Splunk과 Cato 데이터 통합

개요

Splunk 통합을 사용하여 기존 모니터링, 상관 및 조사 워크플로우에 Cato 네트워크 및 보안 데이터를 포함하세요. 네이티브 통합은 Cato에서 Splunk로 데이터를 직접 전송하여 다른 소스의 데이터와 함께 중앙 플랫폼에서 Cato 활동을 분석할 수 있도록 합니다. 추가 데이터 수집 메커니즘 없이 대시보드, 검색, 알림 및 보고서를 생성할 수 있도록 지원합니다.

Cato는 또한 Cato GitHub 저장소에서 사용자 정의 GitHub 통합을 제공합니다. 자세한 내용은 아래에서 네이티브 턴키와 사용자 정의 GitHub 통합 방법 간의 선택을 참조하세요.

Splunk 데이터 출처 

Splunk 통합은 두 개의 데이터 출처를 지원합니다.

  • 이벤트 - 정책 규칙이 일치하거나 위협이 감지되는 경우와 같이 네트워크 또는 시스템에서 특정 활동이 발생할 때 생성됩니다. 이 레코드는 보안 및 정책 강제 적용에 대한 실시간 인사이트를 제공합니다. 데이터는 Cato의 이벤트 스키마를 사용하여 전송됩니다.

  • 플로우 - 네트워크 플로우(5-튜플)로 생성되며, Cato 엔진에서 제공되는 애플리케이션 수준 정보로 강화됩니다. 애플리케이션 및 사용자 컨텍스트 외에도 플로우에는 바이트, 패킷 및 기간과 같은 세션 데이터가 포함되어 시간이 지나도 네트워크 활동을 전체적으로 파악할 수 있습니다. 플로우 필드의 슈퍼셋은 appStats 스키마로 표현됩니다.

    일부 필드는 네이티브 통합을 통해 스트리밍된 플로우에만 사용할 수 있으며 appStats 또는 애플리케이션 분석의 일부가 아닙니다. 예를 들어, flow_id와 상향 및 하향 패킷 및 바이트 그리고 흐름 지속 시간과 같은 집계된 메트릭스. 다음과 같은 코멘트가 추가된 필드입니다:

    CMA에서 생성된 네이티브 플로우 데이터 통합에 대해서만 사용 가능합니다.

기본적으로 새로운 통합은 이벤트만을 내보냅니다. 플로우 데이터 출처는 이벤트에 비해 상당히 많은 양의 데이터를 생성할 수 있습니다. 정확한 볼륨은 트래픽에 따라 다릅니다. CMA는 여러 통합 구성 지원을 통해 필요에 맞춘 다른 데이터 소스를 전송할 수 있도록 합니다. 이벤트에만 필터링이 지원됩니다.

사용 사례

이벤트

샘플 회사는 중앙 보안 모니터링과 대응을 위해 Splunk를 사용합니다. Cato 고객으로서 네트워크 활동, 위협, 사용자 데이터, 장치 및 Cato 플랫폼을 통과하는 트래픽의 모든 측면에서 유용한 데이터를 가지고 있습니다. 이 통합을 사용하여 데이터를 Splunk로 직접 보내 SOC 및 NOC 팀의 기존 워크플로우에 쉽게 통합할 수 있습니다.

플로우

Splunk의 보안 분석가는 데이터 유출과 관련될 수 있는 고위험 애플리케이션에 액세스한 사용자를 포함하는 의심스러운 이벤트를 식별합니다. Cato 이벤트만 사용하면 분석가는 정책 결정, 사용자 신원 및 애플리케이션을 확인할 수 있습니다. 그러나 이벤트는 얼마의 데이터가 전송되었는지 또는 세션이 얼마나 지속되었는지를 표시하지 않습니다.

플로우_id 필드를 사용하여 이벤트에 상관된 집계된 트래픽 플로우 데이터를 통해 분석가는 총 전송된 바이트, 패킷 수 및 세션 지속 시간을 포함한 전체 세션 컨텍스트를 확인할 수 있습니다. 이로써 분석가는 활동이 최소한의 상호작용만을 포함하는지 또는 데이터 유출을 시사할 수 있는 대량의 데이터 전송이 포함되는지를 결정할 수 있습니다.

이벤트 및 플로우 데이터를 결합함으로써 분석가는 사건의 심각성을 신속하게 확인하고 적절한 조치를 취할 수 있습니다.

필수 조건

  • 커넥터를 추가하려면 자원 섹션에 대한 통합에 대한 편집자 권한이 필요합니다. 자세한 내용은 RBAC를 사용한 관리자 역할 관리를 참조하십시오.
  • Splunk URL과 포트는 계정에 액세스하기 위한 HEC 엔드포인트입니다. 일반적으로 이는 "http-inputs-"가 URL 앞에 추가된 Splunk에 액세스하기 위한 웹 URL입니다. 예를 들어, 계정이 http://mydomain.splunk.com이면 https://http-inputs-mydomain.splunkcloud.com/을 사용합니다. 자세한 내용은 Splunk 문서를 참조하십시오. 포트는 선택 사항이며, 443을 사용합니다(다른 것을 지정하지 않으면 이는 Splunk Cloud의 기본값입니다).
  • 이벤트 통합 시작하기에서 모든 Cato 이벤트 통합에 대한 사전 요구 사항을 검토하십시오.

Splunk 통합 생성

Splunk HTTP 이벤트 수집기(HEC) 엔드포인트로 Cato 이벤트와 플로우를 전송하기 위해 Splunk 통합을 추가합니다. 통합을 설정하려면 Splunk에서 HEC 토큰을 생성하고 CMA에서 새로운 Splunk 통합을 만들어 가져오는 URL과 API 키를 입력하십시오.

설정 과정에서 이벤트, 플로우 또는 둘 다 통합할 지를 구성할 수 있습니다. 기본 설정은 이벤트만 내보내기입니다. 플로우 데이터 소스는 이벤트에 비해 상당히 높은 데이터 볼륨을 생성할 수 있습니다. 정확한 볼륨은 트래픽에 따라 다릅니다. CMA는 여러 통합을 구성하여 필요한 데이터 출처를 다양한 방식으로 전송할 수 있도록 지원합니다.

참고:

  • Splunk Enterprise (자체 관리) 통합의 경우:

    • Splunk HEC 엔드포인트는 인터넷을 통해 접근 가능해야 합니다(즉, 공인 IP 주소 또는 공인 DNS 이름을 통해 노출되어야 함). 개인 IP 또는 내부 전용 엔드포인트는 지원되지 않습니다.
    • TLS 검사를 활성화해야 하며, 엔드포인트는 신뢰할 수 있는 공용 인증 기관에서 발급한 유효한 X.509 인증서를 제시해야 합니다. 자체 서명된 인증서 또는 개인 발급 CA 인증서는 지원되지 않으며, 표준 CA 신뢰 체인을 사용해 연결만 검증됩니다.
  • CMA에서 통합을 삭제해도 Splunk에서 생성된 리소스는 삭제되지 않습니다.

필터

Cato 이벤트가 Splunk로 내보내지는 방식을 제어하기 위해 필터를 사용하세요. 이는 잡음 최소화, 비용 절감, 특정 사이트, 사용자 또는 지역과 관련된 이벤트에 대한 조사 집중을 돕습니다. 여러 SIEM 환경으로 다른 이벤트 하위 집합을 라우팅하기 위해 필터를 사용할 수도 있습니다.

이벤트 필드 또는 필드 조합을 기반으로 필터 그룹을 정의합니다. 각 그룹 내의 조건은 AND 논리를 사용합니다. OR 논리는 그룹 간에 적용됩니다. 스크린샷의 필터는 통합을 내보내도록 구성합니다.

  • 출발지가 파리 또는 마드리드이며, 하위 유형이 인터넷 방화벽인 경우 실행이 모니터 또는 프롬프트가 아닌 이벤트
  • 사용자 이름에 테스트 포함

Splunk 통합을 생성하려면:

  1. Splunk 계정에서 이 통합에 사용할 새 토큰을 생성하십시오. 세부 정보는 Splunk 문서를 참조하십시오. 토큰용 기본 인덱스를 사용하거나 사용자 지정 인덱스를 정의할 수 있습니다.
  2. 표시된 토큰 값을 복사하십시오. Cato와 통합할 통합을 구성하기 위해 필요합니다.
  3. 네비게이션 메뉴에서 자원 > 통합을 선택합니다.
  4. 구성된 통합 탭에서 새로운을 클릭합니다. 새 통합 패널이 열립니다.

  5. Splunk를 선택하고 다음 필드를 구성하십시오:

    1. 인증 드롭다운에서 API 키를 선택하십시오.
    2. 이 통합에 커넥터 이름과 선택적 설명을 입력하십시오.
    3. Splunk에서 생성한 수집 URLAPI 키를 입력하세요.
    4. Cato에서 데이터를 받는 인덱스를 지정하십시오. 이 항목을 비워 두면, Cato는 HEC 토큰에 정의된 기본 인덱스를 사용합니다.
    5. 이벤트, 플로우 또는 두 가지 모두를 통합할지 여부.
    6. 선택 사항: Cato 이벤트가 Splunk로 보내지는 방식을 제어하기 위해 필터를 추가하십시오.참고: 필터는 이벤트 데이터에만 적용됩니다.
    7. 통합 오류가 발생할 때 이벤트를 생성할지 여부를 지정하십시오.
  6. 저장을 클릭합니다.
  7. CMA에서 통합 페이지를 새로고침합니다. 통합 상태는 통합된 앱 탭에 표시됩니다.

원시 Turnkey 및 사용자 정의 GitHub 통합 방법 간 선택

이 기사에 설명된 원시 Turnkey 통합 외에도, Cato GitHub 계정의 도구를 사용하여 Cato 이벤트를 Splunk와 통합할 수 있습니다. 각 접근 방식은 목표와 환경에 따라 고유한 장점을 제공합니다. 필요시 두 가지 통합을 모두 사용할 수도 있습니다.

원시 통합을 사용할 때

Cato의 원시 통합은 최소한의 구성으로 확장 가능하고 지원 가능한 솔루션을 제공합니다. 원시 통합의 이점은 다음과 같습니다:

  • API 기반 제한 없이 많은 양의 이벤트를 효율적으로 처리합니다.
  • Cato에 의해 완전히 유지 관리되고 지원됩니다.
  • Splunk로 전송되는 데이터를 미세 조정하기 위한 필터를 지원합니다.

GitHub 통합을 사용할 때

GitHub 통합은 사용자 정의 데이터 소스나 처리 논리가 필요한 고급 사용 사례에 대한 유연성을 제공합니다. 다음 상황에서 이 통합을 사용하고자 할 수 있습니다:

  • Cato의 감사 로그 데이터를 Splunk로 보내고 싶습니다
  • 통합을 사용자 정의하기 위해 Cato GitHub 저장소를 공개 소스 리소스로 사용하고자 합니다.

제한 사항

  • 큰 이벤트 제한: 사건 정보가 Splunk로 전송될 때 raw_data 필드(스토리 정보 포함)가 5MB를 초과하면 정보를 잘라낼 수 있습니다(Splunk 기본값이지만 증가시킬 수 있음).

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개