합에 대한 커넥터 이름 및 설명(선택 사항).
- Splunk에서 생성한 수집 URL 및 API 키.
- Cato에서 데이터를 받을 인덱스를 지정하십시오. 이 항목을 비워 두면 HEC 토큰에 정의된 기본 인덱스를 사용합니다.
- 이벤트, 플로우 또는 두 가지 모두를 통합할지 여부.
-
Cato 이벤트가 Splunk에 전송되는 범위를 제한하기 위한 필터.
참고: 필터는 이벤트 데이터에만 적용됩니다.
- 통합에서 오류가 발생하면 이벤트를 생성할지 여부를 지정하십시오.
- 저장을 클릭합니다.
- CMA에서 통합 페이지를 새로 고친 후 통합 앱 탭에서 통합의 상태를 확인할 수 있습니다.
이 기사에 설명된 원시 Turnkey 통합 외에도, Cato GitHub 계정의 도구를 사용하여 Cato 이벤트를 Splunk와 통합할 수 있습니다. 각 접근 방식은 목표와 환경에 따라 고유한 장점을 제공합니다. 필요시 두 가지 통합을 모두 사용할 수도 있습니다.
Cato의 원시 통합은 최소한의 구성으로 확장 가능하고 지원 가능한 솔루션을 제공합니다. 원시 통합의 이점은 다음과 같습니다:
- API 기반 제한 없이 대량의 이벤트를 효율적으로 처리할 수 있는 기능
- Cato에서 완전히 유지 관리 및 지원
댓글 0개
댓글을 남기려면 로그인하세요.